サイバー攻撃者にはどのようなタイプがあるのか?

脅威アクターは、いつでもセキュリティ防御に侵入し、侵害する可能性があります。脅威アクターは、組織内部または外部の一個人である場合もあります。標的型サイバー攻撃に関与しているグループ、組織、あるいは国である場合もあります。脅威アクターは、組織・企業のセキュリティポスチャに悪影響を及ぼす可能性のある者と定義されます。具体的には、組織の IT セキュリティを標的にした悪意のあるアクションの主な推進者であるか、またはそのアクションに関与する者を指します。

脅威アクターについて

脅威アクターとは、コンピュータシステム、ネットワーク、データ、その他の重要な資産に損害を与えたり、脆弱性を悪用したり、不正にアクセスしたりすることを目的に悪意のある活動を行う個人、グループ、または団体を指します。脅威アクターは、幅広い動機、スキル、リソースを持ち、サイバー犯罪、スパイ活動、ハクティビズム、国家に支援された活動など、さまざまなコンテキストで活動します。

脅威アクターは、その動機と目的に基づいて次のようなカテゴリに分類されます。

  • 職業としてのサイバー犯罪者:これが最も一般的なタイプの脅威アクターです。攻撃は、金銭的利益を得るためにデータを盗むことを目的としています。高額な身代金を支払うまで、被害者がデータにアクセスできないようにすることもあります。いわゆる「ランサムウェア」です。単独またはグループで活動するこのようなサイバー犯罪者の主な動機は金銭です。攻撃手段には、フィッシング攻撃、ランサムウェア、マルウェア、ソーシャルエンジニアリングなどがあります。彼らは、機密情報 (クレジットカードのデータや個人情報など) の窃取、ランサムウェア攻撃、詐欺などの活動を行います。
  • ハクティビスト:ハクティビストの脅威アクターは、政治的、社会的、またはイデオロギー的な理由で活動します。ハクティビストの主な動機は金銭ではなく、組織の悪行を公表したり、政治的または社会的な運動に参加したりすることにあります。彼らは、組織、Web サイト、またはシステムを標的にし、自らの信念を宣伝したり、声明を出したりすることがあります。
  • 国家の支援を受けた脅威アクター:自国の利益を促進するために、サイバースパイ活動、破壊工作、その他の攻撃活動を行う、政府の支援を受けた組織です。多くの場合、高度な能力と膨大なリソースを有しています。
  • インサイダー:インサイダーとは、企業内の個人を指します。インサイダーは、システム、データ、または情報に容易にアクセスできることを悪用して、個人的利益を得たり、スパイ活動や妨害行為を行います。インサイダーには、組織のデータへのアクセスや重要なプロセスの侵害を狙う従業員、サードパーティの請負業者、パートナーなどが含まれます (例:エドワード・スノーデン)。
  • スクリプトキディ:一般的に、基本的テクノロジーを深く理解することなく、既存のハッキングツールや手法を利用する経験の浅い個人を指します。彼らは、面白半分で、あるいは他者の気を引くためにサイバー攻撃を行うこともあります。
  • 組織的犯罪グループ:犯罪組織は、麻薬密売やマネーロンダリングなどの犯罪活動の一環としてサイバー攻撃を行うことがあります。
  • テロ組織:テロ組織の中には、目的を推進したり、サービスを妨害したり、恐怖を与えたりする手段としてサイバー攻撃を使用する場合があります。テロ組織がプロパガンダのため、政治的/イデオロギー的/財政的な目的のためにサイバーテロに没頭するのも一種の脅威アクターです。

脅威アクターの動機、手法、目的を理解することは、サイバーセキュリティの専門家、法執行機関、組織・企業がサイバー脅威の検出、予防、緩和のための効果的戦略を策定する上で極めて重要です。

脅威アクターの動機とは?

