Flashpointのインテリジェンスに基づく展望:2025年の脅威ランドスケープ | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Flashpointのインテリジェンスに基づく展望:2025年の脅威ランドスケープ

Threat Report

AI

Flashpoint

Intelligence

Flashpointのインテリジェンスに基づく展望:2025年の脅威ランドスケープ

nosa

nosa

2025.01.20

脅威インテリジェンス、セキュリティ、組織の回復力の将来像を描く5つの展望に焦点を当てます。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年12月6日付)を翻訳したものです。

脅威ランドスケープはかつてない速さで急激に進化しており、セキュリティにおいてもサイバー空間と物理的空間、そして地政学のいずれの課題にも対応可能な新しいアプローチが求められています。各組織は2025年を迎えるにあたり、より攻撃的な恐喝戦術を取り入れつつ新たなテクノロジーを悪用する犯罪グループから、サイバーキャンペーンや物理的破壊を伴うサボタージュ攻撃、そして業界全体の不安定化を企てる影響力行使キャンペーンを駆使する国家支援型アクターに至るまで、ますます複雑に絡み合った「脅威の網」に直面することになります。

Flashpointのインテリジェンスは、この複雑に絡み合ったランドスケープを俯瞰する独自の視点に加え、将来の対応に必要な鋭い見識をさまざまな組織に提供しています。今年の予測はFlashpointの主要なインテリジェンスがベースになっており、脅威インテリジェンスの将来像を描く5つの主要なトレンドに光を当てました。これらの知見は、各組織が次に起こることを理解するだけでなく、新たな課題に取り組み、適応する際に必要な回復力の養成に役立てることを目的としています。

FlashpointのCEO、Josh Lefkowitzは次のように話しています。「脅威ランドスケープが複雑さを増していく中、個々のイベントに対応するだけでは十分と言えません。次に何が起こるのかを予測するには、プロアクティブでインテリジェンスに基づいたアプローチが必要なのです」

予測1:サイバー空間、物理的空間、地政学における脅威が1つに

世界の脅威ランドスケープは劇的な変化を遂げつつあり、Flashpointではこれを「新冷戦」と呼んでいます。20世紀の「第一次冷戦」とは違い、この対立構造はデジタル、物理、地政学の各領域に重なり合う形で展開され、ロシア、中国、イラン、北朝鮮といった国家主体は、米国の安全保障パートナーエコシステムとの競争において必然的に枢軸を形成するようになっています。こうした敵対国家の枢軸はそれぞれの目的を達成するため、同盟社会全体に対してサイバーオペレーションやスパイ活動、物理的破壊を伴うサボタージュ攻撃を組み合わせたハイブリッドキャンペーンを展開しており、同盟国間の国家安全保障、対応、回復力の最前線に民間組織を否応なく引き込むことが多々あります。

地政学的緊張を原動力とし、重要なインフラを狙い、各産業を混乱させ、一般市民の信頼を損なう国家主導型の巧妙な攻撃が相次いでいることで、サイバー犯罪と地政学の境界線が曖昧なものになっています。最近発生した複数のインシデントにも、それがはっきりと示されていました。例えば、ロシアのStar Blizzardによるキャンペーンはスパイ活動と地政学的戦略を組み合わせたスピアフィッシング攻撃で、西側諸国のシンクタンクや防衛関連企業を標的としていました。また、レバノンとシリアのヒズボラ構成員を狙い、侵害された通信機器を悪用したサプライチェーン攻撃も、サイバー脅威と物理的脅威の交差がますます進んでいることを浮き彫りにしています。

「サイバー脅威、物理的脅威、地政学的脅威が1つになり、多国籍企業を標的とするケースが増えているため、セキュリティに対して総合的なアプローチが求められています」。Flashpointのグローバルセキュリティ担当エグゼクティブディレクター、Andrew Boreneはこのように話しました。「各組織でこれらの領域を個別に検討できる状況ではなくなっています。パターンを特定してリスクを予測し、あらゆる分野で活動する敵対者に対抗するには、一本化された脅威インテリジェンスが欠かせません」

この複雑なランドスケープを切り抜けるために、セキュリティチームは統合的なアプローチを取り入れる必要があります。サイバー空間と物理的空間、そして地政学におけるインテリジェンスからそれぞれ得た知見を組み合わせ、脅威ランドスケープを総合的に理解する作業もその1つです。そうすることで各組織はプロアクティブに脆弱性を特定し、リスクの優先順位を判断できるだけでなく、進化する新冷戦の課題に対して回復力を高めることができるのです。

