脅威インテリジェンスを活用したサイバー犯罪の検出と追跡

※この投稿は米国時間 2025 年 2 月 26 日に、Google Cloud blog に投稿されたものの抄訳です。

Google がどのようにセキュリティを運用しているのか、知りたいと思ったことはありませんか。Google のスペシャリストが、セキュリティに関する喫緊のトピック、課題、懸念事項に対する Google のアプローチについて詳しく解説し、インサイト、所見、重要なヒントを紹介します。リスクとセキュリティに関して優れた成果を促進できるのが脅威インテリジェンスです。今回は、Google Threat Intelligence グループでサイバー犯罪分析責任者を務める Kimberly Goody が、脅威インテリジェンスに対する Google のアプローチについて、主要な柱となる主要なトピックをいくつか説明します。

悪意のあるオンライン アクティビティの大半は金銭目的のサイバー犯罪です。また、サイバー犯罪の背後にいる脅威アクターの発見、追跡、阻止に、防御側のリソースの大部分が費やされています。

サイバー犯罪の脅威は非常に大きく、Mandiant Consulting が 2024 年に対応した攻撃のうち、金銭目的のアクターによる侵入は、国家機関による侵入の 4 倍近くに達していました。この点については、新しいレポート、サイバー犯罪: 国家安全保障にとっての多面的な脅威で詳しく説明しています。

このレポートでは、Google の脅威インテリジェンスの専門家がこうした攻撃について「その背後に存在するアクターの動機にかかわらず、国家安全保障への脅威として深刻に受け止める必要がある」と述べています。

サイバー犯罪を阻止するには、高い技術とスキル、そして少しの運が必要です。運はコントロールできませんが、Google では脅威インテリジェンスのシグナルとデータに対して、防御側に有利な状況を作り出せる独自のアプローチを採用しています。

基本を知る: 現実世界の可視化

基本的に脅威インテリジェンスとは、誰が、どのように、なぜ、あなたを標的にしているのかを見極め、予測することです。そのために、まずはデータの収集から始めます。

Google Threat Intelligence グループ（GTIG）は、Mandiant Intelligence と脅威分析グループ（TAG）の各チームを統合したもので、Alphabet と、そのユーザーやお客様に対するサイバー脅威を特定、分析、軽減し、取り除くことを重要な目的としています。GTIG が持つ情報網は広く、プライバシーを尊重しながら、Google の広大なポートフォリオ全体から大量のデータソースを活用できる状態にあります。

脅威インテリジェンス サービスと同様に、GTIG はさまざまなツールと手法を使用して、未加工のインテリジェンス データを収集しています。たとえば、ボットネット、サイバー犯罪フォーラム、メッセージ サービスなどのソースから収集したデータや、攻撃への対応で得られたインテリジェンス、Google Cloud Security Operations サービスから入手したグローバルなテレメトリーなどが挙げられます。

その後、AI モデルを実行して抽出されたデータを分類し、マルウェア分類、関数の振る舞い、トピック分類などの有用な拡張情報で注釈を付けます。そして、その結果をオープンソースのインテリジェンス フィードやその他のサードパーティ サービスからの情報と組み合わせ、相互参照します。

データソースを組み合わせることで、脅威の相関関係を理解しやすくなり、組織が現在直面している脅威の状況を可視化できるようになります。これにより、アクターが侵入に使用する手法、戦術、手順（TTP）、侵入した後の行動など、被害を受けた環境で発生している実際の脅威を詳しく調べることができます。

このインテリジェンスにより、実際の攻撃に基づくリスク プロファイルの作成が強化されるため、Google のセキュリティ チーム（およびお客様のセキュリティ チーム）は、脅威に対して事後対応ではなく事前対策を取ることができます。

優先順位付け、コンテキスト化、事前対策

Google の脅威インテリジェンス分析サイクルは、優先順位付け、コンテキスト化、事前対策という相互に関連する 3 つの側面から成り立っています。

優先順位付け: Google の防御とお客様の防御という観点から、どのサイバー攻撃に即座に対応することが最も重要なのかを把握する能力は、分析において不可欠な要素です。

Google は、自社が持つ脅威インテリジェンスの規模と範囲、そして世界中で毎日発生している攻撃に対応していることから、組織に実際に直接的な影響を及ぼしている日々の脅威を把握できます。このような攻撃の情報を基に、Google が長期にわたり調査し、追跡しているグループの優先順位付けに役立つ入力データが生成されます。

コンテキスト化: 攻撃やその要素を関連付けられると、全体像を把握できるようになります。たとえば、侵入時に使用されたマルウェアの種類を把握し、それをアンダーグラウンド フォーラムのデータと関連付けることで、アトリビューションに関する意思決定に活用できます。

事前対策: 攻撃に関連するフォーラムを運営している脅威アクターや、攻撃で使用されたツールを特定できれば、事前対策としてそれらをモニタリングできます。このモニタリング プロセスにより、たとえば身代金要求メッセージのカスタマイズや、暗号化アルゴリズムの変更など、マルウェアに変更が加えられたかどうかがわかります。

