ダークウェブの監視とは
ダークウェブの監視とは、ダークウェブ上で組織の情報を検索し、追跡するプロセスです。ダークウェブ監視ツールは、ダークウェブ用の検索エンジン(Googleなど)に似ています。これらのツールは、パスワード、認証情報、知的財産、その他の機密データの漏洩など、ダークウェブで活動する悪意のあるアクター間で共有および売買されている情報を見つけるのに役立ちます。
ダークウェブ監視ツールは、アイデンティティ盗難監視ツールまたはマルウェア対策プログラムやウイルス対策プログラムとは異なり、ダークウェブ上の脅威に対する高度な検知機能を備えています。アイデンティティ盗難監視ツールは、企業ではなく個人を保護するように設計されています。マルウェア対策プログラムとウイルス対策プログラムは、まず第一に、悪意のあるコードが実行されるのを防ぐことを目的としており、侵入された後の対策には役立ちません。ダークウェブ監視ツールは、ログイン認証情報、企業秘密、専有情報などの機密情報をダークウェブ上で検索することで、企業や個人をサポートします。
ダークウェブの監視の仕組み
ダークウェブの監視では、ダークウェブを継続的に検索し、ほぼリアルタイムで生のインテリジェンスを収集します。何百万ものサイトで、特定の情報(企業のEメールアドレスなど)や一般的な情報(会社名や業界など)が監視されています。
アラートをカスタマイズすることで、脅威が検知された際に、チームメンバーや、マーケティング、法務、人事、詐欺対策チームなど、脅威に関連する組織内の他のユーザーに通知できます。
ダークウェブの監視の特徴
- 脅威インテリジェンス。ダークウェブ監視ソリューションによってキャプチャされたデータを自動化された脅威インテリジェンスシステムに送ることで、そのデータを強化できます。
- 脅威ハンティング。脅威ハンターがダークウェブの監視を利用することで、ハンティングを高速化し、攻撃者とその手法をより包括的に理解することができます。
- より迅速なインシデント対応。調査と対応のワークフローを使用することで、可能な限り迅速に脅威を軽減できます。
- セキュリティプラットフォームとの統合。収集されたデータを他のシステムに送信することで、セキュリティスタック全体からより正確なインサイトを得ることができます。
オープンウェブ、ディープウェブ、ダークウェブで犯罪を暴く方法
このホワイトペーパーをダウンロードして、CrowdStrike Falcon® Intelligence Reconが悪質性の疑われる活動や犯罪行為をダークウェブ上で特定するのにどのように役立つかをご覧ください。
ダークウェブを監視する目的
ダークウェブで企業が心配しなければならないのは、認証情報の漏洩だけではありません。ダークウェブでのチャットやアクティビティから、企業が攻撃を受けていること、すでに攻撃されたこと、またはサプライチェーンパートナーの1つで侵害が起きているなど企業に脅威を及ぼす他のアクティビティに関連していることを把握できる可能性があります。全体的なセキュリティ戦略の一環としてのダークウェブの監視は、目に見えない脅威の検知に非常に有効です。
ダークウェブ監視サービスは、データ侵害情報をスキャンするだけでなく、未知のソースからのリスクを分類するために使用することもできます。ダークウェブにデータが表示されたときにアラートを受け取る企業は、そのメンションを他の脅威ソースに結び付け、その情報を使用して脅威をより迅速にプロファイリングし、軽減することができます。
ダークウェブの監視でさらされる可能性のあるリスクのタイプには、次のようなものがあります。
- サードパーティーによる侵害
- ハッキングフォーラムや犯罪目的のチャットルームへのデータダンプ
- P2P情報漏洩
- 偶発的な情報漏洩
- ブランドの誤用
- なりすまし
- ドメインスプーフィング
- 潜在的な脅威
ダークウェブを監視するメリット
ダークウェブを監視するメリットは、流出したデータとデータが流出した期間を特定できることです。これらのツールは、ダークウェブを常にアクティブに監視し、公開されるアセットやアイデンティティを減らすことで、サイバー犯罪者が機密情報を悪用する時間を減らし、迅速に対処できるため、さらなる情報漏洩を防ぐことができます。