予測2:インフォスティーラーは持続的な脅威に

インフォスティーラー(情報窃取型マルウェア)は、サイバー犯罪エコシステムにおいて最も根強く、感染リスクの高い脅威の1つとなっています。これらの軽量マルウェアプログラムは認証情報やCookieといった機微データをスクレイピングするよう設計されており、盗まれたデータはその後アンダーグラウンドのマーケットプレイスで販売されます。安価で導入しやすく、技術的な専門知識もほとんど必要ないため、インフォスティーラーは人気が高く、その参入障壁の低さゆえに、新参の脅威アクターから高度に組織化されたランサムウェアグループまで幅広く利用されています。

インフォスティーラー関連の活動は不法フォーラム全体で明らかに増えており、「ログ」の需要も急激に高まり続けています。より大きな規模の侵害やランサムウェア攻撃を助長するアンダーグラウンドエコノミーを支えているのが、感染したデバイスのデータを含むこれらのログです。例えば、Russian MarketのようなマーケットプレイスではLumma、Stealc、Vidarといったマルウェアファミリーからログが絶え間なくアップロードされていますが、これらはこのエコシステムで最大のシェアを占めるマルウェアとして2025年を迎える見込みです。

Flashpointのインテリジェンス担当ディレクター、Ian Grayは「インフォスティーラーのログで公開された認証情報は、企業に対する攻撃の入口になっています」と指摘しました。「これらはより広範な攻撃チェーンの第1ステップとして機能し、多くのケースでランサムウェアやデータ恐喝など、より破壊的な攻撃につながる初期アクセスを提供しています。Flashpointのデータには、脅威アクターたちがこうしたツールをますます巧妙に使っていることが示されており、それはセキュリティ対策の回避において特に顕著となっています」

2024年は、スティーラーのエコシステムに大きな変化があった1年でした。主な出来事は以下の通りです。

  • 6月にRiseProが閉鎖され、市場にアップロードされたRiseProのログが減少。
  • 9月にリリースされたChromeのセキュリティアップデートでCookie収集が妨害され、一時的にアクティビティが減少。
  • 法執行機関による作戦「Operation Magnus」が成功を収め、10月にRedLineとMETAのオペレーションがテイクダウン

より広範な攻撃チェーンにインフォスティーラーがどう組み込まれているのか、これを理解することは組織にとって重要です。「脅威アクターは戦術を絶えず進化させています。インフォスティーラーとログは入手しやすく使い勝手がいいことから、サイバー犯罪者たちにとっては攻撃の足掛かりを得るために使いやすいツールとなっています」とGrayは指摘しました。こういった傾向を監視し、初期アクセスの脅威に対する防御を強化することこそ、この蔓延するマルウェアがもたらすリスクを軽減するための鍵となります。随時更新され続けるインテリジェンスによって、インフォスティーラーとその脅威にさらされるリスクを大幅に減らすことができるのです。

予測3:サイバーセキュリティにおけるAIは諸刃の剣に

人工知能により、サイバーセキュリティのランドスケープは根本から変わりつつあります。「生成AIは熟練度の低い攻撃者にとっての障壁を下げる一方で、高度な脅威アクターの能力を増幅しています」とGrayは続けました。「商用の生成AIツールがリリースされて以来、フィッシング攻撃は1,265%増加しました。これらのツールが高速かつ正確に機能することで、セキュリティチームは従来の防御策を再考することを余儀なくされています」

こういったツールにより、攻撃者は言語の壁を乗り越え、文章のスタイルを模倣できるだけでなく、大規模なデータセットを分析した上で、パーソナライズされた説得力のあるフィッシングキャンペーンを作成できるようになります。巧妙なスピアフィッシングから、上級幹部になりすましたディープフェイクビデオ通話まで、AI主導の戦術はますます検出が困難になり、その影響はより壊滅的なものになっています。

また、AIの能力はフィッシング以外にも使われるようになっています。脅威アクターはどのような場合にAIツールを使用するのか、それぞれの利用目的を以下に挙げていきます。

