スレット・アクター

主な洞察

脅威アクターとは、コンピュータシステム、ネットワーク、またはデータのセキュリティに潜在的なリスクをもたらす個人、グループ、または組織を指す。これらのアクターは、サイバー攻撃を仕掛け、脆弱性を悪用し、情報を窃取し、または正常な運用を妨害する意図と能力を有する。脅威アクターは、個人ハッカーから組織化されたサイバー犯罪グループ、国家が支援する組織、またはハクティビスト集団まで多岐にわたる。

サイバー脅威はもはや孤立した個人から発せられるものではなく、異なる意図と能力を持つ、洗練され、よく組織化された様々な主体から生み出されるものである。

脅威行為者の種類

国家が支援するアクター

脅威主体の階層の頂点に位置するのは、国家が支援するグループである。これらの勢力は通常、各国政府の支援を受け、豊富な資源と高度な技術力を有している。彼らの主な動機は地政学的なものであることが多く、他国に対する戦略的優位を得ようとします。これには、重要インフラの破壊、スパイ活動、外国や国内の政策への影響などが含まれる。国家に支援されたアクターは洗練されているため、複雑で影響力の大きいサイバー作戦を実行することができ、特に危険である。

国家が支援するアクターの例としては、以下のようなものがある：

APT29(コージー・ベア)：ロシア諜報機関との関連が疑われるAPT29は、数々の著名なサイバースパイ活動に関与してきた。特筆すべきは、米大統領選への影響を狙った2016年の米民主党全国委員会のメール流出事件に関与していたことだ。
人民解放軍(中国)の61398部隊：このグループは中国軍の一部であると考えられており、主に米国内の幅広いターゲットに対してサイバースパイ活動を行ったとして告発されている。知的財産の窃盗や産業スパイを中心に、洗練された戦術と長期的な潜入戦略で知られている。

組織化されたサイバー犯罪集団

組織化されたサイバー犯罪グループは、脅威行為者のもう一つの手ごわいカテゴリーを代表する。国家が支援するアクターとは異なり、彼らの主な動機は金銭的利益です。これらのグループは組織化されており、しばしば企業のように活動し、高度なツールとテクニックを駆使して大規模なサイバー窃盗、詐欺、ランサムウェア攻撃を実行します。これらのグループの専門性と機知によって、企業や個人を問わず、持続的な脅威となっている。

組織化されたサイバー犯罪集団の例としては、以下のようなものがある：

ラザロ・グループ：北朝鮮に関連するこのグループは、金銭的利益を目的としたサイバー犯罪活動で悪名高い。2014年のソニー・ピクチャーズへのハッキングや2016年のバングラデシュ銀行強盗に関与し、8億5000万ドル以上を盗み出そうとした。
FIN7：高度に洗練され組織化されたサイバー犯罪グループ。主に米国における小売、飲食店、宿泊業界を標的とすることで知られる。主に高度なフィッシング手法を通じて、数百万件のクレジットカード番号を盗み出すことに成功している。フィッシングキャンペーンやマルウェアの展開によって成功裏に盗み出している。

ハクティビスト

ハクティビズムは、ハッキングとアクティビズムのユニークな融合であり、政治的または社会的変化を促進することが主な動機である。ハクティビストは、自分たちが非倫理的または不当だと認識している組織や政府に対して、そのスキルを使ってサイバー攻撃を仕掛ける。彼らの活動は、ウェブサイトの改ざんから分散型サービス拒否(DDoS)攻撃の開始まで多岐にわたるが、その目的はすべて、自分たちの大義に注目を集めたり、標的の業務を妨害したりすることにある。

ハクティビストの例としては、以下のようなものがある：

アノニマス：おそらく最も有名なハクティビスト集団であるアノニマスは、政府、宗教、企業のウェブサイトに対してサイバー攻撃を仕掛けることで知られる分散型集団である。サイエントロジー教会のウェブサイトをダウンさせたり、ISISに対する作戦を開始したりと、さまざまな行動に関与している。
LulzSec：アノニマスからスピンオフしたLulzSecは、政治的な動機というよりも、しばしば "笑い"(笑)のために行われる知名度の高い攻撃で知られていた。彼らはCIAやソニー・ピクチャーズを含むいくつかの主要な組織を攻撃し、その大胆なアプローチと被害者を公衆の面前で愚弄することで知られている。