たとえば、「サービスとして」販売されているマルウェアが侵入時に使用されていたことが特定されたとします。そして調査によって、このサービスが使用者に代わってドメインを登録したり、コマンド＆コントロール攻撃のインフラストラクチャを提供したりしていることがわかったとします。

このような場合は、あるパターンに一致するドメインを見つけても、そのパターンが実際にマルウェアを使用している人物を示しているわけではなく、重要とは思えない場合があります。しかし、マルウェアを使う目的はそのユーザーごとに異なり、こうしたユーザーからの攻撃に対する防御側の対応も大きく異なるため、こうした区別は実際には非常に重要となる可能性があります。

アトリビューションの理論と実践

アトリビューションとは、大まかに言えば、技術的な特性を調べて、過去の攻撃と一致する可能性のあるパターンを特定することであり、デジタルの指紋を作成するようなものです。

これを実践するためには、攻撃の背後に誰がいるのかをより深く理解できるような質問を数多く行う必要があります。1 つの質問だけに答える、あるいはただ複数の質問に答えるだけでは、確信を持ってアトリビューションを作成するには不十分です。十分な数の答えを関連付けることで初めて、それが有用であることがわかります。

Google がアトリビューションを作成する際は、多くの場合、以下のような質問に回答します。

• このツールは一般公開されているか？
• 複数のアクターによって使用されているか？
• ドメイン登録またはドメイン構造のパターンを既知の脅威アクターと結び付けられるか？
• 被害者は以前にも標的にされたことがあるか？
• その特定の被害者が標的になった理由を理解するのに役立つ、地政学的な背景情報はあるか？
• カスタム フィールド、証明書、ポート、インターネット サービス プロバイダなど、インフラストラクチャに関する共通点はあるか？

こうした特徴のすべてを確認し、確信度の高いアトリビューションと低いアトリビューションの違いを生み出す要因を理解できれば、プロセスと結果をより独自性の高いものにできます。

多数の異なるデータソースがあると、プロセスが複雑になる場合もありますが、何が起こっているのか、特定の脅威がどれほど広範囲に及んでいるのかをより包括的に把握できるため、最終的には脅威が今後どのように変化するのかについて、より正確な予測と警告を行うことができます。サイバー犯罪のアクターは、あるグループから別のグループへと移動することもあれば、まったく新しいグループを形成して既存の複数の TTP を組み合わせて使用することもあります。また、異なる標的を定めることもあります。このような点を考えると、これは決して小さな問題ではありません。

Google が脅威インテリジェンスを使用する方法

Google は非常に多くの情報源から脅威インテリジェンス データを入手しているため、これを大規模に分析することが課題の一つとなっています。Google のデータリソースや、それが Google の長年にわたる脅威モデリングの方法とどのように関連しているか、それらを組み合わせることで Google の脅威インテリジェンスの能力にどのように貢献できるかを説明するのは簡単ではありません。

こうした能力は多くの場合、攻撃者の活動を困難にするための多分野にわたる取り組みにつながります。その一例として挙げられるのが、Google Chrome ユーザーを標的とした情報窃取型マルウェア CryptBot を使用した脅威アクターです。

ある GTIG チームは、サイバー犯罪調査グループと協力してマルウェアを調査し、これにより法務訴訟チームは CryptBot マルウェアの配布者に対して民事訴訟を起こすことができました。

この事例は概要的で表面的な内容にすぎませんが、ユーザーとお客様の安全を守るために Google がさまざまなチームと協力していることをご理解いただけると思います。

GTIG の脅威インテリジェンスの分析方法が他の組織と異なる点は、マルウェア サンプルのアトリビューション評価や技術的特性など、さまざまなソースのデータを 10 年以上にわたってモデリングしてきたことです。たとえば、テレメトリー、アンダーグラウンド フォーラムのデータ、大規模な技術調査、インシデント対応データなどが挙げられます。

Google では、AI を最大限に活用して業務を効率化する方法も模索しています。特にこれに当てはまるのが、毎日提供している「ニュース分析」サービスのコンポーネントです。現在は、関連性の高いニュースを手動で脅威インテリジェンスの文脈に割り当てているのですが、ニュース記事の要約に AI を利用できれば、アナリストが高度なタスクに集中できるため、より多くのニュース イベントの分析が可能になります。

脅威インテリジェンスの運用を強化するポイントは好奇心

1 人の人間や 1 つのチームがすべての脅威をモニタリングすることは不可能です。情報量が多すぎて、選別することができないからです。

このような場合は、好奇心の赴くままに、関連する脅威を特定して優先順位を付けるための質問を行い、情報を収集することをおすすめします。

この記事には、Cloud Security Podcast のエピソード「Decoding the Underground: Google's Dual-Lens Threat Intelligence Magic（アンダーグラウンドの解読: 2 種類の情報に支えられた Google の脅威インテリジェンスの威力）（英文）」で紹介したインサイトが含まれています。詳しくは、脅威インテリジェンスのブログもご覧ください。

-GTIG サイバー犯罪分析責任者 Kimberly Goody

-Google Cloud セキュリティ編集者 Seth Rosenblatt