企業や政府機関が犯罪対策やセキュリティ対策の強化、そして国家の安全保障のためにデジタルアイデンティティを活用する上で、アイデンティティインテリジェンスがどのように役立つのかを見ていきます。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事を翻訳したものです。
急速に進化していくデジタル脅威ランドスケープにおいて、私たちの個人を特定できる情報(アイデンティティ)は新たな「通貨」になりつつあります。このアイデンティティは、オンラインショッピングから世界規模のソーシャルネットワークまで、あらゆるものを動かす力となります。脅威アクターにとってもアイデンティティは重要なものであり、これを悪用するために人的ミスと技術的な脆弱性を狙った巧みな手口が次々と編み出されている上、それらはますます巧妙になっています。その結果、企業や政府機関によるデジタルフットプリントの保護、犯罪対策、そして国家の安全保障に役に立つ重要なツールとして、アイデンティティインテリジェンスが注目を集めるようになりました。
アイデンティティインテリジェンスについて
ビジネスの文脈におけるアイデンティティインテリジェンスは、認証情報の侵害や、個人または機械に紐づけられたその他の重要な識別子に関連するリスクの特定・緩和に重きを置いています。組織は特に、盗難または流出の被害に遭ったログイン情報から生じ得るセキュリティ脅威を発見し、これに対処するため、アイデンティティインテリジェンスを活用してさまざまなソースから得た情報を分析します。流出した認証情報がないかどうかを監視することで、企業は先手を取って異常なログインパターンや不審なアクセスの試みを検出でき、不正アクセスやアカウントの乗っ取りが行われるリスクに素早く対応できるようになります。
これに対し、政府という文脈におけるアイデンティティインテリジェンスは、国家の安全を守る目的の下、潜在的な脅威を特定・追跡することに重点を置いています。潜在的な脅威を特定・追跡する際は、即時的な意思決定と脅威アセスメント、そして業務遂行をサポートするために、生体認証情報やフォレンジックデータ、オープンソースの情報、機密情報などのデータソースを活用します。
どちらの文脈でも、デジタルフットプリントの分析にアイデンティティインテリジェンスを利用する点は同じですが、その活用方法と目的は大きく異なります。企業が詐欺やアカウントの乗っ取りから従業員と顧客を守るためにこの情報を使う一方で、公安、防衛、および法執行に携わる政府組織は犯罪やテロの捜査、犯人の特定、身元の確認、その他の業務要件に際して不足した情報を明らかにし、犯罪者のネットワークを把握するためにアイデンティティインテリジェンスを使用します。
アイデンティティインテリジェンスの主な情報源
Flashpointは2024年上半期だけでも、情報窃取型マルウェア(別名:インフォスティーラー)によって侵害された認証情報を5,300万件以上、そしてこのマルウェアに感染したデバイスを1,300万台以上観測しました。サイバー犯罪者らはこれらの攻撃により、感染したシステムからログイン認証情報やCookie、オートフィル情報、クレジットカード情報のほか、デバイスのアプリケーション情報(バージョンなど)といった機微データを密かに収集することができます。そしてこの情報を使って標的のネットワークに不正アクセスし、データ侵害やランサムウェア攻撃、その他の深刻なセキュリティインシデントを引き起こします。
インフォスティーラーに関する情報は、アイデンティティインテリジェンスの重要な情報源として認識されるようになっているため、これを確認した組織はこれらの攻撃を早い段階で見つけて迅速に対応し、ダメージを最小限に抑えることができるようになります。
インフォスティーラー関連の情報のほかに、主要な情報源としては以下のようなものがあります。
- VirusTotal:Googleが所有するプラットフォームで、ファイルやURLをスキャンして脅威を検知し、セキュリティ研究者やアナリストを支援します。
- フォーラム、マーケットプレイス、チャットサービス:不法な商品(盗まれた認証情報など)の売買拠点で、脅威アクターに利用されています。
- ペーストサイト:匿名でテキストを共有するプラットフォームで、脅威アクターが盗まれた認証情報やデータをリークする目的で使います。
- アナリストによる調査、およびアクターとの直接のやり取り:弊社のインテリジェンスチームが調査や脅威アクターとのやり取りを直接行う中で、アイデンティティインテリジェンスデータの基盤となる認証情報やその他のユニークなデータセットを発見します。
