脅威モニタリング：ダークネット監視のためのベスト10ツール

写真：sashk0 – shutterstock.com

ダークウェブは、あらゆるCISO（最高情報セキュリティ責任者）が自社のデータが流出しないことを願う場所です。ここはGoogleなどの一般的な検索エンジンではインデックスされないウェブサイトで構成されています。このインターネットの暗部には、サイバー攻撃によって入手されたデータ、たとえば侵害されたユーザーアカウント、個人情報、その他の機密企業データなどが売買されるマーケットプレイスが含まれています。

これらのサイトでどのようなデータが取引されているかを把握することは、サイバー犯罪者への対策として極めて重要です。犯罪者は侵害されたアカウントを使って攻撃を仕掛けたり、詐欺を行ったり、スピアフィッシングやブランドなりすましなどのキャンペーンを展開します。また、ダークウェブは犯罪グループの活動、戦術、意図に関する情報源でもあります。こうした目的のために、ダークネット上の侵害データを監視するツールが存在します。

ダークウェブ監視ツールが必要な人は？

ダークウェブのサイトは多くの場合、招待制でしかアクセスできません。そのため、通常は悪意のあるユーザーや初期アクセスブローカー（IAB）になりすます必要があります。これには、これらのサイトを特定し、企業のアイデンティティやデータ保護に関連する情報を収集できる人材やサービスが求められます。

ただし、ほとんどの企業はダークウェブで直接調査を行う必要はありません。その代わり、ダークウェブをスキャンするツールやサービスを利用できます。拡張検知・対応（XDR）やマネージド検知・対応（MDR）のようなサービスは、通常ダークウェブの情報源からデータを取得し、侵害されたアカウントの特定やリスク評価、コンテキストの提供を行います。

特に官公庁、金融機関、一部の著名なITセキュリティ企業などの業界では、ダークウェブの情報源から直接しか得られない情報へのアクセスが必要になる場合があります、とガートナーのアナリストMitchell Schneider氏はCSOに語っています。こうした企業は、漏洩した認証情報や企業データだけでなく、脅威アクター、進化する攻撃ベクトル、エクスプロイトに関する情報も求めています。

小売業や製薬業界などの他の業種では、偽ドメインやフィッシング攻撃など、非伝統的な攻撃に対してより脆弱であるとSchneider氏は指摘します。同氏によれば、デジタルフットプリント監視は特に価値の高い手段であり、ダークウェブ監視もその一部に含まれることが多いとのことです。また、テイクダウンサービスは監視の次の自然なステップです。一般的に、個々の企業はインターネットプロバイダーやクラウドホスティングプラットフォーム、さらには法執行機関との必要なコネクションを持たないため、独自でテイクダウンを実施することは困難です。デジタルリスク保護サービス（DRPS）はこのギャップを埋め、インターネット、サーフェスウェブ、ダークウェブの監視によるブランド保護や、ウェブサイトのテイクダウンサービスなどの実践的な方法を提供します。

以下に、ダークウェブ監視で人気のあるツールを紹介します。

Brandefense

BrandefenseはAIを活用したDRPS（デジタルリスク保護サービス）ソリューションで、オープンウェブとダークウェブをスキャンします。このツールは攻撃手法やデータ漏洩の詳細を収集し、それらのデータを相関・コンテキスト化します。そして、企業に関連するインシデントが発生した際に警告を送信します。必要に応じて、Brandefenseは脅威アクターへのテイクダウンも支援できるため、セキュリティ担当者は受動的な対応ではなく、事前に備えることが可能です。

Brandefenseは、上級管理職やVIPのセキュリティにも重点を置いています。これらの人物は企業ブランドの一部であるだけでなく、攻撃の標的となることも多いからです。彼らの名前やメールアドレスは、従業員や顧客に対するスピアフィッシング攻撃にもよく利用されます。

CTM360 CyberBlindspotおよびThreatCover

CTM360は、ダークウェブを監視する2つの異なるソリューションを提供しています。目的は、企業を新たな脅威から守ることです。CyberBlindspotは、企業資産に直接関係する情報に焦点を当てています。このツールは、侵害指標（IOC）の概念を拡張し、警告や攻撃の兆候を明らかにします。これにより、ネットワークにとって重要な領域をより積極的に特定できます。

ThreatCoverは、セキュリティアナリストが脅威データフィードを深く分析し、最適なデータ品質とコンテキストを得るためのツールを提供します。これに基づき、インシデント対応チームは迅速な対応が可能です。CTM360はTakedown++サービスを通じて国際的なテイクダウンも実施できます。

IBM X-Force Exchange

IBM X-Force Exchangeは、主にデータ共有プラットフォームです。脅威やインテリジェンスフィードをインタラクティブで検索可能なデータベースに統合します。APIや自動警告を通じて、既存のセキュリティシステムに統合することも可能です。IBMが提供する多くのツールは無料で利用でき、登録も不要です。ただし、関連する検索の保存や、関連ドメイン・ブランドのフィード追跡など、ポータルをカスタマイズするには登録が推奨されます。APIアクセスや高度な分析、プレミアム脅威データレポートにはサブスクリプションが必要です。