脅威アクターの成功を阻止するには、まず、脅威アクターが貴社のシステムやデータを標的にする理由を調査する必要があります。金銭的利益なのか、政治的な理由なのか、スパイ活動なのか、アクティビズムなのか、復讐なのか、それとも別の目的があるのかを把握します。脅威アクターに共通する動機には、次のようなものがあります。

  1. 金銭的利益。多くのサイバー犯罪者の主な動機は金銭的利益です。クレジットカードのデータ、個人情報、ログイン情報などの機密情報を盗み、闇市場で販売したり、詐欺行為に利用したりすることを目的としています。
  2. スパイ活動。国家、競合他社、その他団体は、政治的、経済的、または戦略的な優位性を獲得する目的で、機密情報、企業秘密、知的財産、または政府機密を収集するために、サイバースパイ活動を行うことがあります。また、政府や国家の支援を受けた組織は、国益の増進、地政学的作戦への関与、または情報の収集のために、サイバー作戦を実施することがあります。
  3. ハクティビズム。ハクティビストは、政治的または社会的な動機を持つ個人またはグループです。自分たちのイデオロギーを広めたり、特定の目的に対する意識を高めたり、不正と思われる行為に抗議したりするために、組織や Web サイト、システムを標的にします。
  4. 妨害と破壊。脅威アクターの中には、金銭的な動機ではなく、政治的またはイデオロギー的な理由から、重要なインフラ、サービス、または業務を混乱させることを目的とする者もいます。このような攻撃により、多額の金銭的損失、ブランドや個人の評判の失墜、社会的な迷惑を被る可能性があります。
  5. 個人的な復讐。個人的な恨みからサイバー攻撃を行い、特定の個人、組織、または団体に復讐しようとする場合があります。たとえば、機密情報またはシステムにアクセスできる従業員、請負業者、またはパートナーが、個人的な利益、復讐、またはその他の理由でその権限を悪用することがあります。
  6. 身代金。ランサムウェア攻撃は、データを暗号化し、復号キーと引き換えに身代金の支払いを要求します。金銭的利益が主な動機であり、被害者はデータへのアクセスを取り戻すために支払いを強要されることがよくあります。
  7. 政治的不和。過激派グループは、プロパガンダの拡散、メンバー募集、活動の調整のためにサイバー的手法を用いることがあります。彼らの動機は、多くの場合、イデオロギー的または政治的信条に基づくものです。
  8. 競争優位性/企業秘密の窃取。ビジネス上のライバルが、企業秘密を盗んだり、競合他社の業務を妨害したりするなど、競争上の優位性を獲得するために、サイバースパイ活動や攻撃を行う可能性があります。
  9. スリルと知名度。システム、ネットワーク、または Web サイトをハッキングすることで、名声を得たり、興奮を味わったりすることを動機とする個人もいます。彼らが求めているのは、ハッカーコミュニティ内での認知や知名度の高さかもしれません。つまり、「自慢する権利 」が欲しいだけのハッカーもいます。

脅威アクターの動機は複雑かつ多面的であり、時間の経過とともに変化する可能性があります。こうしたさまざまな動機がもたらすリスクを軽減するには、組織や個人が常に警戒を怠らず、プロアクティブなサイバーセキュリティ対策を採用する必要があります。

脅威アクターの能力とは?

 脅威アクターは、悪意のある活動を実行するために数多くのスキル、ツール、リソース、手法を保有している可能性があります。これらの能力は、脅威アクターの動機、専門知識、リソースによって大きく異なります。

脅威アクターが使用できる一般的な能力は以下のとおりです。

  • マルウェアの開発と展開 (ウイルス、ランサムウェア、トロイの木馬) 、またはRaaS (サービスとしてのランサムウェア)
  • ソフトウェアの脆弱性の悪用
  • パスワードにアクセスするためのフィッシング攻撃やソーシャルエンジニアリング
  • 個人情報の窃取とクレジットカード詐欺
  • さまざまなデジタルチャネルを通じたマネーロンダリング
  • オンラインプラットフォームを混乱させるための Web サイト改ざんや DDoS 攻撃
  • データ侵害や漏洩による機密情報の公開
  • ソーシャルメディアの操作によるメッセージの拡散
  • スピアフィッシング、ソーシャルエンジニアリング、ビジネスメール詐欺 (BEC) など、特定のターゲットに対する組織的キャンペーン

