検索
特集/連載

ダークWebで自社情報を見つけたら? 情シスが踏み越えてはならない境界線情シスが守るべき一線

「敵を知る」ためのダークWeb監視は有効な防御策か、それとも無謀な賭けか。自社運用に潜む法的リスクや、「監視対象チェックリスト」を解説する。

Share
Tweet
LINE
Hatena

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 サイバー犯罪者の「盛り場」であるダークWeb(通常の手段ではアクセスできないWebサイト群)の監視は、企業のセキュリティチームにとって有効な防御手段の一つだ。例えば、自社システムの認証情報が漏えいしているかどうかを確認する他、自社を狙った攻撃計画に関する情報を手に入れられる。企業はダークWebを監視すれば、リスクをいち早く把握し、攻撃が実行される前に対策を講じることが可能になる。

 しかし、全ての企業にとってダークWeb監視が価値あるものとは限らない。企業は利益とコスト、リスクを比較検討し、場合によってはダークWeb監視より他のセキュリティ対策に投資したほうがいいという判断をしなければならない。本稿はダークWeb監視のリスクとメリットを考える。

ダークウェブ監視のリスク対メリット どちらのほうが大きい?

 企業はダークWeb監視によって貴重なインサイト(洞察)を得ることができるが、ダークWeb監視には大きな制約もある。まず、ダークWeb監視ではサイバー犯罪者によって投稿された情報しか発見できない。サイバー犯罪者が攻撃を秘密裏に計画している場合、関連情報をダークWebに公開することはない。

 もう一つの制約は、自社に関する情報を探すべき場所が非常に多いことだ。新しい場所が次々と現れ、その多くは存在を広告していない。自社でダークWebを監視する場合、時間とノウハウが不可欠だ。ダークWeb監視用には「Maltego」や「SpiderFoot」といったツールがあるが、その利用に当たって専門知識が必要になる。

 自社でダークWebを監視するときは、ログデータ分析ツール「SIEM」(Security Information and Event Management)や対処の自動化ツール「SOAR」(Security Orchestration and Response)、エンドポイント保護ツール「EDR」(Endpoint Detection and Response)との連携も重要だ。

 専門業者のサービスを利用することで、自社に必要なリソースがなくても、ダークWebの監視が可能になる。しかし、それらのサービス利用にはコストが伴う他、サービスが自社のニーズに合っているかどうかの確認作業も発生する。一方、専門業者の力を借りることのメリットは、ダークWeb監視に当たっての法的なリスクを低減できる点にある。自社でダークWebを監視する場合、セキュリティチームが危険な場所に足を踏み入れ、さまざまな法的なリスクが生じかねない。

 ダークWeb監視の価値について考えると、小規模な企業にとっては、コストやリスクがメリットを上回るため、あまり価値がないとみられる。一方で、大規模な企業や知名度が高い企業だと、ダークWeb監視の価値が高まると考えられる。

ダークWebで何を監視するのか

 ダークWebを監視する企業は、以下の情報を探すと良いだろう。

  • 漏えいした認証情報
    • フィッシングや、スパイウェアを使った攻撃によって認証情報が流出しているかどうかを確認できる。
  • IT製品の修正されていない脆弱(ぜいじゃく)性情報
    • ダークWebでは、特定のIT製品に関する脆弱性情報が公開されたり販売されたりしている。
  • 企業固有の脆弱性情報
    • 企業を侵害したサイバー犯罪者が、その企業のシステムの弱点に関する情報を他のサイバー犯罪者に転売することがある。
  • 盗まれた自社情報
    • ランサムウェア(身代金要求型マルウェア)や情報窃取ツールを使って標的システムに侵入したサイバー犯罪者が、盗まれた情報の一部をダークWebで公開することがある。
  • 内部脅威の情報
    • ダークWebには、自社について不満を抱いている従業員がシステムのアクセス情報を漏えいさせるサイトがある。
  • フィッシングキット
    • ダークWebでは、企業の正規のWebサイトに見せかけた詐欺サイトを作るためのキットが販売されている。

ダークWebのどこを見ればいいのか

 ダークWebの一部のサイトは、攻撃ツールやソフトウェアの脆弱性情報を売るための「市場」として機能している。他には、攻撃者の求人掲示板や、攻撃サービスを提供するサイトもある。ダークWebの著名なフォーラムとして「BreachForums」が存在していたが、現在は国司法機関によってテイクダウンされている。

 近年は、メッセージングアプリケーション「Telegram」といったツールが、ダークWebに代わって攻撃者から使われることが広がっている。Telegramでは、盗まれた認証情報や他のデータを販売するためのチャンネルが数千あるとセキュリティ専門家はみている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る