ダークウェブを監視する企業は、侵害されたかどうかを調べたり、侵害される可能性が高いことを示す痕跡を見つけたり、誰が攻撃しているのか、攻撃者がどのような手法を使用する可能性があるかを知ることができます。
ダークウェブ監視サービスが必要な人とは
その答えは簡単です。すべての人に必要です。機密性の高い顧客データを保護する責任のある組織、貴重な知的財産を所有する組織、またはハクティビスト、国家主導型アクター、犯罪活動の標的になりやすい組織は特に、ダークウェブ監視ツールの使用をお勧めします。
「ダークウェブを監視するだけの価値はあるのか?」というのがより適切な問いです。ダークウェブを監視することで、従来のセキュリティツールでは検知できない脅威を可視化できます。包括的なセキュリティ戦略でビジネスと顧客の保護に取り組んでいる組織は、セキュリティスタックにダークウェブの監視を導入することの潜在的なメリットを評価する必要があります。
個人情報がダークウェブに流出する流れ
サイバー犯罪者は、ダークウェブで個人情報、認証情報、アセットを販売します。クラウドストライクのグローバル脅威レポートによると、攻撃者が使用する攻撃方法は、マルウェアにとどまならい傾向が見られます。「自給自足型」(LOTL) と呼ばれる、盗んだ認証情報と組み込まれたツールを使用した攻撃が増えています。これは、従来型のアンチウイルス製品の検知機能を回避するための手口です。2021年第4四半期にCrowdStrike Security Cloudがインデックス付けしたすべての検知のうち62%がマルウェアフリーの攻撃でした。
悪意のあるユーザーは、次の一般的な方法を1つまたは複数組み合わせて使用し、個人情報を盗みます。
- フィッシング:サイバー犯罪者は、正当なEメールリクエストを模倣したフィッシングメールを送信して、機密情報を取得しようとします。
- マルウェア、ローダー、ボットネット:ハッカーは、さまざまなタイプの悪意のあるソフトウェアを使用して機密データを盗み、徐々に漏洩させます。
- 安全でないネットワーク:サイバー犯罪者が近くにいる状態で安全でないネットワークに接続すると、ハッカーが個人情報にアクセスする可能性があります。
- 脆弱性とエクスプロイト:エクスプロイトキットを入手できるフォーラムは複数あります。特定のソフトウェアやシステムの弱点(脆弱性)を標的にして、追加のコードをインストールし、アクセスを取得します。
- キーロギング:キーストロークロギングは、入力されたキーを記録することで、サイバー犯罪者が活動を監視し、個人情報を取得できるようにします。
- スクリーンスクレイピング:スクリーンスクレイピングは、画面に表示される情報をコピーします。
情報がキャプチャされると、名前、生年月日、社会保障番号、住所など、1人の個人に関する全データセットがパッケージ化されて(「fullz」と呼ばれる)、販売されます。fullzは、被害者のアセットの価値や現在の市場での需要によりますが、30ドルほどで入手できます。多くの脅威アクターはさらに規模を拡大し、組織から盗んだすべての個人情報をパッケージ化し、大量に販売しています。
2023年版脅威ハンティングレポート
2023年版脅威ハンティングレポートでは、クラウドストライクのCounter Adversary Operationsチームが、攻撃者の最新の手口を明らかにし、侵害阻止に役立つ知識とインサイトを提供しています。
情報がダークウェブ上にあるということ
消費者の個人情報がダークウェブで入手できることが明らかになった場合、通常、すべてのパスワードを変更し、クレジットレポートに注意を払い、クレジットカードを交換することを検討する必要があります。1回の侵害で最大1億4,800万件の記録が盗まれる大規模なデータ侵害が発生した際には、その後しばらくの間、被害者全員の個人情報、または少なくともその一部が売りに出されました。アイデンティティ盗難の被害者がそのことをたった今知ったとしても事実は変わりません。消費者は保護対策を講じる必要がありますが、慌てる必要はありません。
