多数のインシデントを調査する中で、Resecurityは対諜報目的で欺瞞技術を活用する独自の手法を確立してきました。これには、正規の企業環境を模倣して潜在的な脅威アクターを欺き、管理された形で悪意ある活動を行わせるためのソリューション、ツール、モデル、手法が含まれる場合があります。 これらの概念の多くは、従来型のハニーポットに由来します。ハニーポットは、設定不備のあるアプリケーションやネットワークサービス、あるいは侵入者を記録するためのダミーリソースを用いた罠を配置することで、ネットワーク防御側が受動的に脅威ハンティングを行えるようにします。
AIとMLの急速な進化により、合成データ(実世界データのパターンや特性を持ちながら、実際の機密情報を含まないよう意図的に生成されたデータ)を用いることで、欺瞞はさらに加速し得ます。 脅威ハンティングの文脈では、過去に侵害されたデータは、極めて現実的に見え、脅威アクターを引き寄せる欺瞞モデルを設計するうえで非常に有効になり得ます。例えば、意図的に設置したハニーポット(現実味はあるが実用的には無価値なレコードを含む)によって、脅威アクターにそれを盗もうとさせる動機を与えることができます。
2025年11月21日 — Resecurityは、当社リソースを標的として悪意ある活動を行おうとする脅威アクターを特定しました。当該アクターは、公開されている各種サービスやアプリケーションを探索していました。当社のDFIRチームは早期段階で脅威アクターを記録し、以下の攻撃指標(IOA)を文書化しました:
156.193.212.244(エジプト)
102.41.112.148(エジプト)
45.129.56.148(Mullvad VPN)
185.253.118.70(VPN)
当該アクターが偵察を行っていることを踏まえ、当社チームはハニートラップ用アカウントを設定しました。これにより、合成データを含むエミュレートされたアプリケーションの一つに対して、脅威アクターによるログイン成功が確認されました。ログイン成功は、アクターが不正アクセスを得て犯罪を実行し得たことを意味しますが、同時に当社にとっては彼らの活動の強力な証拠にもなりました。 Office 365およびVPNアカウントはいずれも、ハニーポット(ハニートラップ)アカウントを作成してハッカー活動を検知・追跡・分析するうえで非常に有効です。こうしたアカウントは、企業環境で不正アクセスの試行を検知し、脅威インテリジェンスを収集するために広く利用されています。最も成功しているハニーポットの展開では、高価値ターゲットを模倣しつつ実資産から隔離された、現実的で十分に監視されたデコイアカウントが用いられます。さらに、自社アプリケーション向けにも、プロダクションリソースから隔離され厳密に監視されたエミュレート環境上で、ハニートラップアカウントを利用できます。
合成データとして、当社は2種類の異なるデータセットを使用しました。消費者になりすました28,000件超のレコードと、190,000件超の決済取引レコードです。注目すべき点として、いずれのケースでも、ダークウェブや地下マーケットプレイスで入手可能な既知の漏えいデータ(PIIを含む可能性あり)を活用し、脅威アクターにとってさらに現実味のあるデータにしました。 この種のデータはオープンソースから容易に入手でき、サイバー欺瞞の重要要素として利用できます。特に、脅威アクターが高度で、データが完全な偽物ではないことを確認するために様々なチェックを行う可能性がある場合に有効です。そうでなければ、彼らの後続戦術に影響したり、計画していた行動が完全に停止したりする可能性があります。当社のシナリオでは、脅威アクターに活動を継続させ、合成データを与えることで、攻撃経路とインフラを観察することが目的でした。 この作業では、パスワードやAPI認証情報は使用していません。
– 決済情報(Stripeレコード)
これを準備するため、当社は専用の合成データ生成ツール(例:SDV、MOSTLY AI、Faker)を用いて、現実的でスキーマ準拠のStripe取引データおよび顧客データを作成しました。目標は、顧客、取引、サブスクリプションに関するStripe公式APIスキーマに従った場合にデータが持つ構造を、まったく同じ形で再現することでした。 公式の Stripe APIでは、取引は通常、次のようなフィールドを持つオブジェクトとして表現されます:
id:取引の一意識別子
amount:取引金額
currency:通貨コード(例:USD)
created:取引が発生した時刻のタイムスタンプ
type:取引種別(charge、refund、payoutなど)
status:取引ステータス(succeeded、pending、failedなど)
customer:顧客オブジェクトへの参照
metadata:追加情報のためのカスタムキー・バリューペア
– 偽装した顧客レコード(消費者レコード)
username
email
firstname
lastname
organisation
date
両データセットを組み合わせることで、金融取引を伴う消費者向けのビジネスアプリケーションを模倣でき、金銭目的の脅威アクターにとって関心を引く可能性があります。
脅威アクターは当社の罠にかかり、利用可能なデータをダンプするための自動化を計画し始めました。しばらく時間がかかり、12月12日に活動を再開しました。脅威アクターがデータダンプを容易にするためのカスタムスクレイパーを開発していた可能性があります。その時点で、彼らは活動を自動化するために多数のレジデンシャルIPプロキシを使用しており、これにより当社DFIRチームは、彼らのTTPおよび使用していたネットワークインフラについて相当量の知見を得ることができました。こうしたデータは通常「アビューズデータ」と呼ばれます。これは、脅威アクターが特定のアプリケーションやサービスを悪用したり、不正利用したりした結果として収集されるアーティファクトです。アビューズデータは、同一アクターが他の企業を標的にした際の早期段階の脅威検知にも利用でき、侵害指標(IOC)として機能します。新鮮なアビューズデータを共有することで、ネットワーク防御側は同一インフラ上で活動する脅威アクターをより効果的にハントできるようになります。
12月12日から12月24日の間に、脅威アクターは合成データをダンプしようとして188,000回超のリクエストを行いました。この期間、Resecurityチームは活動を記録し、関係する法執行機関およびISPと連携して当該情報を共有しました。
注目すべき点として、アクターはかなり多忙になり、ある時点でプロキシ接続の失敗により実IPアドレスを露呈してしまい、OPSEC上の問題を生じさせました。
同様の問題が新たな試行中にも発生し、別の露呈につながりました。いずれのケースでも、攻撃者ホストに関する情報は法執行機関へ報告されました。
この活動を観察する中で、当社チームはアクターにより多くの行動余地を与えるため、性質の異なる追加の合成データを生成しました。これにより、彼の出自を裏付ける別の重要な詳細が明らかになりました。
大量の合成データセットを処理する過程で、いくつかのOPSECミスが生じ、その結果、攻撃者が自動化に使用していた正確なサーバーが特定されました。そこでは、送信元を偽装するためにレジデンシャルIPプロキシのリストを使用していました。
相当数のレジデンシャルプロキシを把握した後、当社はそれらのブロックを開始し、トラフィックのプロキシ化に利用できるホストをより少数に限定しました。これにより、以前に特定した同一IPが再び現れる結果となりました。
利用可能なネットワークインテリジェンスとタイムスタンプを用いてアクターの所在が特定されると、Resecurityのパートナーである海外の法執行機関が、当該脅威アクターに関する召喚状(サブポエナ)の請求を行いました。
この活動の結論として、合成データを用いたサイバー欺瞞は、脅威インテリジェンス収集だけでなく、捜査的なタスクにおいても非常に有効であり得ることが確認されました。管轄によっては、サイバーセキュリティチームはこのような措置を展開する前に、プライバシー法への準拠を確実にし、法務顧問に相談すべきです。
