脅威アクターとは

脅威アクター（悪意のあるアクター）は、デジタル領域に意図的に危害を加える個人または組織です。彼らは、コンピューター、ネットワーク、システムの弱点をエクスプロイトして、個人や組織に破壊的な攻撃を行います。

ほとんどの人は「サイバー犯罪者」という用語を知っています。この用語は、ランサムウェア攻撃の背後にいる窃盗犯や、ダークウェブに晒された個人情報のぼんやりとしたイメージを連想させます。「脅威アクター」という用語にはサイバー犯罪者も含まれますが、それだけには到底とどまりません。ハクティビスト（ハッカー活動家）やテロリストなどのイデオローグ、インサイダー、さらにはインターネットトロールも、すべて脅威アクターと見なされます。

脅威アクターの標的

たいていの脅威アクターは、標的を無差別に選択します。彼らが探すのは、個人ではなく、悪用できる脆弱性です。実際、大規模詐欺の実行犯や自動化を活用するハッカーは、できるだけ多くのシステムを攻撃し、ネットワーク間を感染症のように広がっていきます。

サイバー犯罪者の中には、「ビッグゲームハンター」や「持続的標的型攻撃」と呼ばれる者もいます。彼らは意図的に価値の高い特定の標的を攻撃します。彼らは時間をかけて標的を研究し、成功する可能性の高い特化した攻撃を仕掛けます。

懸念材料

脅威アクターの標的になる心配のない人はいません。企業も個人も同じようにこのリスクに直面しています。実際、メリーランド大学のある研究によると、サイバー攻撃は推定で39秒ごとに発生しています。

加えて、脅威アクターはサイバーセキュリティとまさに同じ速さで進歩しています。企業のマルウェアセキュリティソフトウェアが最新であっても、サイバー犯罪者は新しい攻撃手法を日々生み出しています。このような状況であっても、脅威インテリジェンスを使用すれば、脅威アクターに反撃するというセキュリティ上の判断を、より優れた情報に基づきより迅速に下せます。

脅威アクターの種類

悪意のあるアクターはいくつかの種類に分類できます。大半は、詐欺師、スリル好き、イデオローグなど、標準的なサイバー犯罪者に当たります。これに対し、インサイダー脅威アクターと国家主導型脅威アクターの2種類は独特です。

インサイダー脅威

インサイダー脅威は、標的となるネットワーク内で発生することから、特定や防止が困難です。インサイダー脅威は、データを盗んだり他のサイバー犯罪を実行したりするために、防御を破る必要はありません。従業員、コンサルタント、役員など、システムへの特権アクセス権を持つ個人がなり得ます。

インサイダー脅威の痕跡についてはこちらをクリックしてください。

国家主導型脅威アクター

国家主導型脅威アクターは国家レベルで活動しており、一般に原子力、金融、テクノロジー業界のインテリジェンスを標的としています。この類いの脅威は通常は政府の諜報機関や軍で、高度な訓練を受けており、ステルス性が極めて高く、国の法制度で保護されています。国家が外部の組織を利用することもあります。外部の組織はセキュリティオペレーションセンター (SOC) をかわすための専門知識を必ずしも持っていませんが、国は責任を否定できます。

国家主導型脅威アクターは、インテリジェンスを収集するほか、重要なインフラストラクチャを攻撃したり妨害行為を試みたりする可能性があります。

脅威アクターの動機

脅威アクターや持続的標的型攻撃（APT攻撃）は、たいてい金銭目的です。彼らはその目的ため、第三者に販売できるデータを取得したり、ランサムウェア攻撃で被害者から金銭を直接搾取したりします。

インサイダー脅威は、情報を競合相手に販売して、他のサイバー犯罪者の先例に倣っている場合があります。また、より個人的な動機を持っている場合もあり、例えば会社や上司に恨みがある者が、報復としてネットワーク侵害を試みることがあります。Verizonによると、インサイダー脅威の17%は愉快犯です。最後に、競合ビジネスの立ち上げを考えているインサイダー脅威は、自分たちが優位に立てるようにデータを盗む可能性があります。

国家主導型脅威アクターは、政治的または国家主義的な動機を持っています。主に自国のカウンターインテリジェンスの改善を模索しています。ただし、スパイ活動、偽情報やプロパガンダの拡散、さらには主要な企業、リーダー、インフラストラクチャに対する妨害など、より破壊的な目的を持っている場合もあります。具体的な目的が何であれ、国家主導型脅威アクターはその犯罪行為について国家の支援と保護を受けています。

テロリストやハクティビストも政治的な動機を持っていますが、国家レベルの活動はしません。ハクティビストは、通常、社会的または政治的な問題に根ざした個人的な思想や信念を広めようとします。一方、テロリストは、その目標達成のために騒乱と恐怖を広めることを目指しています。

脅威アクターの一歩先を行く方法

脅威アクターの大半は、アクセス権を手に入れるためにフィッシングを使用します。具体的には、公式からのEメールを装ってパスワードの変更を要求したり、偽のログインページで認証情報を盗み取ろうとしたりします。従業員が「ナイジェリアの王子」詐欺に引っかかる時代はとうに過ぎ去ったかもしれませんが、フィッシングの手口は、時とともに巧妙さを増し続けています。人的エラーの可能性がある限り、企業はサイバー攻撃者の犠牲となる可能性があります。

脅威アクターの回避

脅威アクターを回避するためのベストプラクティスとして、以下が挙げられます。

• サイバーセキュリティについて従業員を教育し、人為的ミスを減らします。
• 多要素識別を使用するとともに、パスワードを頻繁に変更して、データを安全に保ちます。
• 従業員のアクティビティをモニターして、インサイダー脅威の可能性がある従業員を特定します。
• サイバーセキュリティソフトウェアをインストールして、悪意のあるアクターをブロックします。

また、あらゆる類いのフィッシング攻撃を回避する必要もあります。迅速な対応を求めるEメールには、疑いの目を向けてください。さらに、すべてのデバイスを最新の状態に保ち、保護されたネットワーク上に配置してください。インターネットに接続されたあらゆるデバイスは、防御の弱点になり得ます。

導入すべき体制

脅威アクターから身を守るために使用できる簡素な防御システムとして、機密データやデバイスへのビジターアクセスを制限するVPNやゲストネットワークなどがあります。また、攻撃が成功した場合の対応計画も用意しておく必要があります。

最善の防御は先手を打つことです。システム侵害後に攻撃に対応するのではなく、脅威ハンティングによる積極的なアプローチを取りましょう。脅威ハンティングは人間の能力を活かすアプローチです。脅威ハンターは異常なアクティビティを検知するとすぐに、マルウェアをプロアクティブに探し出し、調査して破壊します。セキュリティチームは、取り返しのつかない被害が生じる前にサイバー攻撃を阻止できます。

脅威アクターから身を守る

悪意のある脅威アクターが今まさにあなたを標的にしているかもしれません。こちらも相手を標的にしましょう。あらゆる類いのサイバー攻撃から身を守るため、身の回りのさまざまな脅威について学び、効果の高い積極的なセキュリティ対策をすぐに実施してください。

クラウドストライクのCrowdStrike CrowdStrike Falcon® Counter Adversary Operationsが、脅威ハンティングやサイバー攻撃の防止など、脅威インテリジェンスのための自動化ソリューションをどのように提供しているかをご確認ください。