脅威アクター

サイバーセキュリティにおいて、脅威の主体悪意のある主体、または悪意のある主体とは、コンピュータ、デバイス、システムネットワークなどのサイバー領域で悪意のある行為に関与する個人または集団を指します。[ 1 ]脅威の主体は、サイバー関連の犯罪に関与し、未公開の脆弱性を悪用して業務を妨害します。 [ 2 ]脅威の主体は、それぞれ異なる学歴、スキル、リソースを持っています。[ 1 ] サイバー攻撃の頻度と分類は急速に変化しています。脅威の主体の背景は、彼らが誰を標的にし、どのように攻撃し、どのような情報を探すのかを決定します。脅威の主体には、サイバー犯罪者国家レベルの主体、イデオローグ、スリルを求める人/荒らし、内部関係者、競合他社など、数多く存在します。[ 3 ]これらの脅威の主体は、それぞれ異なる動機、手法、標的、盗んだデータの使用法を持っています。[ 4 ]

背景

サイバー空間の発展は、社会にメリットとデメリットの両方をもたらしました。サイバー空間は技術革新を促進する一方で、様々な形態のサイバー犯罪ももたらしました。[ 2 ]サイバー空間の黎明期以来、個人、グループ、そして国家レベルの脅威アクターが、被害者の脆弱性を悪用するサイバー犯罪に関与してきました。[ 2 ]脅威アクターには、動機や標的が異なる複数のカテゴリーがあります。

金銭目的の俳優

サイバー犯罪者の主な目的は2つあります。1つ目は、システムに侵入して貴重なデータやアイテムにアクセスすることです。2つ目は、システムに侵入した後に法的措置を回避しようとすることです。サイバー犯罪者は、大規模詐欺師/自動化ハッカー、犯罪インフラプロバイダー、そして大物ハンターの3つのサブグループに分類できます。[ 3 ]

大量詐欺師や自動化ハッカーには、金銭的利益を得るためにシステムを攻撃するサイバー犯罪者が含まれます。これらの脅威アクターは、ツールを使用して組織のコンピュータ システムを感染させます。次に、被害者がデータを回復するための金銭的賠償を求めます。[ 2 ]犯罪インフラプロバイダーは、ツールを使用して組織のコンピュータ システムを感染させることを目的とする脅威アクターのグループです。犯罪インフラプロバイダーは、その後、組織のインフラストラクチャを外部の組織に販売し、システムを悪用できるようにします。通常、犯罪インフラプロバイダーの被害者は、システムが感染していることに気づいていません。[ 2 ]大物ハンターは、単一の高価値ターゲットを攻撃することを目的とするサイバー犯罪者の別のサブグループです。大物ハンターは、ターゲットのシステム アーキテクチャや使用するその他のテクノロジーなど、ターゲットについて学習するために余分な時間を費やします。被害者は、電子メール、電話攻撃、またはソーシャル エンジニアリング スキルによって狙われる可能性があります。[ 2 ]

国民国家主体

国家主導の脅威アクターは、国​​家の利益に関わる情報の獲得を狙っています。国家主導のアクターは、金融技術情報など、様々な分野に関心を寄せています。[ 2 ]国家が国家主導のアクターを利用する方法は2つあります。まず、自国の政府情報機関を活用する国があります。次に、サイバー犯罪を専門とする組織と協力する国もあります。外部のグループを利用する国は追跡可能ですが、外部のグループによる行為に対して、必ずしも責任を負うとは限りません。国家主導のアクターは、他国だけでなく、民間企業や非政府組織などの外部組織も攻撃対象とします。彼らは通常、自国の対諜報戦略を強化することを目的としています。[ 2 ]国家主導の攻撃には、戦略的破壊活動重要インフラへの攻撃などが含まれます。国家は、サイバー空間において非常に大規模な脅威アクター集団であると考えられています。[ 5 ]

イデオローグ(ハクティビストやテロリスト)

