脅威アクター
サイバーセキュリティ用語

サイバーセキュリティにおいて脅威の主体悪質な主体、または悪意のある主体とは、コンピュータ、デバイス、システムネットワークなどのサイバー領域で悪意のある行為に関与する個人またはグループです[1]脅威の主体は、サイバー関連の犯罪に従事し、未解決の脆弱性を悪用して活動を妨害します。 [ 2 ]脅威の主体は、さまざまな学歴、スキル、リソースを持っています。[1] サイバー攻撃の頻度と分類は急速に変化しています。脅威の主体の背景は、彼らが誰をターゲットにし、どのように攻撃し、どのような情報を探しているのかを決定づけるのに役立ちます。脅威の主体には、サイバー犯罪者国家レベルの主体、イデオローグ、スリルを求める人/荒らし、内部関係者、競合他社など、多数存在します。[3]これらの脅威の主体はすべて、異なる動機、手法、ターゲット、盗んだデータの使用法を持っています。[4]

背景

サイバー空間の発展は、社会にメリットとデメリットの両方をもたらしました。サイバー空間は技術革新を促進する一方で、様々な形態のサイバー犯罪ももたらしました。[2]サイバー空間の黎明期以来、個人、集団、そして国家レベルの脅威アクターが、被害者の脆弱性を悪用するサイバー犯罪に関与してきました。[2]脅威アクターには、動機や標的が異なる複数のカテゴリーがあります。

金銭目的の俳優

サイバー犯罪者の主な目的は2つあります。1つ目は、システムに侵入して貴重なデータやアイテムにアクセスすることです。2つ目は、システムに侵入した後に法的措置を回避しようとすることです。サイバー犯罪者は、大規模詐欺師/自動化ハッカー、犯罪インフラプロバイダー、そして大物ハンターの3つのサブグループに分類できます。[3]

大量詐欺師や自動化ハッカーには、金銭的利益を得るためにシステムを攻撃するサイバー犯罪者が含まれます。これらの脅威アクターは、ツールを使用して組織のコンピュータシステムを感染させます。そして、被害者がデータを回復するための金銭的賠償を求めます。[2]犯罪インフラプロバイダーは、ツールを使用して組織のコンピュータシステムを感染させることを目的とする脅威アクターのグループです。犯罪インフラプロバイダーは、その後、組織のインフラストラクチャを外部の組織に販売し、システムを悪用できるようにします。通常、犯罪インフラプロバイダーの被害者は、システムが感染していることに気づいていません。[2]大物ハンターは、単一の高価値ターゲットを攻撃することを目的とするサイバー犯罪者の別のサブグループです。大物ハンターは、ターゲットのシステムアーキテクチャやターゲットが使用するその他のテクノロジーなど、ターゲットについて学習するために余分な時間を費やします。被害者は、電子メール、電話攻撃、またはソーシャルエンジニアリングスキルによって狙われる可能性があります。[2]

国民国家主体

国家主導の脅威アクターは、国​​家の利益に関わる情報の獲得を狙っています。国家主導のアクターは、金融テクノロジー情報など、様々な分野に関心を寄せています。[2]国家が国家主導のアクターを利用する方法は2つあります。まず、自国の政府情報機関を活用する国があります。次に、サイバー犯罪を専門とする組織と協力する国もあります。外部のグループを利用する国は追跡可能ですが、外部のグループによる行為に対して、必ずしも責任を負うとは限りません。国家主導のアクターは、他国だけでなく、民間企業や非政府組織などの外部組織も攻撃対象とします。彼らは通常、自国の対諜報戦略を強化することを目的としています。[2]国家による攻撃には、戦略的破壊活動重要インフラへの攻撃などが含まれます。国家は、サイバー空間において非常に大規模な脅威アクター集団であると考えられています。[5]

イデオローグ(ハクティビストやテロリスト)