国家の支援を受けた脅威アクターが関与するシナリオでは、通常、個人は非常に高度な能力を有します。また、多くの場合、スパイ活動、サイバー戦争、地政学的影響力を行使します。その能力には、以下のようなものがあります。

  • 高度なマルウェアやゼロデイエクスプロイトを使用した持続的標的型脅威 (APT)
  • 標的組織への長期的な侵入とデータ窃取
  • 広く使用されているソフトウェアやハードウェアを侵害するサプライチェーン攻撃
  • 高度なサイバー兵器の作成と配備

脅威アクターの能力は、テクノロジーの進歩や新しいツール/手法の登場によって、絶えず進化しています。組織や政府は常に警戒を怠らず、こうした多様な脅威アクターとその能力から身を守るために、強固なサイバーセキュリティ対策を採用する必要があります。

脅威アクターの例

重大なサイバー攻撃や悪意のある活動に成功した有名な脅威アクターは数件存在します。以下はその例です。

  • APT29 (Advanced Persistent Threat 29) - Cozy Bear:2016 年に民主党全国委員会のメールサーバーをハッキングし、米大統領選中の機密情報流出につながったとされるロシア国家支援のハッキンググループ
  • Lazarus グループ:2014 年のソニーピクチャーズへのハッキングを含む数々のサイバー攻撃と関連のある北朝鮮のハッキンググループで、企業の機密データや内部通信の流出につながった。
  • APT28 - Fancy Bear:ロシア国家が支援するもう 1 つのハッキンググループである Fancy Bear は、2016 年の世界アンチドーピング機構 (WADA) のハッキングや世界中の政治団体を標的にしたハッキングなど、さまざまなサイバースパイ活動の背後にいた。
  • Stuxnet:2000 年代後半にイランの核施設への攻撃に成功した、米国とイスラエルの共同作戦とみられる高度なコンピュータワーム。Stuxnet は、ウラン濃縮に使用される遠心分離機に物理的な損害を与えた。
  • NotPetya:2017 年に世界中の多数の組織に影響を及ぼし、広範囲にわたる混乱と経済的損失をもたらした破壊的なマルウェア。当初はランサムウェアと考えられていたが、後に政治的な動機に基づく攻撃であり、ロシアから発信された可能性が高いことが判明した。
  • Shadow Brokers:米国家安全保障局 (NSA) が開発した複数の強力なハッキングツールを流出させたことで 2017 年に注目を集めたハッキンググループ。流出したツールは後に、ランサムウェア「WannaCry」の流行など、さまざまなサイバー攻撃に使用された。
  • APT10 - Stone Panda:サイバースパイ活動や知的財産の窃盗で知られる中国国家支援のハッキンググループ。APT10 は、大手マネージドサービスプロバイダーへの侵入や、テクノロジー・製造業を標的とした攻撃を行った。
  • Carbanak グループ:世界中の金融機関を標的とし、銀行のネットワークや ATM システムへの高度な攻撃を通じて数億ドルを盗んだサイバー犯罪集団。
  • DarkOverlord:医療基幹やエンターテインメント企業など、さまざまな組織を標的にし、機密情報を公開すると脅して恐喝したことで知られるハッキンググループ。
  • Equation グループ:米国家安全保障局 (NSA) と関係があるとされる、非常に高度なサイバースパイグループ。Equation グループは、監視目的でさまざまな高度なマルウェアやエクスプロイトの開発と配備を担当していた。