イデオローグとみなされる脅威アクターには、ハッカーテロリストという2つの攻撃者グループが含まれます。これら2つの攻撃者は、目的が似ているため、同じグループに分類できます。しかし、ハクティビストとテロリストは、サイバー犯罪の実行方法が異なります。

ハクティビズムとは、ワールド ワイド ウェブの初期に造られた用語です。これは、ハッキング (hacking) とアクティビズム (activism)という 2 つの単語を組み合わせたものです。[ 2 ]ハクティビストとは、通常、自身の信念やイデオローグを推進するためにサイバー犯罪を犯す用意のある個人または団体のことです。[ 3 ]多くのハクティビストには、反資本主義者反企業主義の理想主義者が含まれており、彼らの攻撃は同様の政治的および社会的問題に触発されています。[ 2 ]テロリズムとは、目的を達成するためにテロを起こそうとする個人または集団のことです。ハクティビストとテロリストの主な違いは、最終目的です。ハクティビストはメッセージを広めるために安全保障法を破ることもいといませんが、テロリストは目的を達成するためにテロを起こそうとします。イデオローグは、他の種類の脅威アクターとは異なり、通常、金銭的インセンティブによって動機付けられません。[ 2 ]

スリルを求める人と荒らし

スリルシーカーとは、実験目的のみでシステムを攻撃する脅威アクターです。[ 3 ]スリルシーカーは、コンピュータシステムやネットワークの動作について詳しく知りたがり、コンピュータシステムにどれだけのデータを侵入できるかを知りたいと考えています。大きな損害を与えることは目的としていませんが、組織のシステムに問題を引き起こす可能性があります。時が経つにつれ、スリルシーカーは現代のトロールへと進化しました。トロールは、スリルシーカーと同様に、娯楽目的でシステムを攻撃する個人またはグループのことです。しかし、スリルシーカーとは異なり、トロールは悪意を引き起こすことを目的としています。[ 2 ]現代のトロールは、誤情報や危害を引き起こす可能性があります。

インサイダーと競合他社

インサイダーは脅威アクターの一種で、ネットワーク情報を他の敵対者に販売する内部関係者、または不当な扱いを受けたと感じて報復する必要性を感じる不満を持つ従業員のいずれかである可能性があります。 [ 3 ]インサイダー攻撃の防止は困難な場合がありますが、構造化されたログ記録および分析計画を導入しておけば、攻撃が成功した後にインサイダー脅威アクターを検出することができます。ビジネス上の競合他社も、組織に損害を与える可能性のある脅威アクターの1つです。競合他社は、通常は安全に保護されている組織の秘密にアクセスできる可能性があります。組織は、ビジネスインテリジェンスに関するより深い知識を獲得することで、競合他社の脅威アクターから身を守ることができます。[ 3 ]

脅威アクターを特定する組織

政府機関

アメリカ合衆国(US) - 国立標準技術研究所(NIST)

米国国立標準技術研究所(NIST)は、国家レベルのサイバーセキュリティ問題に取り組む政府機関です。NISTは、リスク評価の実施に関するガイドラインを含む、サイバーセキュリティガイドラインに関する報告書を作成しています。[ 6 ] NISTは、サイバー脅威の主体を、一般的に国家政府、テロリスト、組織犯罪グループ、ハッカー、ハッカーに分類しています。[ 7 ]

欧州連合(EU) - 欧州連合サイバーセキュリティ機関(ENISA)

欧州連合サイバーセキュリティ機関(ENISA)は、サイバーセキュリティ能力の向上を任務とする欧州連合(EU)に拠点を置く機関です。ENISAは、EU内の情報セキュリティ専門家に対し、調査と支援を提供しています。 [ 8 ]この機関は2019年までサイバー脅威レポートを発行しています。このレポートの目的は、公表されたインシデントを特定し、それらの攻撃を最も可能性の高い脅威アクターに帰属させることです。最新のレポートでは、国家、サイバー犯罪者、ハクティビスト、サイバーテロリスト、そしてスリルを求める人々を特定しています。[ 3 ] [ 8 ]

国際連合(UN)