イデオローグとみなされる脅威アクターには、ハッカーテロリストという2つの攻撃者グループが含まれます。これら2つの攻撃者は、目的が似ているため、同じグループに分類できます。しかし、ハクティビストとテロリストは、サイバー犯罪の実行方法が異なります。

ハクティビズムとは、ワールドワイドウェブの初期に作られた用語で、ハッキング(hacking)とアクティビズム(activism)という2つの単語を組み合わせたものです。[2]ハクティビストとは、通常、自身の信念やイデオローグを推進するためにサイバー犯罪を犯す用意のある個人または団体のことです。[3]多くのハクティビストには、反資本主義者反企業主義の理想主義者が含まれており、彼らの攻撃は同様の政治的および社会的問題に触発されています。[2]テロリズムには、目的を達成するためにテロを起こそうとする個人または集団が含まれます。ハクティビストとテロリストの主な違いは、最終目的です。ハクティビストはメッセージを広めるために安全保障法を破ることもいといませんが、テロリストは目的を達成するためにテロを起こそうとします。イデオローグは、他の種類の脅威アクターとは異なり、通常、金銭的インセンティブによって動機付けられません。[2]

スリルを求める人と荒らし

スリルシーカーとは、実験目的のみでシステムを攻撃する脅威アクターです。[3]スリルシーカーは、コンピュータシステムやネットワークの仕組みを詳しく知り、コンピュータシステムにどれだけのデータを侵入できるかを知りたいと考えています。大きな損害を与えることを目的としているわけではありませんが、組織のシステムに問題を引き起こす可能性があります。時が経つにつれ、スリルシーカーは現代のトロールへと進化しました。トロールは、スリルシーカーと同様に、娯楽目的でシステムを攻撃する個人またはグループの一種です。しかし、スリルシーカーとは異なり、トロールは悪意のある行為を目的としています。[2]現代のトロールは、誤情報や危害を引き起こす可能性があります。

インサイダーと競合他社

インサイダーは、ネットワーク情報を他の敵対者に売却する内部関係者、または不当な扱いを受けたと感じて報復する必要性を感じる不満を抱えた従業員のいずれかである可能性がある。 [3]インサイダー攻撃の防止は困難な場合があるが、構造化されたログ記録および分析計画を導入することで、攻撃が成功した後にインサイダー脅威アクターを検出することができる。ビジネス上の競合他社も、組織に損害を与える可能性のある脅威アクターの1つである。競合他社は、通常は安全に保護されている組織の秘密にアクセスできる可能性がある。組織は、ビジネスインテリジェンスに関するより深い知識を獲得することで、競合他社の脅威アクターから自らを守ることができる。[3]

脅威アクターを特定する組織

政府機関

アメリカ合衆国(US) - 国立標準技術研究所(NIST)

米国国立標準技術研究所(NIST)は、国家レベルのサイバーセキュリティ問題に取り組む政府機関です。NISTは、リスク評価の実施に関するガイドラインを含む、サイバーセキュリティガイドラインに関する報告書を作成しています。[6] NISTは、サイバー脅威の主体を、一般的に国家政府、テロリスト、組織犯罪グループ、ハッカーに分類しています。[7]

欧州連合(EU) - 欧州連合サイバーセキュリティ機関(ENISA)

欧州連合サイバーセキュリティ機関(ENISA)は、サイバーセキュリティ能力の向上を任務とする欧州連合(EU)に拠点を置く機関です。ENISAは、EU内の情報セキュリティ専門家に対し、調査と支援を提供しています。 [8]この機関は2019年までサイバー脅威レポートを発行しています。このレポートの目的は、公表されたインシデントを特定し、それらの攻撃を最も可能性の高い脅威アクターに帰属させることです。最新のレポートでは、国家、サイバー犯罪者、ハクティビスト、サイバーテロリスト、そしてスリルを求める人々を特定しています。[3] [8]

国際連合(UN)