インサイダーの脅威

インサイダーの脅威は、組織に害を及ぼすためにアクセス権を悪用する組織内の個人から生じる。このような個人は、従業員、請負業者、またはビジネス・パートナーである。インサイダーの脅威には、意図的なもの(不満を持った従業員が復讐を企てるなど)もあれば、偶発的なもの(従業員が無意識のうちに過失によってセキュリティを危険にさらすなど)もある。内部関係者は組織のシステムやプロセスを深く知っているため、この種の脅威に対する防御は特に困難です。

インサイダー脅威の例としては、以下のようなものがある：

チェルシー・マニング：ウィキリークスに大量の機密文書を流出させた米陸軍情報分析官。この事件は、機密情報にアクセスできる内部の人間に起因する大規模なデータ漏洩の可能性を浮き彫りにした。
エドワード・スノーデン：2013年に国家安全保障局(NSA)の機密情報を公開した元NSA契約者。NSAの監視行為に関する彼の暴露は、特に諜報組織における内部脅威に関するリスクに世界的なスポットライトを当てた。

サイバー攻撃の動機

脅威行為者は、さまざまな動機によって活動を推進している。一般的な動機には次のようなものがある：

スパイ活動(企業および政府機関)

サイバースパイ活動は、企業にとっても政府にとっても重大な関心事である。スパイ行為に従事する行為者は、政府の機密データから企業における企業秘密に至るまで、機密情報を盗もうとする。その動機は、地政学的分野であれ企業分野であれ、競争上または戦略上の優位を得ることにある。

財務上の利益

サイバー犯罪の世界で最も単純明快な動機は金銭的利益である。これには資金の直接的な窃取、機密情報の販売につながるデータ侵害、そして攻撃者が重要なデータやシステムへのアクセス回復と引き換えに支払いを要求するランサムウェア攻撃が含まれる。

混乱と破壊

一部のサイバー攻撃は、混乱や完全な破壊を引き起こすことを目的としている。これは特に国家が支援する主体やハクティビストの間で一般的である。こうした攻撃は重要インフラを標的とし、サービスを妨害し、場合によっては物理的損害をもたらすこともある。その動機は、地政学的なライバルを弱体化させることから、特定の政策や行動に対する抗議まで多岐にわたる。

評判と影響力

懸念が高まっているのは、世論を操作したり、組織の評判を傷つけたりすることを目的としたサイバー攻撃である。これには、偽情報の拡散、ソーシャルメディア・アルゴリズムの操作、ジャーナリズムや政治団体の完全性への攻撃などが含まれる。ここでの目的は、世論に影響を与えたり、社会の調和を乱したりすることである。

Vectra AIで脅威を検知するには？

Vectra AIは、組織のネットワーク内の脅威行為者を検出するための貴重な機能を提供します。ここでは、Vectra AIが脅威行為者の検出にどのように役立つかを紹介します。

振る舞い分析：Vectra AIは、高度な振る舞い分析と機械学習アルゴリズムを活用し、ネットワーク内のユーザー、デバイス、アプリケーションの正常な動作のベースラインを確立します。そして、脅威行為者の存在を示す可能性のある異常な行動を継続的に監視します。不正アクセスの試み、横方向への移動、データの流出など、通常の動作からの逸脱は、さらなる調査のためのアラートのトリガーとなります。
リアルタイムのモニタリング Vectra AIは、ネットワークトラフィック、エンドポイント、クラウド環境をリアルタイムでアクティブに監視します。ネットワークパケット、ログ、メタデータを分析することで、脅威行為者に関連するパターン、侵害の指標、疑わしい活動を特定します。この継続的な監視により、悪意のある活動を早期に検知し、脅威行為者がネットワーク内に滞留する時間を短縮します。
脅威インテリジェンスの統合：Vectra AI は、外部の脅威インテリジェンスフィードと統合し、検出能力を強化します。ネットワーク活動を既知の侵害指標や脅威行為者の行動と関連付けることで、Vectra AIは脅威行為者に関連する特定の戦術、技術、手順(TTP)を特定することができます。この統合により、検知精度が向上し、潜在的な脅威のプロアクティブな特定が可能になります。
自動化された検知とレスポンス：Vectra AIは脅威の検知を自動化し、セキュリティチームにリアルタイムでアラートを提供します。これらのアラートには、検出されたアクティビティに関するコンテキスト情報が含まれており、迅速かつ的を絞った調査が可能です。さらに、Vectra AIは、セキュリティオーケストレーション、自動化、レスポンス(SOAR)プラットフォームと統合し、侵害されたデバイスの隔離や悪意のある通信のブロックなどのレスポンスアクションを自動化することができます。
脅威ハンティング機能：Vectra AIは、セキュリティチームがプロアクティブな脅威ハンティング活動を実施できるようにします。インタラクティブなビジュアライゼーションと検索機能を備えたユーザーフレンドリーなインターフェイスにより、アナリストはネットワークアクティビティを探索し、カスタムクエリを作成し、潜在的な脅威行為者の行動を調査することができます。この機能により、アナリストは隠れた脅威を探索し、高度な持続的脅威(APT)を特定し、脅威行為者に関する追加情報を収集することができます。
インシデントレスポンスのサポート脅威者の存在が確認された場合、Vectra AIはインシデントレスポンス活動を支援します。詳細なフォレンジックとレトロスペクティブ分析を提供することで、セキュリティチームは脅威行為者の行動を追跡し、侵害の範囲を理解し、組織への影響を評価することができます。この情報は、封じ込め、修復、インシデント発生後の分析を支援します。