  • ソーシャルエンジニアリング攻撃を行う目的で、音声や動画を複製するため。過去には攻撃者が会社の幹部になりすましたことで、従業員が騙されて数百万ドルを送金してしまうインシデントが発生した。
  • 有害なコードを生成してマルウェアを改良し、熟練度の低いサイバー犯罪者でも巧妙な攻撃を行える手段を提供するため。
  • 世論を動かす、あるいは標的の社会的信用を失墜させる目的で、大量の誤情報を生成して影響力行使の試みを増幅するため。

上記のようなリスクがあるにもかかわらず、AIはサイバー犯罪に対抗する上で欠かせないツールでもあります。実際にFlashpointでも、進化する脅威に対して先駆的に対応できるようにする上で、AIが一役買っています。

「AIはこの脅威ランドスケープを変えつつあり、より素早くて規模が大きく、自動化されたサイバー攻撃の実施を可能にしています」とLefkowitzは指摘しました。「被害者の信用を傷つけたり、システムを侵害したりするために、AIがいかに悪用されているかについては引き続き警戒しなくてはなりませんが、AIは人間が持つ専門知識と結びつくことで非常に大きな力を発揮する可能性も秘めています。FlashpointではAutomated Source DiscoveryなどのAIツールを活用して自社アナリストをサポートし、重要なインテリジェンスをより早く見つけ、敵の活動を効率的に阻止することを可能にしています」

サイバーセキュリティにおけるAIの未来は、この二面性をいかにバランスよく扱えるかによって決まるでしょう。AIが持つスピードと拡張性を人間の専門知識と組み合わせることで、各組織はAIがもたらすリスクを緩和しつつ敵を凌駕することができます。急速に発展するこのランドスケープで遅れを取らないためにも、プロアクティブな防御戦略や定期的な監視、AIツールへの継続的な投資が欠かせません。

予測4:データ悪用への対抗策としてProSINTが登場

脅威アクターらは複数の組織を狙った巧妙なキャンペーンを展開するために、一般に利用可能な情報(PAI)や購入することで利用できる情報(CAI)をますます活用するようになっています。アカウントの乗っ取りにつながるスピアフィッシング用の詳細なプロフィールの作成から、サードパーティの侵害を招くサプライチェーンの脆弱性の特定まで、オープンソースのデータの悪用は現代の脅威活動の基盤となりつつあるのです。この傾向は、情報収集に限らず、状況や正確性、実用的な知見を重視するインテリジェンスが早急に必要であることを浮き彫りにしています。

こうした進化する犯罪手口への重要な対抗策として、新たな形のOSINTが登場しました。Flashpointはこれを「ProSINT(Professional Open-Source Intelligence)」と呼んでいます。ProSINTによってPAIとCAIに厳格な基準による検証、コンテキスト化、倫理コンプライアンスを組み合わせることにより、各組織は特定のインテリジェンスニーズに対応しつつ、敵対者によるオープンデータの戦略的使用に対抗できるようになります。

「敵が攻撃手法に磨きをかける中、防御側のインテリジェンスの機能も、これに遅れを取らないよう進化していかなければなりません」とBoreneは述べています。「OSINTのノウハウにおいて、量ではなく質にこだわって情報を集めることがProSINTの要点であり、これによってインテリジェンスが正確かつ専門的なものになるほか、このハイブリッド型の脅威ランドスケープを乗り切らなければならない企業のリーダーたちを支援することができるのです」

AIや機械学習などの先進的なツールと経験豊富なアナリストの専門知識を組み合わせるProSINTによって、各組織は新たな脅威を特定し、敵対的なエコシステムを追跡して有害な活動をリアルタイムで阻止できるようになります。

「一般に利用可能な情報がますます武器化されている状況において、ProSINTは断固とした行動を取るために必要なインテリジェンスを各組織に提供します」とLefkowitzは述べました。「高度なツールと専門家の分析を組み合わせたProSINTによって、各組織の指導層は複雑な脅威に対抗できる力を手に入れると共に、情報に基づく倫理的な意思決定で事業活動を守れるようになります」

ProSINTを使ったアプローチの導入により、各組織はインテリジェンス構築の取り組みをプロアクティブな防御策に転換し、今日の巧妙な攻撃手法に対処しながら将来の脅威に備えることができます。

