サイバー脅威インテリジェンスを地政学の観点から考える

現在は Microsoft 脅威分析センター (MTAC) のインテリジェンス分析担当ディレクターを務める Fanta とそのチームは、国民国家サイバー脅威活動の戦略的分析を実施しており、実質的にサイバー脅威インテリジェンスを地政学の観点からとらえて、活動の背後にあると考えられる "なぜ" を解き明かしています。  

特定の脅威アクター攻撃活動の "なぜ" を明らかにして公表することによって、私たちは、脆弱な標的となるおそれのあるお客様の備えと保護を強化することができると Fanta は説明しています。  たとえば、2022 年のロシアによるウクライナ侵攻が全面的に広がるまでの期間中に Microsoft 脅威インテリジェンス チームは、紛争がエスカレートした場合にサイバー攻撃を受ける危険があるウクライナ国内のお客様を特定しました。その根拠は、戦争中の国がその敵を弱体化させるために攻撃するであろうセクターと、パッチ未適用の場所、および脆弱なシステムです。定常的な監視を確立するとともにウクライナ国内のパートナーに事前に脆弱性を秘密裏に知らせたので、脅威ハンティング チームが脆弱性の防御を固め、異常な活動を特定し、製品の保護を早めることができました。

国民国家の侵入の背後にあると考えられる "なぜ" を解明するには、地政学的発展、歴史、外交政策のゴール、および現在のできごとについて私たちが知っていることを集めて、サイバー戦術、戦略、手順 (Tactics, Techniques, and Procedures: TTP) と被害者学について話し合う必要があります。Fanta は日常的な業務の中で、国際ニュースとサイバーセキュリティの最新ニュースを追うとともに、Microsoft 脅威インテリジェンスによる最新の発見をレビューしており、これに加わる社内の脅威ハンティング担当者はさまざまな視点から調査に参加しています。

最近、Fanta とそのチームはウクライナという戦場におけるサイバー戦争戦術の急速な進化を目の当たりにしてきました (ウクライナから現れたハイブリッド戦争の新たな傾向に関する知見については、ロシアのサイバー戦から判明した 7 つの新たなハイブリッド戦争の傾向についての記事をご覧ください)。 

「この規模の戦いの一部としてサイバー攻撃が展開されたのはこれが初めてです」と Fanta は述べています。「非国家主体、たとえばサイバー ボランティア、ハクティビスト、プライベート セクターがこの紛争において、どれだけ大きな役割を果たすかを予測していませんでした。」  

例として、Fanta は公共団体と民間団体の間の新たなパートナーシップがいかにウクライナのネットワークと情報空間を防御するのに役立ったかを述べています。脅威活動をハンティングで見つける、セキュリティ製品の防御を強化するコードを書く、悪意のある侵害インシデント (Incident of Compromise: IOC) と戦術、戦略、手順 (TTP) についての注意を喚起するブログを発信するといった方法で、ウクライナのサイバーセキュリティ専門家と国際的な公的および民間のコミュニティが一体となって努力を続けた結果、脅威アクターがウクライナのネットワークを攻撃するのは以前よりも難しくなっています。