サイバーセキュリティの基礎知識

よくあるご質問(FAQ)

サイバーセキュリティにおける脅威アクターとは何か？

脅威アクターとは、コンピュータシステム、ネットワーク、またはデータに対して潜在的なリスクをもたらす個人、グループ、または組織を指す。これらの主体は、サイバー攻撃を仕掛け、脆弱性を悪用し、機密情報を窃取する意図と能力の両方を有している。脅威アクターは単独のハッカーから高度な国家支援グループまで多岐にわたり、それぞれが異なるレベルのリソースと技術的専門知識を有している。

主な脅威アクターの種類は何ですか？

サイバーセキュリティにおける脅威アクターには主に4つのタイプがある：

国家支援の主体：地政学的目標を標的とする、政府の後ろ盾を持つ豊富な資源を有する組織
組織化されたサイバー犯罪者：金銭的動機を持つ集団が、企業のような構造で活動している
ハクティビスト：政治的または社会的な動機を持つ主体が、イデオロギー的な目的のために破壊的作戦を実行する者
内部脅威：組織のアクセス権限を、故意または過失により悪用する従業員、契約社員、またはパートナー

脅威アクターとハッカーの違いは何ですか？

脅威アクターとは、サイバーセキュリティ上のリスクをもたらすあらゆる者を包括する広範な用語である。一方、ハッカーとは特にシステムに侵入する技術的スキルを持つ者を指す。悪意のあるハッカーは全て脅威アクターであるが、全ての脅威アクターがハッカーであるわけではない。例えば、過失により機密データを漏洩させた従業員は脅威アクターではあるが、ハッカーではない。脅威アクターには、自らハッキングを行わずに攻撃の資金提供、作戦の計画、技術者の採用を行う者も含まれる。

国家主体の脅威アクターとは何か？

国家主体の脅威アクターとは、地政学的目的のためにサイバー作戦を実施する政府支援組織である。こうしたグループは通常、豊富なリソース、高度な技術能力、標的に対する持続的なアクセス権を有している。代表的な例としては、ロシア情報機関と関連し2016年の民主党全国委員会(DNC)侵害事件に関与したAPT29(コージーベア)、および欧米企業からの知的財産窃盗で知られる中国の第61398部隊が挙げられる。国家主体のアクターは通常、政府機関、防衛関連企業、重要インフラ、戦略的産業を標的とする。

サイバー脅威アクターを動機づけるものは何か？

サイバー脅威アクターは主に四つの動機によって行動する：

スパイ活動：競争上の優位性または国家的な利益を得るために、機密情報、営業秘密、または専有データを盗むこと
金銭的利益：身代金要求、直接的な窃盗、盗まれたデータの売却、または詐欺スキームによる収益の創出
破壊活動：重要インフラ、事業運営、またはサービスを標的とし、混乱を引き起こすか、能力を示すことを目的とする
評判の毀損：組織の信頼性を損なうための虚偽情報キャンペーン、データ漏洩、または世論操作の実施