IntSights Threat Intelligence Platform

IntSights Threat Intelligence Platformは、IOC向けの包括的な外部脅威データと監視を提供します。現在はRapid7ファミリーの一員となっており、ダークウェブ上の戦術・技術・手法、脅威アクター、マルウェアのバリエーションなどの脅威データを検索します。このようなインテリジェンスは、セキュリティ専門家が進化する攻撃手法を把握し、防御策を調整するのに役立ちます。IntSightsの製品は、企業ブランドやドメインに関するダークウェブ上のアクティブな会話も可視化できるため、攻撃が始まる前に積極的な対応が可能です。

Malware Information Sharing Platform (MISP)

Malware Information Sharing Platform（MISP）は、脅威データの共有という考え方に基づいたオープンソースプラットフォームです。オープンソースのソフトウェアは、自社のデータセンターや各種クラウドプラットフォームに導入できます。オープンソースのプロトコルやデータフォーマットを利用し、他のMISPユーザーと共有できます。これらは主要なITセキュリティツールにも統合可能です。MISP連携のサポートは、このリストの他のソリューションでも特徴としてよく挙げられます。MISPの脅威フィードは商用ツールほどキュレーションされていませんが、企業が自社内でダークウェブ監視ソリューションを構築するためのコスト効率の高い方法です。

Mandiant Digital Threat Monitoring

Mandiant Digital Threat Monitoringは、オープンインターネットやダークウェブ上の脅威情報や漏洩した認証情報、その他の企業機密に関する洞察を提供します。これらのデータは機械学習（ML）によってコンテキスト化され、関連性の高い優先度付き警告を発信し、トリアージプロセスを効率化します。ブランド監視（VIP保護を含む）に加え、信頼関係のある他企業の監視も可能なため、サプライチェーン全体のセキュリティ強化や既存のセキュリティコントロールを回避する可能性のあるドメイン横断的な攻撃の防止にも役立ちます。

Mandiantは、このモニタリングツールをAdvantage Threat Intelligenceの追加モジュールとしても提供しており、多くのダークウェブ監視機能を脅威インテリジェンス機能に統合できます。

OpenCTI

OpenCTIは、インテリジェンスデータの収集・管理・活用のためのもう一つのオープンソースオプションです。Filigran社が開発し、Dockerコンテナとして展開できるため、プラットフォームに依存しません。さらに、他のセキュリティプラットフォームやソフトウェアツールとの多様なコネクタを提供し、OpenCTIデータストリームの統合や拡張が可能です。

OpenCTIの機能には、セキュリティチーム向けのロールベースアクセス制御、標準化されたデータモデル、発見元を示す属性データなどが含まれます。Python用OpenCTIクライアント、OpenCTI API、補助機能、ユーザーフレンドリーなフレームワークにより、イベントデータに基づくカスタムロジックの迅速な開発やあらゆる自動化が実現できます。

Palo Alto Networks AutoFocus

AutoFocusは、セキュリティアナリストがイベントの関連付けや対応優先順位付けを行うための深いコンテキストと洞察を提供します。Palo Alto Networksは、オープンインターネットやダークウェブのデータだけでなく、同社のグローバルなデバイス・サービスフットプリントから得られるデータも活用し、情報を相関・コンテキスト化します。

Recorded Future Intelligence Cloud Platform

Recorded Futureが提供するIntelligence Cloud Platformは、300以上の国家アクター、300万の既知の犯罪フォーラム、数十億のドメイン、数億のIPアドレスをインターネットとダークウェブで常時監視しています。この膨大なデータは分析ツールに取り込まれ、分類・コンテキスト化されます。データは、企業ブランド、脅威と脆弱性、アイデンティティ、その他様々な分野に特化したモジュールで表示されます。各モジュールは、ビジネス要件やリスクに基づいて対応の優先順位付け、対応時間の短縮、効率的な対策を可能にする実用的な情報を提供します。

SOCRadar RiskPrime

SOCRadarは、セキュリティ専門家向けにさまざまなサービスやツールを提供しており、ドメイン名やIPアドレスの手動・単発チェック用の無料ツール（ダークウェブレポートなど）も用意されています。より包括的かつ定期的な監視には、SOCRadarのRiskPrimeサービスの利用をおすすめします。RiskPrimeはPII（個人識別情報）の監視だけでなく、侵害されたVIPアカウントの追跡、評判監視、フィッシング検出も行います。テイクダウンサービスもRiskPrimeで利用可能ですが、エンタープライズサービスを利用しない限り追加料金がかかります。ダークウェブ監視サービスは料金に含まれており、サービスレベルに応じて範囲が拡大します。（jm）