国連総会(UNGA)もサイバーセキュリティの問題への意識向上 取り組んでおり、2019年には国際安全保障の観点から情報通信分野の発展に関する報告書を発表しました。[3] [9]この報告書では、国家、サイバー犯罪者、ハクティビスト、テロリスト集団、スリルを求める人々、内部関係者といった脅威主体が特定されています。[3] [9]

カナダ - カナダサイバーセキュリティセンター (CCCS)

カナダでは、脅威アクターとは、悪意を持って脆弱性を悪用し、損害を与えることを目的とする国家、団体、または個人と定義されています。脅威アクターとは、データ、デバイス、システム、またはネットワークにアクセスまたは変更するために、情報システムへのアクセスを試みている者を指します。[10]

日本 - 内閣官房内閣リスク管理戦略センター(NISC)

日本政府の内閣情報戦略センター(NISC)は、日本に「自由、公正、かつ安全なサイバー空間」を創出することを目的として、2015年に設立されました。[ 11] NICSは2018年にサイバーセキュリティ戦略を策定し、国家とサイバー犯罪を最も重要な脅威として概説しました。[12]また、テロリストによるサイバー空間の利用を監視し、把握する必要があることも示しています。[12]

ロシア - ロシア連邦安全保障理事会

ロシア連邦安全保障会議は2016年にサイバーセキュリティ戦略教義を発表した。[13]この戦略では、サイバーセキュリティ対策に対するリスクとして、国家主体、サイバー犯罪者、テロリストといった脅威主体を強調している。[3] [13]

非政府組織

クラウドストライク

CrowdStrikeは、サイバーセキュリティ技術およびウイルス対策を提供する企業であり、毎年脅威レポートを発行しています。2021年版グローバル脅威レポートでは、国家とサイバー犯罪者がサイバーセキュリティに対する2つの主要な脅威であると報告されています。[14]

ファイアアイ

FireEyeは、サイバー攻撃の検知と防御に携わるサイバーセキュリティ企業です。同社は、顧客のセンサーシステムから得られた結果に基づき、検知された脅威の傾向に関するレポートを毎年発行しています。[15]同社の脅威レポートでは、国家支援を受けた主体、サイバー犯罪者、内部関係者が現在の脅威として挙げられています。[15]

マカフィー

マカフィーは、アメリカのグローバルなコンピュータセキュリティソフトウェア企業です。同社は、サイバーセキュリティにおける主要な課題を特定した四半期ごとの脅威レポートを発行しています。[16] 2021年10月の脅威レポートでは、サイバー犯罪者がこの分野における最大の脅威の一つであると概説されています。[16]

ベライゾン

ベライゾンは、アメリカの多国籍通信会社であり、過去の顧客インシデントに基づいた脅威レポートを提供しています。ベライゾンは、脅威アクターを定義する際に、次のような問いを投げかけています。「この事件の背後にいるのは誰か?フィッシング攻撃を仕掛ける外部の「悪者」かもしれないし、機密文書を座席のポケットに置き忘れる従業員かもしれない」[17]。ベライゾンはレポートの中で、国家主体とサイバー犯罪者という2種類の脅威アクターを概説しています。[17]

テクニック

フィッシング

フィッシングは、脅威アクターがユーザー名、パスワード、クレジットカード情報、社会保障番号などの機密データを入手するために用いる手法の一つです。フィッシング攻撃は通常、脅威アクターが被害者を騙して機密情報を開示させたり、被害者のシステムに悪意のあるソフトウェアをインストールさせたりするために設計されたメッセージを送信することで発生します。[18]

クロスサイトスクリプティング

クロスサイトスクリプティングは、脅威アクターが安全で信頼できるウェブアプリケーションにクライアントサイドのスクリプトを挿入することで発見されるセキュリティ脆弱性の一種です[19]このコードは、被害者のシステム上で感染スクリプトを起動します。これにより、脅威アクターは機密データにアクセスできるようになります。[20]

