混乱を実用的な洞察へ：リアルタイムのOSINTで地政学的イベントとサイバー脅威を関連付ける

地政学的混乱は政策立案者のみが影響を受ける問題ではありません。組織をデジタル脅威と物理的脅威から守る任務を負うインテリジェンスチームにとっても、より喫緊の問題となっています。政治動向・拡散される誤情報・世界情勢は、あっという間に標的型サイバー攻撃やサプライチェーンの混乱、あるいは組織の評判悪化へと発展する可能性があります。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事を翻訳したものです。

このような事態を受け、リアルタイムのオープンソースインテリジェンス（OSINT）はリスクを見つけ出して対応するための重要なツールになりつつあります。

この記事では、近年のサイバー攻撃の例とSilobreaker独自の調査をもとに、世界情勢とサイバー脅威を結びつける際にOSINTを活用する方法、そして組織が時宜に適った行動を採る方法を探ります。

「地政学」の定義を拡大する

従来、地政学における関心事柄は国家間の対立や外交関係の監視に限られてきました。しかし今日では、歴史的に見て安定した民主主義国家による規制内容の変更や選挙、公式声明といった一般的な政治活動でさえも、安全保障の文脈で大きな意味を持つようになっています。

このように地政学がより広い意味合いで捉えられるようになった状況においては、これまで信頼に足るとみなされていた国々の動向であっても監視対象に含めることが必須となっています。組織は関連する業界や地域、ビジネスパートナー、公的評判などの要因次第で、そうした動向の影響を受ける可能性があるためです。

イベント・アクションチェーン

地政学的イベントを効果的に監視するための重要な概念が「イベント・アクションチェーン」です。このフレームワークを使うことで、地政学的イベントとサイバー脅威インテリジェンス（CTI）アナリストの行動（アクション）を結び付けることができます。これは以下の要素で構成されます。

1. イベント：政治的決定や選挙、動乱といった地政学的な出来事
2. 脆弱性：イベントによって露呈した組織の技術的・人的・構造的弱点
3. 脅威：悪意のあるアクターが脆弱性を悪用する意図あるいは能力
4. リスク：状況と露出度に基づいた脅威による業務への影響
5. 行動：これまでの分析に応じて行われる戦術的または戦略的な対応

このフレームワークに従うことで、CTIアナリストは地政学的イベントへの適切な対応方針を決定できます。アナリストが組織に関連するイベントを捕捉するごとにこのチェーンを実行できるよう、各段階の準備を整えておくことが重要です。この準備は組織のリスクプロファイルを把握することから始めます。リスクそのものによる影響はチェーンの後半で発生しますが、その評価は優先的に行われる必要があります。なぜなら、リスクの定量化は多くの場合年単位のサイクルに従うものであり、複数のステークホルダーが関与する長期的なプロセスだからです。脅威インテリジェンスチームが世界的動向を組織固有のリスクや対応策に紐付けることができるよう、リスクの定量化は優先されるべきです。

組織のエクスポージャーを把握する

リスク評価のプロセスにおける重要なステップの1つは、組織の「クラウンジュエル」、すなわち守るべき重要資産をマッピングすることです。クラウンジュエルには重要なシステムや施設、ビジネスパートナー、製品、人材などが含まれます。

このような重要資産に関連する脆弱性を保護することで、攻撃者による業務の中断を阻止し、事業の継続性を維持できます。脆弱性には技術的なもの（ソフトウェアの欠陥など）、人的なもの（フィッシング攻撃などからの狙われやすさなど）、あるいは構造的なもの（例えば政情不安地域のサプライチェーンへの依存のような、業界的または地理的要因）があります。

これらの要素を特定することでインテリジェンスチームは監視の優先順位付けを行い、発生中の出来事が脅威となるかどうかを迅速に評価できます。

ニュースの見出しがハクティビズムの理由に

以下にいくつか挙げた最近のハクティビズムの事例は、政治的に緊迫したイベントがサイバー脅威をただちに誘発する可能性を示しています。

拡散された誤情報が引き起こしたインドの銀行へのサイバー攻撃

2024年6月6日、ガザ地区の国連難民キャンプに着弾したイスラエル軍のミサイルと思わしき物体に「Made in India（インド製）」と記されている様子を捉えた動画が瞬く間に拡散され、激しい非難が巻き起こりました。

同月7日から22日にかけて、ハクティビスト集団のRippersec、Infamous、RADNETがインドの金融機関を標的としたサイバー攻撃を開始。拡散された内容は事実と異なり、動画で実際に映っていたものはミサイルではなく医療機器であることが判明したにもかかわらずサイバー攻撃は続き、Rippersecはインド独立記念日である8月15日にさらに18の組織を攻撃しました。

トランプ大統領の公式訪問後に発生したフランスの組織を標的としたサイバー攻撃

大統領への再選が決まったドナルド・トランプ氏は、ノートルダム大聖堂の再開に際しフランスを初訪問すると2024年12月2日に発表しました。同月5日、フランス議会はミシェル・バルニエ首相に対する不信任決議を可決。

このわずか数日後にNoName057やPeople’s Cyber​​ Armyなどのグループを含む「Holy League」として知られるハクティビスト連合が政治的混乱に便乗して、フランスの地方自治体のWebサイトや保険会社のアクサ、そして複数のエネルギー企業に対してDDoS攻撃を開始しました。さまざまな部門の民間企業をも標的としたこの攻撃は、地政学的イベントがサイバー脅威の原因となりうることを浮き彫りにしました。