上記の情報を用いることで、組織はアカウントの乗っ取りや詐欺、テロ、サイバー犯罪など、数多く存在するセキュリティ上の課題に対して効果的な対策を講じることができます。
こういった課題に対処することで、複雑さを増す脅威ランドスケープにおいてアイデンティティ関連のリスクに挑む企業は自組織のセキュリティ体制を強化することが、政府組織はそれぞれのコミュニティを守り抜くことができます。
アイデンティティインテリジェンスの活用例
Flashpointの支援を受けたテキサスA&M大学は39万5,000件以上の侵害された認証情報を特定し、自らのデジタルアセットとコミュニティメンバーをプロアクティブに保護することが可能になりました。Flashpointのアイデンティティインテリジェンスを活用することで、同大学はサイバーセキュリティ体制が強化され、潜在的な脅威に対してより効果的に対応できるようになっています。
「Flashpointのプラットフォームにより、盗まれた認証情報の発見やアカウントへのフラグ付け、職員のパスワードのリセット、IoCの特定、誤検知のフィルタリング、パスワードの複雑さと質の把握、権限の制限、侵害された正規アカウントへのアラートの設定、そして最終的にはアカウント乗っ取りの防止といった作業が、これまで以上に早くできるようになりました」 – テキサスA&M大学CTIチームのセキュリティアナリスト、Cody Autry氏
アイデンティティインテリジェンス導入のベストプラクティス
アイデンティティインテリジェンスを利用する際、プライバシーや法律への配慮が欠かせません。機微性の高い情報を保護するには、 EU一般データ保護規則(GDPR)などのデータプライバシー規制に従うだけでなく、機微データを安全に取り扱うためのポリシーと手順の確立、データ暗号化の実施、そして不正アクセスを防ぐためのアクセス制御も不可欠です。データのライフサイクルを通じて管理責任を果たすためには、データの保持および廃棄に関する明確なガイドラインも確立する必要があります。これらのベストプラクティスを遵守することで、組織は個人のプライバシーと法的権利を確保しながら、アイデンティティインテリジェンスを効果的に利用することができます。
アイデンティティインテリジェンスがFlashpointでどう強化されるのか
Flashpointは最も適切で実用的な情報を基に、アイデンティティインテリジェンスをさまざまな形で活用して世界中の企業や政府組織を支援しています。
- 従業員、サードパーティ、サプライヤーを保護: 組織の認証情報のステータスと最近の侵害を明確に把握します。侵害されたユーザー、パスワード、ソース、ドメイン、日付、ホストおよびクッキーのコンテキスト情報を明らかにする詳細な侵害エントリにアクセスし、被害が発生する前に対策を講じることができます。
- 顧客とユーザーを保護:顧客のメールアドレスとドメインの侵害を監視します。侵害された認証情報を迅速に特定し、そのソースを特定することで不正行為の検知と対応を行い、顧客基盤を保護して信頼を守ります。
- マルウェアの分析と特定:ダークウェブのフォーラム、マーケットプレイス、マルウェアログなど、さまざまなソースから情報窃取型マルウェアのデータを収集します。インフォスティーラーに盗まれたデータを既知のサイバー犯罪グループや窃取キャンペーンに関連付けることで、繰り返し発生する攻撃パターンを特定し、それぞれに応じて防御策を調整します。
- 脅威アクターの活動とネットワークを調査:容疑者のデジタルフットプリントやつながりに関する包括的な知見を提供し、捜査活動を支援します。不足している証拠の破片を探して結びつけ、とりわけサイバー犯罪や組織犯罪、テロリズムを含む複雑なケースをより効率よく解決に導きます。
- 国家安全保障活動の強化:マークすべき個人やグループ、ネットワークに関する知見を収集し、世界中の特殊なオペレーションにおけるリアルタイムの意思決定を可能にするだけでなく、活動環境全体の状況認識を強化します。
未来に向けて
アイデンティティインテリジェンスは企業や政府組織にとって、デジタルフットプリントと機微情報を保護するだけでなく、一般市民を守るための重要なツールとして注目を集めるようになりました。デジタルランドスケープが進化を続け、脅威がより巧妙化する現在において、オンラインでの交流や世界中のコミュニティおよび個人の安全を確保する上でも、アイデンティティインテリジェンスはますます重要な役割を果たすようになるはずです。Flashpointがお客様のアイデンティティインテリジェンス要件をどのようにサポートできるのか、その目でお確かめください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。