SQLインジェクション

SQLインジェクションは、脅威アクターがデータ駆動型アプリケーションを攻撃するために使用するコードインジェクション手法です。脅威アクターは悪意のあるSQL文を挿入することで、被害者の情報を抽出、変更、または削除することができます。[20]

サービス拒否攻撃

サービス拒否攻撃DoS攻撃)とは、脅威アクターがネットワークホストのサービスを一時的または無期限に中断させることで、自動化されたリソースを被害者が利用できないようにするサイバー攻撃です。脅威アクターは、偽のリクエストを大量に送信してネットワークを圧倒し、業務を妨害することでDoS攻撃を実行します。[20]

参考文献

  1. ^ ab 「サイバーセキュリティスポットライト - サイバー脅威アクター」CIS . 2021年11月13日閲覧
  2. ^ abcdefghijkl Pawlicka, Aleksandra; Choraś, Michał; Pawlicki, Marek (2021-10-01). 「サイバースペースの迷える羊、つまり社会全体の利益のために法律を破ると主張する行為者」.パーソナル・ユビキタス・コンピューティング. 25 (5): 843– 852. doi : 10.1007/s00779-021-01568-7 . ISSN  1617-4917. S2CID  236585163.
  3. ^ abcdefghij サイリオ、ミルコ;ラトバラ、ウティ・マルジャ;アレクサンダー・サント(2020)。 「未来の工場のためのサイバー脅威アクター」。応用科学10 (12): 4334.土井: 10.3390/app10124334
  4. ^ アブロン、リリアン. 「データ泥棒 - サイバー脅威アクターの動機と盗難データの利用・収益化」(PDF) . www.rand.org .
  5. ^ 「ENISA脅威ランドスケープレポート2018」ENISA . 2021年11月14日閲覧
  6. ^ Ross, Ronald S. (2012-09-17). 「リスク評価の実施ガイド」. NIST .
  7. ^ 「サイバー脅威源の説明 | CISA」us-cert.cisa.gov . 2021年12月7日閲覧
  8. ^ ab 「ENISA脅威ランドスケープレポート2018」ENISA . 2021年12月7日閲覧
  9. ^ ab "A/74/120 - E - A/74/120 -Desktop". undocs.org . 2021年12月7日閲覧
  10. ^ セキュリティ、カナダサイバーセンター(2018年8月15日)。「カナダサイバーセキュリティセンター」。カナダサイバーセキュリティセンター。 2021年12月7日閲覧
  11. ^ 「内閣サイバーセキュリティセンター(NISC)日本」www.cybersecurityintelligence.com . 2021年12月7日閲覧
  12. ^ ab "内閣サイバーセキュリティセンター | NISC". www.nisc.go.jp . 2021年12月7日閲覧
  13. ^ ab "Совет Безопасности Российской Федерации". www.scrf.gov.ru 2021年12月7日閲覧
  14. ^ 「2021年CrowdStrikeグローバル脅威レポート」go.crowdstrike.com . 2021年12月7日閲覧
  15. ^ ab 「[レポート] M-Trends 2021」FireEye . 2021年12月7日閲覧
  16. ^ ab 「McAfee Labs 脅威レポート – 脅威調査 | McAfee」。www.mcafee.com 。 2021年12月7日閲覧
  17. ^ ab 「2021 DBIRマスターガイド」Verizon Business . 2021年12月7日閲覧
  18. ^ 「フィッシングとは? 例とフィッシングクイズ」Cisco . 2021年12月8日閲覧
  19. ^ 「クロスサイトスクリプティング(XSS)ソフトウェア攻撃 | OWASP Foundation」。owasp.org 2021年12月8日閲覧
  20. ^ abc 「Webアプリケーションファイアウォールとは? | WAFの説明 | CrowdStrike」crowdstrike.com . 2021年12月8日閲覧
「https://en.wikipedia.org/w/index.php?title=Threat_actor&oldid=1308104786」より取得