ゼレンスキー大統領のローマ訪問後に起きたイタリアの省庁や銀行への攻撃

2025年1月9日にウクライナのウォロディミル・ゼレンスキー大統領がイタリアのローマを訪問し、ジョルジャ・メローニ首相と会談しました。この2日後に親ロシア派のハッカー集団であるNoName057がイタリアの外務省とインフラ運輸省、そして複数の銀行と港湾当局にDDoS攻撃を仕掛けました。

これらの例からわかるように、虚偽に基づくものであっても公に知られているイベントはサイバー攻撃の引き金となり得ます。OSINTツールはこうした初期兆候を特定し、関連する脅威アクターの活動を監視する上で不可欠です。

攻撃の動機となりうるイベントは広く報道されることが多いため、脅威アナリストはハクティビストの活動の分析を行うことができます。そして標的にされる業界や地域、関連する動機を特定することで起こりうるシナリオの予測が可能になります。

OSINTを監視することで、セキュリティチームは選挙や国賓訪問といった関連度の高い政治的発言やイベントを予測・捕捉し、得た洞察を活用した行動計画によってセキュリティ体制を強化できます。

世論とブランドリスク

脅威アクターの能力を追跡するためのツールは数多く存在しますが、アクターの意図は流動的であるため捉えにくいことが多々あります。ボイコット運動の広がりや政治的な動機による企業への攻撃が顕著な今の時代に攻撃者の意図を知るために有用な情報源のひとつは世論調査です。

Google トレンドやOSINTプラットフォームのようなツールを使用し、抗議活動や活動家グループが言及するブランド名を追跡することで、起こりうるフィッシングキャンペーンやWebサイトの改竄、活動家主導の妨害行為をインテリジェンスチームは予測できます。

このような例は業界の種類や企業規模に関係なく、先見的な監視とより広範な地政学的認識が不可欠である理由を表しています。

OSINTを実戦に

OSINTをどのように使えば具体的な結果を得られるのでしょうか。このためのプロセスには通常、2つの重要なサイクルが含まれます。1つ目は組織に関連する世界情勢や世論の変化、特定の地域や業界・部門における脅威アクターの活動の帰結などを分析した一般的な脅威ランドスケープのサイクルです。2つ目は前述の工程で特定した高リスクのアクターの侵害指標（IOC）や戦術・技術・手順（TTP）を監視し、それらの洞察を検出チームに提供するための一点集中型の脅威ランドスケープのサイクルです。

この2つのアプローチによって、CTIチームは現状認識から実用的なインテリジェンスへの移行が可能になり、組織は脅威キャンペーンに先手を打つことができます。

サイバー脅威対応チームと戦略リスク管理チーム間の連携のように、機能横断的な協働もますます重要になっています。効果的な連携モデルは2つあります。1つ目は地政学アナリストにもCTIツールへのアクセス権を与え、彼ら自身で高度なOSINT機能を用いて知見を広げることを可能にする共有ツールモデルです。2つ目はCTIチームが戦略リスク管理チームの内部サービスプロバイダーの役割を担って情報提供依頼書（RFI）に対応し、より広範なリスク評価をサポートするプロバイダー・ステークホルダーモデルです。

どちらのアプローチも部署間の役割を可視化し、インテリジェンスを効果的に分配することに役立ちます。

必要とされる情報の詳細はステークホルダーごとに異なるため、各人に合った情報を提供することも重要です。つまり、CTIチームは対象者に応じてレポートを調整する必要があります。

• 経営幹部は、リスクに焦点を当てた簡潔な要約を好むかもしれません。
• SOCチームや脅威ハンターはIoCやTTPのような技術データが必要です。
• 戦略リスク管理のリーダーは地政学的様相と長期的傾向を重視することが多いです。

伝達の方法はステークホルダーを無視して独断で構築されるべきではありません。SIEM連携、メール、Slack、Teamsなど各ステークホルダーが希望する連絡手段を通じて通知や情報を送信したり、ServiceNowなどのプラットフォームを介してチケットに返信したりする必要があります。

Silobreakerで包括的な地政学的およびサイバー脅威監視を

効果的な地政学的イベントの監視は広範なモニタリングに始まり、実用的なインテリジェンスで終わるイベント・アクションチェーンに従って行われます。このような状況では、リアルタイムのOSINTが重要な役割を果たします。

Silobreakerは統合的な環境内でこのワークフロー全体をサポートし、ニュースやソーシャルメディアからダークウェブや脆弱性フィードまで、さまざまな情報源から網羅的にイベントを検出できるようにします。

また、Silobreakerは脆弱性・脅威・リスクをソースやダッシュボードに直接マッピングすることで情報を処理し、各業界に合った洞察を提供することで優先的インテリジェンス要件を満たします。プラットフォームに搭載されたAI駆動型のレポート作成機能とリアルタイムの脅威アクタープロファイリングによって、ステークホルダーの要求に即座に対応し、地政学的イベントとアナリストの行動の橋渡しを行います。

地政学とサイバー脅威の融合はインテリジェンスチームに新たな課題をもたらすと同時に、新たな可能性も生み出しています。CTIチームがSilobreakerを活用して外部のイベントと内部リスクを紐付けることで、組織全体は自信を持って迅速に効果的な行動をとれるようになります。

ウェビナー全編はこちらからオンデマンドで視聴いただけます。