フォーティネットジャパンは7月26日、プレス向けの説明会を開催、同社が行っている特定のサイバー犯罪集団の具体的な攻撃手法や戦略の分析結果、業界横断的なセキュリティ対策を構築する取り組み、今後予想される人工知能(AI)など新技術の利用がもたらす新たな脅威の予測などを紹介した。
これらを説明したのは、米FortinetでChief of Security Insights & Global Threat Alliances, Office of CISOを務めるDerek Manky氏。同氏はビジョナリーとして、脅威の予測やロードマップの作成、脅威インテリジェンスに関するパートナーシップの構築を担当するほか、同社内の脅威対応チーム「Cyber SEAL Team」を組織し、人材育成なども手掛けているという。

Fortinet Chief of Security Insights, Global Threat Alliance Office of CISOのDerek Manky氏
まず、セキュリティ業界の横断的な対策組織として結成された「Cyber Threat Alliance(CTA)」についてManky氏は、セキュリティベンダー各社が参加して情報共有や対策を構築するもので、日本からもNECとNTT Securityが参加している説明した。同氏はCTAの設立メンバーの1人で、セキュリティ業界の協力関係の構築に積極的に関与している。CTAでは脅威情報をリアルタイムで共有するため「STIXv2」を採用したプラットフォームを構築している。
こうした活動による現時点での脅威分析の結果としてManky氏は、「侵入成功後に痕跡を隠ぺい(obfuscation)する手法や、分析/アナリティクスへの対応策が高度化し、ますます検知しにくくなりつつある」「日本に対するスパムキャンペーンが観測されている」「Windows XPやWindows Server 2003などで報告されたRDP(Remote Desktop Protocol)の脆弱性などに対する既知の攻撃が今でも継続している」「サプライチェーン攻撃の激化」「カメラやプリンターといったスマートデバイスへの攻撃の増加」といった傾向を指摘した。

CTAで構築されたリアルタイムの情報共有プラットフォーム「STIXv2 Platform」のイメージと主な参加企業。なお、今後Swarmを活用した高度なDDoS攻撃の激化も予想されるが、現在のSTIXv2では「DDoS攻撃の速度にリアルタイムで追従するのが難しい」(Manky氏)という理由で、DDoS攻撃の情報はカバーできておらず、今後の課題だという
続いて、特定のサイバー犯罪集団に関する詳細な分析結果となる「Playbook(プレイブック)」の作成についても説明した。ここでは、米連邦政府の非営利組織で、より安全な世界の実現を目指して連邦政府の研究開発組織などとともに活動する「MITRE」が作成/公開するサイバーセキュリティに関する攻撃手法や戦略/戦術に関するナレッジベース「MITRE ATT&CK」も活用しているという。
“Playbook”という言葉から同氏がイメージしているのは、アメリカンフットボールの各種フォーメーションを収録したものだという。同様に、サイバーセキュリティの“Playbook”は、特定のサイバー犯罪集団について、「何が攻撃の動機になっているのか」「どのような攻撃手法か」「どのようなツールを使うのか」――といった詳細な分析結果が含まれる。

※クリックすると拡大画像が見られます
同氏は、Playbookの作成プロセスを「Criteria(判定)」「Collection(情報収集)」「Analytics(分析)」「Investigation(調査)」「Dissemination(情報共有)」の5段階だと説明。競合他社でも同様の取り組みを行っている例はあるが、「他社では3段階目のAnalyticsまでを実施し、その結果を公表しているが、最も時間を要する作業であるInvestigationまで行っているのが、Fortinetの特徴」(Manky氏)としている。
Playbookを使うと、例えば、サイバーインテリジェンスなどの活動によって「特定の攻撃者からターゲットにされているようだ」という情報を得られた際には、その後どのような攻撃が仕掛けられて来るのかをあらかじめ予測して対策を準備できるようになる。また、攻撃手法や戦略をセキュリティ業界で共有することにより、対策を進化させることにも役立つと期待される。
一方、攻撃者側も公開された情報は知ることができるため、新たな攻撃手法を開発できてしまえるが、これは攻撃者側にとっても負担が重く、結果的に攻撃成功確率の悪化につながり、攻撃が「割に合わなくなる」効果も期待されるという。Playbookの作成に関して同氏は、現在では「GOBLINPANDA」「SILENCE GROUP」「ZEGOST」の3つの攻撃グループに関するものを公開しており、今後も四半期ごとに1件のペースで公開していきたいとした。