-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
本稿では、運用上のセキュリティ(OPSEC)における人的要素から痕跡を洗い出すことで、高度な技術を持つ攻撃者の正体さえも突き止められる事実について詳しく説明します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2026年2月13日付)を翻訳したものです。
脅威インテリジェンスのランドスケープにおいては、高度なTTP(戦術・技術・手順)やゼロデイ脆弱性、ランサムウェアなどにどうしても意識が集中しがちです。これらの技術的脅威はたしかに厄介なものですが、管理・運用するのは結局のところ人間です。攻撃元を特定し、その背後に潜む脅威アクターの正体を暴く上で最も重要な糸口となるのは、多くの場合、人的要素なのです。
先日公開したウェビナー「OPSEC Fails: The Secret Weapon for People-Centric OSINT(OPSECの落とし穴:人間を中心に据えたOSINTの秘密兵器)」ではOSINT Praxisの創設者Joshua Richards氏をお招きし、攻撃者の痕跡が問題解決につながった興味深いケーススタディを共有しました。
本稿では、Flashpointの多種多様なデータ機能を活用したOSINT技術を通じ、調査における分析対象を技術的要素から人的要素に変えることで、脅威アクターの不法な活動をストップさせる方法を説明します。
OPSECをマインドセットに活用
技術的な観点において、OPSECはリスクマネジメントの一環であり、一見すると無価値な情報を特定するプロセスを含みます。価値がないように見える情報であってもこれらを収集することで、敵対者の機微な情報をより広範に解き明かせるようになります。
今回のウェビナーでは、OPSECで意識すべきことを3つに大別しました。どの要素も研究者と脅威アクターの双方が注意すべきものであり、どこかで発生したミスが調査の手がかりになります。
- シグネチャ分析:誰にでもその人特有のデジタルシグネチャがあります。例えば、文のクセ(文体、読点の打ち方、単語の使用頻度など)や活動時間、使用するツールなどが分析の対象になります。
- アイデンティティマスキングとペルソナ管理:調査用のアイデンティティと日常的に使用するアイデンティティを明確に区別します。よくある失敗例として、個人利用と調査研究に同じブラウザを使うことが挙げられ、そうするとCookieで2つのアイデンティティが結びつけられてしまいます。
- トラフィックの難読化:VPNを使ったとしても、ある種の行動によってIPアドレスを特定することができます。例えばダークウェブフォーラムで投稿した後、同じ接続を使用して銀行取引を確認すると、そのIPアドレスが実行者や脅威アクターに紐付けられます。
「OPSECが効果的なものになるかどうかは、使用するツールで決まるわけではありません。ハッカーや調査対象者、あるいは文字どおりに誰もがこちらの身元を暴くための手がかりとなる些細な痕跡を、どれだけ残さないでいられるかにかかっているのです」
Joshua Richards、OSINT Praxis創始者
思考・行動パターンをCTIに活用
OPSECの思考・行動パターンを理解することで、セキュリティチームは標的の立場になって考えることができるようになります。誰しもが心理的に陥る罠を知れば、攻撃者のミスを突くための正確なポイントが浮かび上がってくるのです。
※一方で、防御側もこのような罠に陥る可能性があります。主な例を以下の表にまとめました。
思い込みの種類 | 思考・行動パターンの罠 | 調査における現実 |
軽視 | 「自分は価値の高いターゲットではないため、誰も狙わないだろう」 | 自動化された攻撃:ハッカーはスクリプトを使って無数のアカウントをスキャンするため、被害者を「選ぶ」のではなく自動化によって「発見」している。 |
痕跡の有無 | 「LinkedInやXのアカウントがなく、自分に関するフットプリントは残っていないはずだ」 | シャドーデータ:公開されている出生記録、固定資産税、過去のデータ漏洩により、自分では作成していない痕跡が残っている。 |
過信 | 「2FAと複雑なパスワードを設定しており、自分がハッキングされることはない」 | セッションハイジャック:情報窃取型マルウェアで「セッショントークン」(Cookie)を盗むことにより、攻撃者は2FAコードがなくてもブラウザ上でユーザーになりすますことができる。 |
今回のウェビナーでは、Richards氏がこれらの概念を活用し、ダークウェブ上の漠然とした脅威を現実世界の人物に紐付け、逮捕に漕ぎ着ける方法について詳しく解説します。オンデマンドウェビナーをご覧いただき、どのようにしてダークウェブフォーラム「Torum」での捜査が始まり、2人の命を救う逮捕劇に至ったのかをご確認ください。
Flashpointを使って形勢逆転
本ウェビナーで共有された知見により、最も危険な脅威アクターさえも、それぞれが考える以上に正体を隠せていないことがはっきりと浮かび上がってきます。こうした攻撃者は通常、技術力の問題ではなく、思考・行動パターンの過ちによって衰退していくのです。インテリジェンス担当者はこれらのOSINT技術を理解することで、大量のデジタルノイズの中から攻撃者特定につながる明確な道筋を見い出せるようになります。
脅威を退けるために最も効果的な方法は、技術的な指標と人間の行動のギャップを埋めることです。重大なリスクを伴うOSINTを実施している場合でも、組織のデジタルフットプリントを保護している場合でも、小さな手がかりのすべてに大きな意味があります。Flashpointの広範な脅威インテリジェンスコレクションとリアルタイムデータを活用すれば、常に攻撃者の機先を制することが可能になります。デモをお申し込みいただき、その詳細を確認してください。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。
