連載
» 2017年12月18日 05時00分 公開

特集:セキュリティリポート裏話(6):セキュリティでは「裏」を取るなら1次情報の確認を (1/2)

世界中に広がった「WannaCry」から、自社で利用中の製品に残るさまざまな脆弱(ぜいじゃく)性まで、さまざまなサイバーセキュリティ上の課題に立ち向かうには、まずは正確な情報が必要です。今回はセキュリティベンダー各社が発表するレポートや予測から離れて、自ら情報を探る方法について紹介します。

[高橋睦美,@IT]

あふれるセキュリティ情報から、必要なものを選び出すには

 サイバーセキュリティ関連の話題がテレビや新聞でひんぱんに取り上げられるようになり、大規模な事例を通じてセキュリティ情報に触れる方が増えました。前回の特集記事で紹介したセキュリティベンダーの多くは、ブログやTwitterを通じてリアルタイムにリサーチの成果や追跡情報を公開しています。それ以外にも独自にセキュリティ情報をまとめ、発信する個人が増えています。

 かつては、限られたリソースからいかにセキュリティ情報を拾い集めるかが、鍵でした。今では、油断しているとセキュリティ情報の海に溺れそうになるほど、多くの情報があふれています。

 そもそも、一口に「サイバーセキュリティ」といっても関連する領域が幅広くなっています。脆弱性情報やそれを悪用するマルウェアの解析、マルウェア拡散に使われるメールの情報や攻撃キャンペーンの動向、あるいはIoT関連に制御システム……と、挙げていけばきりがないほどです。

 これからのセキュリティ情報過多時代には、興味やトピックに合わせ、必要な情報をいかにフィルタリングするのかが情報収集のポイントになるでしょう。

自分なりに専門家をフォロー、最後は1次情報を自分の目で確認

 セキュリティに関心を持つ人ならおなじみのpiyokango氏らセキュリティリサーチャーも、情報のフィルタリングの必要性を指摘しています。リサーチャーが集まるイベントでは、幾つかお勧めの方法が紹介されています(WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか)。

 まずは自分と同じような方向を向いてウォッチしている専門家をTwitterでフォローして情報をチェックします。さらにその専門家がフォローする情報を追いかけていくことで、観測範囲を定めることができるでしょう。

 昔ながらのRSSやGoogleアラートの活用、Twitterでのリアルタイム検索といった手法も有効です。こちらのPodcast記事も参考になるでしょう(情報に振り回されないために新入社員が知っておくべきこと)。

 もう1つ大事なことは、専門家の目を借りつつ、最後はきちんと自分で1次情報を確かめることです。さらに余裕があれば、自分なりの視点でまとめた情報をブログなどで公開すると、同じ関心を持つ誰か他の人に役立つかもしれません。そうやって情報を発信する人のところには、より多くの情報が集まってくるものです。

海外の情報を足掛かりに1次情報の確認を

 前回の特集記事では、JPCERTコーディネーションセンター(JPCERT/CC)や独立行政法人 情報処理推進機構(IPA)をはじめとするセキュリティ関連組織や、主要なセキュリティベンダーが公開するブログやレポートを紹介しました。これらの情報源は非常に参考になりますが、いち早く情勢を知りたい場合には、海外の情報源に直接当たることが有効です。

 セキュリティベンダーが英語で発信する情報の中には、興味深いものが多々あります。その大半は日本語に訳されますが、数日〜数週間単位のタイムラグは避けられません。

 もちろん、アイティメディアをはじめとする多くの媒体が日本語による速報ニュースを提供しており、朝一番のチェックなどに活用しているでしょう。それでも残念ながら、翻訳や記事化の過程で要点のみに絞られ、詳細が失われることがあります。新しい脆弱性や攻撃コードが報じられた際、自社にどの程度影響を及ぼすか、リスクを判定するには、翻訳元の1次情報、1次ソースに当たることが非常に重要です。

 どのような1次ソースを参照すればよいのか参考となるよう、筆者がアクセスする幾つかのニュースソースを紹介します。

Talos

http://blog.talosintelligence.com

 米Cisco Systemsの下でセキュリティ情報収集と脅威インテリジェンスの提供に当たっているTalosのブログ。2017年9月、システムクリーナーソフト「CCleaner」にマルウェアが仕込まれていた問題が明らかになった事件では、解析に基づく詳細な情報を紹介しました。


Rapid7

https://blog.rapid7.com

 ペネトレーションテスト(脆弱性調査)に広く用いられている「Metasploit」の開発元Rapid7のブログ。Metasploitに追加する新機能やモジュールのまとめが定期的に投稿されています。さらに日本ではあまり報じられていないものも含め、脆弱性情報とその実証コード(Exploit)に関する投稿があります。

Rapid7 Rapid7

FireEye

https://www.fireeye.com/blog/threat-research.html

 標的型攻撃対策製品を提供する米FireEyeのブログ。同社は、本来の意味でのAdvanced Persistent Threat(APT)を仕掛ける攻撃主体を幾つかのグループに分類、観測し続けています。その中で目立つ動きがあるとレポートを掲載します。


Arbor Networks

https://www.arbornetworks.com/blog/asert/

 IoTデバイスに感染して、これまでとは桁違いの規模のDDoS攻撃を仕掛ける「Mirai」を皮切りに、IoT機器を悪用したDDoS攻撃が増加中です。米Arbor Networksは、そうしたDDoS攻撃への対策ソリューションを提供する企業で、さまざまなDDoS攻撃キャンペーンを取り上げ、警告しています。


       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。