これらの脅威アクターは目的を達成したかもしれませんが、その活動はサイバーセキュリティに対する意識の向上、脅威インテリジェンス、国際協力、将来の脅威に対抗するための防御手段の開発にもつながっています。

保護方法と戦略

 脅威アクターの執拗な攻撃から身を守るためには、サイバーハイジーンを厳格に維持することが不可欠です。しかし、それだけでは十分ではありません。脅威アクター (サイバー犯罪者、ハッカーなど) からビジネスを保護することは、企業のセキュリティを維持し、潜在的リスクを最小限に抑える上で極めて重要です。

ここでは、ビジネスの保護を強化するための手順をいくつかご紹介します。

  • リスク評価システム、プロセス、インフラストラクチャに存在している可能性のある脆弱性を特定するため、徹底的な評価を実施します。自社の資産、潜在的な脅威、セキュリティ侵害の潜在的な影響を理解します。
  • セキュリティポリシーと手順:従業員に対する強力なセキュリティポリシーと手順を策定、実施、徹底します。これには、パスワードの管理、データの取り扱い、社内リソースの使用に関するガイドラインが含まれます。
  • 従業員トレーニングサイバーセキュリティのベストプラクティスについて、従業員に定期的なトレーニングを実施します。フィッシング攻撃、ソーシャルエンジニアリングの手口、およびその他の一般的な攻撃経路を識別できるようにします。
  • アクセスコントロールの実施:最小権限の原則を導入します。機密性の高いシステムやデータへのアクセスは、職務上必要な者のみに限定します。重要なシステムへのアクセスには、多要素認証 (MFA) などの強力な認証方法を使用します。
  • 定期的なソフトウェアアップデート:オペレーティングシステム、アプリケーション、プラグインなど、すべてのソフトウェアを最新のセキュリティパッチで更新します。古いソフトウェアの脆弱性は、脅威アクターによって悪用されることがよくあります。
  • ファイアウォールと侵入検知システムファイアウォールを設定し、ネットワークトラフィックの送受信を監視およびフィルタリングします。不審な活動を特定してブロックするために、侵入検知防止システムの利用を検討します。
  • データの暗号化保存中および転送中の機密データを暗号化します。暗号化によって保護レイヤーが追加され、脅威アクターが防御を突破したとしてもデータにアクセスしにくくなります。
  • バックアップとディザスタリカバリ:データとシステムを定期的にバックアップします。バックアップは、プライマリネットワークとは別の安全な場所に保管してください。バックアップを定期的にテストし、正常に復元できることを確認します。
  • ベンダーとサードパーティのリスクの管理サードパーティベンダーやパートナーのセキュリティ対策を評価します。データおよびシステムを保護するための適切なセキュリティ対策が講じられていることを確認します。
  • インシデント対応計画セキュリティ侵害が発生した場合の手順をまとめた包括的なインシデント対応計画を策定します。この計画には、封じ込め、連絡、緩和、復旧の手順を含める必要があります。
  • MDR (Managed Detection and Response):これらすべてに対応するのが難しい場合は、世界トップクラスの防御チームが運営するセキュリティオペレーションセンター (SOC) にサイバーセキュリティをアウトソーシングすることを検討してください。MDR サービスでは、24 時間体制で継続的に監視を行い、侵入検知システムによって脅威をリアルタイムで特定して対応します。

サイバーセキュリティは継続的な取り組みであり、脅威は常に進化しています。新たな脅威からビジネスを守るためには、常に警戒を怠らず、必要に応じてセキュリティ対策を適応させることが重要です。専門知識が不足している場合は、CaaS (サービスとしてのサイバーセキュリティ) ベンダーのパートナーに相談し、すべてを管理してもらうことを検討してください。自分たちだけですべてを行える組織はありません。

ソフォスがどのようにお客様の組織を脅威アクターから守ることができるのかについては、ソフォスにお問い合わせください

 

関連するセキュリティトピック: サービスとしてのサイバーセキュリティ (CSaaS) とは?