よく知られている脅威アクターの例にはどのようなものがありますか？

複数の脅威アクターグループが、注目を集める攻撃で悪名高くなっている：

ラザルスグループ：2014年のソニー・ピクチャーズハッキング事件およびワナクライランサムウェア攻撃の責任を負う北朝鮮国家支援組織
APT29(コージーベア)：SolarWindsサプライチェーン攻撃および民主党全国委員会(DNC)侵入事件の背後にいるロシア情報機関関連グループ
FIN7：小売業およびホスピタリティ業界を標的とした高度なサイバー犯罪組織フィッシングキャンペーン
アノニマス：政府や企業に対するDDoS攻撃やウェブサイト改ざんで知られる分散型ハクティビスト集団
LulzSec：宣伝とイデオロギー的理由からソニー、CIA、FBIのウェブサイトを標的としたハクティビスト集団

脅威アクターは通常、組織をどのように攻撃するのか？

脅威アクターは、組織を侵害するために様々な戦術、技術、手順(TTPs)を用いる：

偵察：OSINT、スキャン、ソーシャルエンジニアリングを通じて標的に関する情報を収集する
初期アクセス:フィッシングによる侵入フィッシングメール、脆弱性の悪用、盗まれた認証情報、または侵害されたサプライチェーンを介して侵入する
永続性の確立：バックドアのインストールまたはマルウェアをインストールし、再起動やパッチ適用後もアクセスを維持する
特権昇格：アクセス権限を昇格させ、システムに対する管理者権限を獲得すること
ラテラルムーブ：ネットワーク内を移動し、貴重な資産や機密データに到達する
データ漏洩：組織外への貴重な情報の窃取および転送
影響：ランサムウェアの展開、データの破壊、または業務の妨害

内部脅威アクターとは何か？

内部脅威アクターとは、組織のシステムへの正当なアクセス権限を持ちながら、そのアクセス権を悪用して損害を与える者を指します。内部関係者には、現職または元従業員、契約社員、ビジネスパートナー、あるいはネットワークやデータへの認可されたアクセス権を持つあらゆる人物が含まれます。主に以下の3種類に分類されます：

悪意のある内部関係者：意図的にデータを窃取し、システムを妨害し、または詐欺を働く
不注意な内部関係者：不注意や不十分なセキュリティ対策により、機密情報を誤って漏洩させる
侵害された内部関係者：外部脅威アクターによって認証情報が盗まれ、そのアクセス権限が悪用される

内部脅威は特に危険である。なぜなら、境界セキュリティ防御を迂回できる上、機密データの保管場所に関する知識を保持している場合が多いからだ。

組織は検知アクターをどのように検知するのか？

組織は、複数の階層化されたアプローチを通じて検知アクターを検知できます：

振る舞い :正常な活動の基準値を確立し、侵害を示唆する可能性のある異常な行動を特定する
リアルタイムネットワーク監視：ネットワークトラフィックを継続的に分析し、不審なパターン、コマンド&コントロール通信、またはデータ漏洩の試みを検知する
脅威インテリジェンス統合：既知の脅威アクター、そのTTP(戦術・技術・手順)、および侵害の兆候(IOC)に関するフィードの組み込み
セキュリティオーケストレーションと自動対応(SOAR)：脅威を迅速に特定・封じ込めるための検知とレスポンスワークフローの自動化
脅威ハンティング：自動検知システムを回避する隠れた脅威を積極的に探索すること
エンドポイント検知とレスポンス(EDR/XDR)：エンドポイントの活動を監視し、悪意のある動作を検知するとともに、フォレンジック機能を提供する

サイバー脅威アクターからどのように防御できますか？

脅威アクターに対する防御には包括的なセキュリティ戦略が必要です：

パッチと脆弱性管理：既知のセキュリティ上の欠陥を排除するため、システムを定期的に更新する
アイデンティティおよびアクセス管理：多要素認証(MFA)と最小権限アクセス原則の導入
セキュリティ意識向上トレーニング：従業員がフィッシングを認識できるよう教育するフィッシング攻撃やソーシャルエンジニアリングの手口を認識させる
ネットワークセグメンテーション：重要システムと機密データを分離することでラテラルムーブを制限する
継続的監視：ネットワーク、クラウド、エンドポイント全体で脅威をリアルタイムに特定する検知ツールの導入
インシデント対応計画：侵害を迅速に封じ込め修復するためのプレイブックの開発とテスト
バックアップと復旧：ランサムウェアや破壊的攻撃からの復旧のため、オフラインバックアップを維持する
Zero trust ：リソースへのアクセスを許可する前に、すべてのユーザーとデバイスを検証する