予測5:恐喝攻撃のランドスケープは進化し続ける

恐喝の手口がより複雑になる中、組織のレジリエンスやシステムの冗長性に対するアプローチについては再考する必要があります。脅威アクターは、もはやランサムウェアだけに頼っているわけではありません。データを暗号化する手法と、機微情報のリーク、業務の妨害、サードパーティの脆弱性の悪用をほのめかす恐喝の手法を組み合わせ、二重恐喝や三重恐喝といった多層的なキャンペーンを展開しています。こういった手法によってリスクが高まっているため、各組織の指導者はますます複雑化する攻撃に備えていくことが非常に重要です。

「脅威アクターはエコシステム全体に存在する脆弱性を狙うことで影響力を拡大し、混乱を引き起こす確率を最大限に高めています」とGrayは指摘しました。「これは業務のあらゆるレベルにおいて、レジリエンスを構築することの重要性を浮き彫りにしています」

サプライチェーンのリスクの増大、および大胆な恐喝キャンペーンの増加は、PACE(※)のような枠組みの重要性が再び高まっている理由を物語っています。もともと軍のコミュニケーション計画を構築するために策定されたPACEは、独立した体系の維持、明確な移行トリガーの設定のほか、非常時にシームレスに対応すべくチームを教育することで業務の継続性を確保しています。

(※訳注:Primary、Alternate、Contingency、Emergencyの頭字語で、日本語ではそれぞれ「主計画」「予備計画」「不測事態対処計画」「緊急事態対処計画」と訳されています。PACEは米軍により策定されたもので、緊急時の情報伝達を効率化する手順が定められています)

「レジリエンスはただ単にシステムを復旧することではなく、複雑な事態に備えることなのです」とBoreneは述べました。「指導者は、デジタル脅威と物理的脅威が組み合わさった攻撃が行われることを予測し、そのための準備をしておくべきです。机上演習に反映すべく、正確な脅威インテリジェンスを基に困難かつ現実に即した戦争ゲームのシナリオを準備することは、実際に攻撃を受けたり、身代金を要求されたり、あるいは重大なインシデントが発生した場合に業務に混乱をきたさないための最善の方法の1つです」

レジリエンス計画が不可欠になる状況としては、以下のようなものがあります。

  • 重要なシステムが侵害された際にコミュニケーションを確保する
  • 停電やネットワーク障害の発生時に業務を維持する
  • 市民の暴動や自然災害が発生するなどの非常時に、迅速なコミュニケーションを行う

レジリエンスを重視する組織は、企業の信頼性と業務の安定性を維持しつつ、混乱に耐えるためのより優れた体制が整っています。「レジリエンスは指導者レベルから始まります」とLefkowitzは言いました。「組織全体に備えの意識を浸透させる必要があり、サイバー攻撃であれ、物理的な脅威であれ、あるいは自然災害であれ、その状況が業務の継続性を試すだけでなく、運営体制を強化するものでなくてはならないのです」 

インテリジェンスを活用して脆弱性を特定し、PACEのような体系的な枠組みを採用することで、将来に向けてより安全かつ適用力のある基盤を築くことができます。Lefkowitzが述べたように、「これからの時代で組織の成功を左右する要素は、逆境に直面してもそれに適応し、強くなる能力を備えているかどうかなのです」

進化する脅威ランドスケープに道筋を描く

上記の5つの予測は、サイバーセキュリティと脅威インテリジェンスの未来を大きく左右し得形作る変革的なトレンドを浮き彫りにしています。こうした課題に先手を打つためには、単に問題に対応するだけの対策では不十分であり、実用的なインテリジェンスや戦略的な先見性、そして部門を越えた協力体制が必要です。これらの原則を取り入れ、包括的なセキュリティ戦略に投資することで、各組織はリスクを軽減できるだけでなく、レジリエンスを高める機会を捉えることができます。

脅威ランドスケープが急速に進化し続ける中、最新の情報を常に把握し、準備を整えておくことは、リスクを緩和するための重要な要素です。Boreneは次のように述べました。「大きな変化に直面している状況だとしても、サイバーセキュリティおよび脅威インテリジェンスの専門家たちの手元には、セキュリティ業界の目が行き届かない新たな『ギャップ』を悪用し、奇襲を仕掛ける脅威アクターに対抗する手段がないわけではありません。こうしたギャップを埋めることは世界各国が共有する使命であり、不可能なことではないのです」。適切なツールや知見、パートナーシップがあれば、セキュリティチームはこの複雑な状況を乗り切り、最も大切なものを守ることができるに違いありません。

Flashpoint, VulnDBについて

Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