ダークウェブから「ゼロデイ」を自動収集するシステムが登場

『Security Affairs』

August 24, 2016 08:00
by 『Security Affairs』

ゼロデイの発見は、ダークウェブをクロールするのと同じくらい容易なことなのだろうか?

アリゾナ州立大学(ASU)のセキュリティ研究者らはそう考えており、既にいくつかの成功を収めている。共著者10名のグループは「Darknet and Deepnet Mining for Proactive Cybersecurity Threat Intelligence(事前対応サイバーセキュリティ情報のためのダークネットおよびディープネットのマイニング)」という論文の中で、ゼロデイが攻撃に使用される前に、いわゆるダークウェブやディープウェブと言われる場所のフォーラムをスクレイピング・解析することで、プログラム的にゼロデイを特定できる可能性について概説している。この研究によると、様々なデータマイニングや機械学習技術を使用すると、悪意のあるコードがビットコインと引き換えに販売されているようなフォーラムで行われている議論を解析することができる可能性があり、初期結果がこれを裏付けているようだ。

例えば、この論文では昨年の7月のFireEyeが発見したDyre Trojanを取り上げている。

2015年2月、MicrosoftはWindowsのリモートでコードの実行が可能な脆弱性(MS15-010 )を報告している。同チームの研究によると、この脆弱性を悪用したエクスプロイトは、2015年4月まで存在しなかった。この時点で、エクスプロイト(Dyre)が48ビットコイン(もしくは1万ドル〜1万5000ドル)でダークウェブのマーケットに登場したのだ。研究者らはこの情報を利用し、これらのマーケットからの情報を収集し、キーワード検索で販売されている悪意のあるコードをフィルターにかけて分類することができるような自動化プロセスを作り上げる仕事に取り組んだ。この結果は今のところ、素晴らしいものである。

同チームは現在、コカインから最新のAdobeのエクスプロイトまで何でも販売している27のマーケットプレイスと21のフォーラムを追跡している。そしてこのようなマーケットプレイスは手強い場所でもある。

これらのサイトで収集した情報の大部分は、サイバーセキュリティと関連性のない非構造化データ形式である。例えば「SALE」という単語を間違って綴っているかもしれない。これにより自動化システムは単純にこのスペルミスをノイズとして無視してしまう可能性もある。

単語のバリエーション、特に「S4L3」といったよくあるハッカーの俗語に見られる単語の変形も、もちろん課題である。同チームはこれらの課題があるにも関わらず、4週間の期間で16のゼロデイエクスプロイトを検知しており、世に出ているゼロデイエクスプロイトを特定することにおいて、自動化システムには十分なな価値があることを証明した。

現在、サイバーキルチェーンの初期段階の情報入手については、1年以上もの間議論されている。事前偵察フェーズでの情報収集の取り組みに重点を置く多数のグループで議論されているが、今のところこれらのアプローチは成功もあれば失敗もある。

自動収集技術の利用に関心を向けるサイバー情報コミュニティが直面する最も大きな課題は、フォーラム自体が絶え間なく変化していることだ。

サイバー犯罪者は自分たちの標的に対してできること、標的が彼らに対してしそうなことにどんどん気付くようになってきている。このような技術の変化のいたちごっこは、敵の状況認識を増大させ、行動を変化させるだけである。フォーラムへのアクセスはどんどん難しくなっている。また洗練された精査プロセスが構築されており、被害者が出る前にゼロデイを阻止しようとするサイバー研究者や法執行機関を排除している。

2013年、FBIはヘロインから殺し屋まで何でも販売する違法な市場Silk Roadを閉鎖した。裁判所の文書によって、FBIがサイトを閉鎖するために多数の従来の調査技術に加え、Silk Road の基礎となるネットワークそのものを廃止するためのツールとしてサイバーも使用していたことが明らかになった。

この活動によって、全体で400万ドル相当のビットコインが押収され、運営者とされるRoss Ulbrichtが逮捕された。FBIの努力にも関わらず、Silk Roadは「Silk Road 3.0」として再ローンチされた。この新バージョンは、「大規模なセキュリティアップグレードとデザインの修正を行った」と公言するプロジェクトに支援され、連邦政府のスパイが探り回るのを避けようとしているようだ。

自動化技術を難しいものにしているのはサイバー犯罪者だけではない。脅威の状況変化もまた、サイバーインテリジェンスの実現方法を変化させているのだ。また、攻撃の範囲も進化している。

FireEyeの新しいCEOであるKevin Mandia氏は、「現在の脅威環境は、より小さな範囲での侵害という方向に変化している。このことから、組織によっては多ベンダー製品の組み合わせによる検知でこと足りるとして選んでいるのかもしれない」と指摘する。この姿勢の変化は、発見されていないゼロデイを探し出す調査やプロジェクト開発への支出を制限する可能性がある。ASUチームが改善できると信じているところとは正反対の、サイバーキルチェーンの最終段階である復元やインシデントレスポンスの方が好まれるかもしれないのだ

彼らのペーパーによるとASUの研究チームは現在、調査のための資金追加を目指してシステムを売りに出しているが、駄目な理由なんてあるだろうか。彼らの収集・解析システムはゼロデイを収集するだけではない。毎週300以上の質の高いサイバー脅威警告を収集し、すぐに利用可能な情報の貴重なソースとなる。

上手くいけば、ASUのプロジェクトはシステムを成熟させられるような拠り所を見つけられるだろう。将来のバージョンには、盗まれたクレジットカード情報や医療記録、その他の犯罪活動のようなダークウェブやディープウェブで販売されている他の種類の情報の収集や解析も含まれるのだろう。
 
Written by:Rick Gamache
Rick Gamacheはサイバーセキュリティ分野で25年の経験のあるフリーランスのライターである。過去にはWapack Labsのマネージングディレクター、Red Sky AllianceのCIO、米国海軍の駆逐艦プログラムで連邦情報セキュリティマネジメント法(FISMA)主任監査官を務めた経歴がある。Rickは北欧諸国やインド、ロシア、ウクライナに焦点を置いたレベルの高いサイバーレポートや一般的なリスクレポートを執筆しており、国際的なサプライチェーンとしての戦略的なサイバー脅威情報問題について詳述している。
LinkedIn:https://www.linkedin.com/in/rick-gamache-cissp-021ab43
Twitter:https://twitter.com/thecissp
 
翻訳:編集部
原文:Automated systems crawl the DarkWeb to find Zero-Days
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…