企業はより積極的に対応する必要があります。企業には顧客データを保護する責任があります。顧客をリスクにさらすと、経営がうまくいかなくなります。訴訟、ブランドの評判の失墜、規制上の罰則、監査費用が発生する可能性もあるでしょう。盗まれたログイン情報はクレデンシャルスタッフィングやその他の攻撃に使用されるため、将来攻撃されるリスクも高まります。
自分の情報がダークウェブにあるという警告を受け取った場合、自分のアイデンティティ、データ、またはアセットが危険にさらされていることを意味します。ダークウェブで危険にさらされている個人情報の種類は、なりすまし詐欺や不正アクセスに使用される可能性のある認証情報と個人識別子です。この盗まれたデータをサイバー犯罪者にさらに悪用されないように、すぐに行動を起こす必要があります。
ダークウェブ上の脅威からユーザーを守るためのツール
ダークウェブに潜む脅威から身を守るために、個人情報を安全に管理し、アイデンティティ盗難を防ぐツールを使用することを検討してください。次の方法は、ダークウェブの脅威から保護し監視するためのベストプラクティスの例です。
- サイバーセキュリティ文化の構築:エンドユーザーは侵害を阻止するために絶対不可欠な要素です。フィッシングおよび関連するソーシャルエンジニアリング手法の継続的な脅威に対抗するには、ユーザーの意識向上プログラムを始める必要があります。セキュリティチームは、サイバーセキュリティのギャップと弱点を特定して解消するために、机上演習やレッドチーム/ブルーチーム演習を日常的に実施する環境作りを促進すべきです。
- すべてのワークロードの保護:組織は、すべてのアセットが保護されている場合にのみ安全です。企業リスクの重大な領域である、エンドポイント、クラウドワークロード、アイデンティティ、およびデータのすべてのセキュリティを保護する必要があります。超高精度の検知、保護と修復の自動化、精鋭による脅威ハンティング、脆弱性のオブザーバビリティ(可観測性)の優先順位付けが可能なソリューションを探して、環境のエクスプロイトが犯罪フォーラムで販売されないようにしてください。
- アセットインベントリーと一貫した脆弱性管理により、強力なITハイジーンを確立します。把握できていないシステムは保護できないことを忘れないでください。
- アイデンティティ管理:アイデンティティ管理ツールは、使用している環境でアイデンティティのライフサイクルを管理するのに役立ちます。Identity Threat Protectionテクノロジーでは、アイデンティティをセグメント化し、リスクベースの条件付きアクセスを自律的に強制し、脅威が発見されたらすぐにアクセスを取り消すことができます。
- ダークウェブの監視:これらのツールは、ダークウェブで盗まれたデータを監視し、犯罪フォーラムで侵害、なりすまし、偶発的な漏洩などが検知された場合、企業などのユーザーに通知します。
クラウドストライクで脅威から保護する方法
Falcon Counter Adversary Operations脅威インテリジェンスソリューションは、セキュリティチームが複雑なクエリの構築に時間を浪費するのを防ぐと同時に、フォールスポジティブやノイズを最小限に抑える簡単なウィザードを提供します。結果はユーザーフレンドリーなカードとして表示され、脅威アクターの元の投稿、アクター、およびサイトに関する情報を確認できます。この情報は、元の言語で表示することも、別の言語に翻訳することもできます。翻訳は、スラングを含む拡張辞書で補完されます。
また、クラウドストライクは、お客様がデジタルプレゼンスを理解し、リスクを軽減するのに役立つ包括的なセキュリティソリューションも提供しています。無料トライアルを開始して、クラウドストライクのサービスがオンラインでお客様やお客様のビジネスの安全性を確保するためにどのように役立つかをご確認ください。
ダークウェブの監視とアクセスブローカーの詳細については、「ダークウェブのCrowdCastの事例」をご覧ください。