ここから本文です

ダークウェブから「ゼロデイ」を自動収集するシステムが登場

THE ZERO/ONE 8月25日(木)8時30分配信

ゼロデイの発見は、ダークウェブをクロールするのと同じくらい容易なことなのだろうか?

アリゾナ州立大学(ASU)のセキュリティ研究者らはそう考えており、既にいくつかの成功を収めている。共著者10名のグループは「Darknet and Deepnet Mining for Proactive Cybersecurity Threat Intelligence(事前対応サイバーセキュリティ情報のためのダークネットおよびディープネットのマイニング)」という論文の中で、ゼロデイが攻撃に使用される前に、いわゆるダークウェブやディープウェブと言われる場所のフォーラムをスクレイピング・解析することで、プログラム的にゼロデイを特定できる可能性について概説している。この研究によると、様々なデータマイニングや機械学習技術を使用すると、悪意のあるコードがビットコインと引き換えに販売されているようなフォーラムで行われている議論を解析することができる可能性があり、初期結果がこれを裏付けているようだ。

例えば、この論文では昨年の7月のFireEyeが発見したDyre Trojanを取り上げている。

2015年2月、MicrosoftはWindowsのリモートでコードの実行が可能な脆弱性(MS15-010 )を報告している。同チームの研究によると、この脆弱性を悪用したエクスプロイトは、2015年4月まで存在しなかった。この時点で、エクスプロイト(Dyre)が48ビットコイン(もしくは1万ドル~1万5000ドル)でダークウェブのマーケットに登場したのだ。研究者らはこの情報を利用し、これらのマーケットからの情報を収集し、キーワード検索で販売されている悪意のあるコードをフィルターにかけて分類することができるような自動化プロセスを作り上げる仕事に取り組んだ。この結果は今のところ、素晴らしいものである。

同チームは現在、コカインから最新のAdobeのエクスプロイトまで何でも販売している27のマーケットプレイスと21のフォーラムを追跡している。そしてこのようなマーケットプレイスは手強い場所でもある。

これらのサイトで収集した情報の大部分は、サイバーセキュリティと関連性のない非構造化データ形式である。例えば「SALE」という単語を間違って綴っているかもしれない。これにより自動化システムは単純にこのスペルミスをノイズとして無視してしまう可能性もある。

単語のバリエーション、特に「S4L3」といったよくあるハッカーの俗語に見られる単語の変形も、もちろん課題である。同チームはこれらの課題があるにも関わらず、4週間の期間で16のゼロデイエクスプロイトを検知しており、世に出ているゼロデイエクスプロイトを特定することにおいて、自動化システムには十分なな価値があることを証明した。

現在、サイバーキルチェーンの初期段階の情報入手については、1年以上もの間議論されている。事前偵察フェーズでの情報収集の取り組みに重点を置く多数のグループで議論されているが、今のところこれらのアプローチは成功もあれば失敗もある。

自動収集技術の利用に関心を向けるサイバー情報コミュニティが直面する最も大きな課題は、フォーラム自体が絶え間なく変化していることだ。

サイバー犯罪者は自分たちの標的に対してできること、標的が彼らに対してしそうなことにどんどん気付くようになってきている。このような技術の変化のいたちごっこは、敵の状況認識を増大させ、行動を変化させるだけである。フォーラムへのアクセスはどんどん難しくなっている。また洗練された精査プロセスが構築されており、被害者が出る前にゼロデイを阻止しようとするサイバー研究者や法執行機関を排除している。

2013年、FBIはヘロインから殺し屋まで何でも販売する違法な市場Silk Roadを閉鎖した。裁判所の文書によって、FBIがサイトを閉鎖するために多数の従来の調査技術に加え、Silk Road の基礎となるネットワークそのものを廃止するためのツールとしてサイバーも使用していたことが明らかになった。
この活動によって、全体で400万ドル相当のビットコインが押収され、運営者とされるRoss Ulbrichtが逮捕された。FBIの努力にも関わらず、Silk Roadは「Silk Road 3.0」として再ローンチされた。この新バージョンは、「大規模なセキュリティアップグレードとデザインの修正を行った」と公言するプロジェクトに支援され、連邦政府のスパイが探り回るのを避けようとしているようだ。

自動化技術を難しいものにしているのはサイバー犯罪者だけではない。脅威の状況変化もまた、サイバーインテリジェンスの実現方法を変化させているのだ。また、攻撃の範囲も進化している。

FireEyeの新しいCEOであるKevin Mandia氏は、「現在の脅威環境は、より小さな範囲での侵害という方向に変化している。このことから、組織によっては多ベンダー製品の組み合わせによる検知でこと足りるとして選んでいるのかもしれない」と指摘する。この姿勢の変化は、発見されていないゼロデイを探し出す調査やプロジェクト開発への支出を制限する可能性がある。ASUチームが改善できると信じているところとは正反対の、サイバーキルチェーンの最終段階である復元やインシデントレスポンスの方が好まれるかもしれないのだ。

彼らのペーパーによるとASUの研究チームは現在、調査のための資金追加を目指してシステムを売りに出しているが、駄目な理由なんてあるだろうか。彼らの収集・解析システムはゼロデイを収集するだけではない。毎週300以上の質の高いサイバー脅威警告を収集し、すぐに利用可能な情報の貴重なソースとなる。

上手くいけば、ASUのプロジェクトはシステムを成熟させられるような拠り所を見つけられるだろう。将来のバージョンには、盗まれたクレジットカード情報や医療記録、その他の犯罪活動のようなダークウェブやディープウェブで販売されている他の種類の情報の収集や解析も含まれるのだろう。
 
Written by:Rick Gamache
Rick Gamacheはサイバーセキュリティ分野で25年の経験のあるフリーランスのライターである。過去にはWapack Labsのマネージングディレクター、Red Sky AllianceのCIO、米国海軍の駆逐艦プログラムで連邦情報セキュリティマネジメント法(FISMA)主任監査官を務めた経歴がある。Rickは北欧諸国やインド、ロシア、ウクライナに焦点を置いたレベルの高いサイバーレポートや一般的なリスクレポートを執筆しており、国際的なサプライチェーンとしての戦略的なサイバー脅威情報問題について詳述している。
 
翻訳:編集部
原文:Automated systems crawl the DarkWeb to find Zero-Days
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

SecurityAffairs

最終更新:8月25日(木)8時30分

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]