国連総会(UNGA)もサイバーセキュリティの問題への意識向上に取り組んでいます。UNGAは2019年に、国際安全保障の文脈における情報通信分野の発展に関する報告書を発表しました。[ 3 ] [ 9 ]この報告書では、国家、サイバー犯罪者、ハクティビスト、テロリスト集団、スリルを求める人々、内部関係者といった脅威主体が特定されています。[ 3 ] [ 9 ]

カナダ - カナダサイバーセキュリティセンター (CCCS)

カナダでは、脅威アクターとは、悪意を持って脆弱性を悪用し、損害を与えることを目的とする国家、団体、または個人と定義されています。脅威アクターとは、データ、デバイス、システム、またはネットワークにアクセスまたは変更するために、情報システムへのアクセスを試みている者を指します。[ 10 ]

日本 - 内閣官房内閣リスク管理戦略センター(NISC)

日本政府の内閣サイバーセキュリティセンター(NISC)は、日本に「自由、公正かつ安全なサイバー空間」を創出するために2015年に設立されました。[ 11 ] NICSは2018年にサイバーセキュリティ戦略を策定し、国家とサイバー犯罪が最も重要な脅威であると概説しました。[ 12 ]また、テロリストによるサイバー空間の利用を監視し、理解する必要があることも示しています。[ 12 ]

ロシア - ロシア連邦安全保障理事会

ロシア連邦安全保障会議は2016年にサイバーセキュリティ戦略教義を発表した。[ 13 ]この戦略では、サイバーセキュリティ対策に対するリスクとして、国家主体、サイバー犯罪者、テロリストといった脅威主体が強調されている。[ 3 ] [ 13 ]

非政府組織

クラウドストライク

CrowdStrikeは、サイバーセキュリティ技術およびウイルス対策を提供する企業であり、毎年脅威レポートを発行しています。2021年版グローバル脅威レポートでは、国家とサイバー犯罪者がサイバーセキュリティに対する2つの主要な脅威であると報告されています。[ 14 ]

ファイアアイ

FireEyeは、サイバー攻撃の検知と防止に携わるサイバーセキュリティ企業です。同社は、顧客のセンサーシステムから得られた結果に基づき、検知された脅威の傾向に関するレポートを毎年発行しています。[ 15 ]同社の脅威レポートでは、国家支援を受けた主体、サイバー犯罪者、内部関係者が現在の脅威として挙げられています。[ 15 ]

マカフィー

マカフィーは、アメリカのグローバルなコンピュータセキュリティソフトウェア企業です。同社は、サイバーセキュリティにおける主要な課題を特定する脅威レポートを四半期ごとに発行しています。[ 16 ] 2021年10月の脅威レポートでは、サイバー犯罪者がこの分野における最大の脅威の一つであると概説されています。[ 16 ]

ベライゾン

ベライゾンは、過去の顧客インシデントに基づいた脅威レポートを提供しているアメリカの多国籍通信会社です。彼らは脅威アクターを定義する際に、次のような問いを投げかけています。「この事件の背後にいるのは誰か?フィッシング攻撃を仕掛ける外部の「悪者」かもしれないし、機密文書を座席のポケットに置き忘れる従業員かもしれない」[ 17 ] 。彼らはレポートの中で、国家主体とサイバー犯罪者という2種類の脅威アクターを概説しています。[ 17 ]

テクニック

フィッシング

フィッシングは、脅威アクターがユーザー名、パスワード、クレジットカード情報、社会保障番号などの機密データを入手するために用いる手法の一つです。フィッシング攻撃は通常、脅威アクターが被害者を騙して機密情報を開示させたり、被害者のシステムに悪意のあるソフトウェアをインストールさせたりするために設計されたメッセージを送信することで発生します。[ 18 ]

クロスサイトスクリプティング

クロスサイトスクリプティングは、脅威アクターが安全で信頼できるウェブアプリケーションにクライアントサイドのスクリプトを挿入することで発生するセキュリティ脆弱性の一種です。[ 19 ]このコードは、被害者のシステム上で感染性のあるスクリプトを起動します。これにより、脅威アクターは機密データにアクセスできるようになります。[ 20 ]

