近年のサイバー攻撃の増加と進化に対抗すべく、さまざまな脅威情報(Threat Intelligence)が公開されています。しかしながら、その脅威情報を実際に活用できている組織はまだまだ少ないのではないでしょうか。
今回は比較的活用が容易な、オープンに公開されている脅威情報を紹介しながら、脅威情報をどのようにして自社に共有する仕組みを構築し、セキュリティ向上に役立てて行けばよいのかを解説します。
無償で脅威情報を公開しているプロジェクト
現在、私の所属するパロアルトネットワークス含め、実に多くのベンダーがお客様向けに脅威情報を提供しています。さらには、ベンダーや企業間で、さまざまな枠組みを超えて脅威情報を共有する動きも活発化してきています。
このようなサイバー攻撃に対抗する動きの先駆けとして、脅威情報を公開している非営利のプロジェクトやサービスがあります。まず紹介するのは「Spamhaus」です。
Spamhausはスパムメールの送信元リストなどの脅威情報を公開しています。図1はSpamhaus DROPリストです。
図1:The Spamhaus DROP list Spamhausはスパムメールの送信元リスト
DROPとはDon't Route Or Peerの略で、SpamhausはこのリストにあるIPアドレスの通信をすべてブロックすることを勧告しています。同様に危険な送信元アドレスをリスト化しているサービスやプロジェクトがありますが、最も有名なのがこのSpamhausです。
次に紹介するのは「Ransomware Tracker」です。
ランサムウェアは身代金要求型マルウェアとも呼ばれ、感染するとファイルが暗号化されてしまい、その後攻撃者により復号化の代わりに金銭などを要求されるサイバー攻撃です。
Ransomware Trackerは図2のようなランサムウェアで使われるC&Cサーバなどの脅威情報を公開しています。このような、非営利なプロジェクトやセキュリティベンダーが脅威情報を提供するサービスを総称して外部フィードと呼びます。
図2:Locky Ransomware C2 blocklist Ransomware Trackerが公開しているランサムウェアで使われるC&Cサーバなどの脅威情報