TokyoBlackHatNews

theregister.com 5分で読了

脅威インテリジェンス供給チェーンには多くの弱点がある、研究者が発見

ジョージア工科大学の研究者たちは、脅威インテリジェンスデータの供給チェーンが敵対的行動に対して脆弱であることを発見し、データ共有を改善するための方法を提案しました。

ジョージア工科大学公共政策スクールの研究科学者であるブレンデン・クエルビスは月曜日に、2026年1月に中国が一部の米国およびイスラエルの企業によって開発されたセキュリティソフトウェアを禁止したと思われることを指摘することで提案をスケッチしました。おそらく地元の企業が外国のソフトウェアを使用する場合のデータ漏洩を懸念しているためです。

「この動きは、両政府間の継続的な技術的緊張の単なる別の一撃以上のものを表しています」と彼は書きました。「インターネットサイバーセキュリティの基本的な実践を断片化する恐れがあります。すなわち、世界中の防御者が境界を知らないサイバー脅威への新しい攻撃と対応に関する情報を収集、分析、共有できるようにする世界的な脅威インテリジェンスエコシステムです。」

この機関の他の研究者によると、エコシステムは中国の行動の前から既に弱かったです。

彼らはサンディエゴのネットワーク分散システムセキュリティ(NDSS)シンポジウムで、「脅威インテリジェンスエコシステムのダイナミクスとリスクを積極的に理解する」というタイトルの論文を発表する際に彼らの仕事について議論します。

研究者たちはエコシステムの3つの主要プレイヤーを特定しました:

  • VirusTotalやMalwareBazaarのような脅威インテリジェンスプラットフォーム;
  • 独自の脅威インテリジェンスと、それを使用可能にするツールを製造するアンチウイルス企業;
  • バイナリの動作を理解しようとしている誰にでも分析サービスを提供するマルウェアサンドボックスサービス。

この論文は脅威インテリジェンスが大きなビジネスであることを指摘していますが、異なるステークホルダーが異なるデータをリリースするため、利用可能な情報の品質は優れていません。

彼らは「良性だが疑わしいバイナリ」を作成し、30のセキュリティベンダーと共有した後、その結論に達しました。バイナリには、研究者がベンダーがパッケージをどのように共有したかを追跡できるようにするコードが含まれていました。

その実験から、インフォセックベンダーの67パーセントが新たに発見されたマルウェアのサンドボックス分析を実施していますが、その手法で収集した脅威インテリジェンスを共有しているのはわずか17パーセントであることが明らかになりました。また、多くの研究者が侵害の指標を共有していますが、他の研究者と防御者が攻撃をより理解できるようにするバイナリを共有する人はほとんどいないことがわかりました。

もう1つの発見は、少数の「ネクサスベンダー」が他よりも多くの脅威インテリジェンスを共有しているということです。これらのベンダーは非常に有用ですが、サプライチェーン参加者間のその他の情報共有のボトルネックは情報の伝播を遅くします。しばしば「数時間から数日」によって遅れ、防御者が攻撃に対抗するまでの時間が増加します。

研究者たちは、すべての脅威インテリジェンス研究者が優れた仕事をしているわけではないと考えています。

「私たちの調査から、少数のベンダーはマルウェアを徹底的に分析していますが、ほとんどは浅い分析を行い、初期バイナリでドロップされたファイルを無視していることが明らかになりました」と彼らは書き、より包括的な分析手法が脅威インテリジェンス供給チェーンを改善するだろうと提案しています。

もう1つの発見は、一部のセキュリティ研究者が何年にもわたって同じIPアドレスでインフラストラクチャをホストしていることです。これにより、敵対的な行為者がサンドボックスを回避するのに役立ちます。

したがって、研究者たちは脅威インテリジェンスの出所に関するデータを安全にエンコードするシステムを提案しており、これによりステークホルダーはそれをより自信を持って共有できるようになります。

クエルビスは、論文で説明されている技術が、ネットワークオペレーターが「必ずしも出身国に頼ることなく、ポリシーに準拠した脅威インテリジェンスを使用またはフィルター処理することが可能になることを示唆していると考えています。」

彼が正しい場合、それは中国が外国の脅威インテリジェンスソースから恐れることは何もないことを意味するかもしれません。そして、おそらく私たちの残りの部分はカスペルスキーのようなものと共存することができるかもしれません。

「現在必要なのは、オペレーター、ベンダー、研究者がさまざまな政府の管轄地域に限定されたアイデンティティ、主権、コンプライアンスの互いに相容れない概念に付き合いながら、世界的な協力を継続できるようにするガバナンス構造です」と彼は書きました。

「中国、米国、その他の参加者(公的および私的の両方)は、利他主義ではなく、検証可能なTIプールからの除外が依然として頑固にグローバルである脅威環境で運用コストが高いため、同じ出所システムを使用するインセンティブを持つだろう」と彼は書き、その後、実際の課題は技術的ではなく制度的であることに注目しました。

「セキュアな出所には、相互に矛盾する国家命令の下で動作する参加者によって正当であると認識される超国家的なガバナンス構造が必要です。それがなければ、脅威インテリジェンスはゼロサムの地政学的競争になるリスクがあります。」®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/25/threat_intelligence_supply_chain_research/

ソース: go.theregister.com
#ガバナンス #サイバーセキュリティ #セキュリティベンダー #セキュリティ研究 #ネットワークセキュリティ #マルウェア分析 #供給チェーン #地政学 #情報共有 #脅威インテリジェンス

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張