SQLインジェクション

SQLインジェクションは、脅威アクターがデータ駆動型アプリケーションを攻撃するために使用するコードインジェクション手法です。脅威アクターは悪意のあるSQL文を挿入することで、被害者の情報を抽出、変更、または削除することができます。[ 20 ]

サービス拒否攻撃

サービス拒否攻撃(DoS攻撃)とは、脅威主体がネットワークホストのサービスを一時的または無期限に中断させることで、自動化されたリソースを被害者が利用できないようにするサイバー攻撃です。脅威主体は、偽のリクエストを大量に送信してネットワークを圧倒し、業務を妨害することでDoS攻撃を実行します。[ 20 ]

参考文献

  1. ^ a b「サイバーセキュリティスポットライト - サイバー脅威アクター」 CIS 2021年11月13日閲覧
  2. ^ a b c d e f g h i j k l Pawlicka, Aleksandra; Choraś, Michał; Pawlicki, Marek (2021-10-01). 「サイバースペースの迷える羊、すなわち社会全体の利益のために法律を破ると主張する行為者」パーソナル・ユビキタス・コンピューティング25 ( 5): 843– 852. doi : 10.1007/s00779-021-01568-7 . ISSN 1617-4917 . S2CID 236585163 .  
  3. ^ a b c d e f g h i j Sailio, Mirko; Latvala, Outi-Marja; Szanto, Alexander (2020). 「未来の工場におけるサイバー脅威アクター」 .応用科学. 10 (12): 4334. doi : 10.3390/app10124334 .
  4. ^アブロン、リリアン. 「データ泥棒 - サイバー脅威アクターの動機と盗難データの利用・収益化」(PDF) . www.rand.org .
  5. ^ 「ENISA脅威ランドスケープレポート2018」 ENISA 2021年11月14日閲覧
  6. ^ Ross, Ronald S. (2012-09-17). 「リスク評価の実施ガイド」 . NIST .
  7. ^ 「サイバー脅威源の説明 | CISA」us-cert.cisa.gov . 2021年12月7日閲覧
  8. ^ a b「ENISA脅威ランドスケープレポート2018」 ENISA 2021年12月7日閲覧
  9. ^ a b "A/74/120 - E - A/74/120 -Desktop" . undocs.org . 2021年12月7日閲覧
  10. ^セキュリティ、カナダサイバーセンター(2018年8月15日)。「カナダサイバーセキュリティセンター」カナダサイバーセキュリティセンター。 2021年12月7日閲覧
  11. ^ 「内閣サイバーセキュリティセンター(NISC)日本」 www.cybersecurityintelligence.com . 2021年12月7日閲覧
  12. ^ a b「内閣サイバーセキュリティセンター | NISC」 . www.nisc.go.jp . 2021年12月7日閲覧
  13. ^ a b "Совет Безопасности Российской Федерации" . www.scrf.gov.ru 2021年12月7日閲覧
  14. ^ 「2021年CrowdStrikeグローバル脅威レポート」go.crowdstrike.com . 2021年12月7日閲覧
  15. ^ a b「[レポート] M-Trends 2021」FireEye . 2021年12月7日閲覧
  16. ^ a b「McAfee Labs 脅威レポート – 脅威調査 | McAfee」 www.mcafee.com . 2021年12月7日閲覧
  17. ^ a b「2021 DBIRマスターガイド」 Verizon Business 2021年12月7日閲覧
  18. ^ 「フィッシングとは? 例とフィッシングクイズ」 Cisco . 2021年12月8日閲覧
  19. ^ 「クロスサイトスクリプティング(XSS)ソフトウェア攻撃 | OWASP Foundation」 . owasp.org . 2021年12月8日閲覧
  20. ^ a b c「Webアプリケーションファイアウォールとは? | WAFの説明 | CrowdStrike」 . crowdstrike.com . 2021年12月8日閲覧