ヒューマンインテリジェンス (HUMINT) とは
ヒューマンインテリジェンス (HUMINT) は、人間の情報源から情報を収集する「現場での」情報収集の一形態です。脅威インテリジェンスのコンテキストでは、アンダーグラウンドの犯罪ネットワーク、フォーラムやマーケットプレイス、チャットプラットフォーム、その他のターゲット環境(ダークウェブを含む)に潜入して脅威アクターに接触する場合などがあります。
HUMINTの目的は、攻撃者とそのアクティビティに関する情報を収集し、サイバー攻撃の背後にいる人物について詳しく知ることです(動機、ターゲット、手法など)。この情報は、特にセキュリティツールやその他のテレメトリから収集されたデータやインサイトと組み合わせて使用すると、組織がリスクを特定し、攻撃を阻止するのに役立ちます。
HUMINTは正式な分野であり、有用な情報を収集するだけでなく、運用セキュリティ (OPSEC) を講じるための専門的な技術が求められます。OPSECとは、リサーチ担当者の本当のアイデンティティや、企業、組織、または政府機関との関係を保護するために取られる対策のことです。
Expert Tip
HUMINTチームが必要とする情報リサーチ担当者は収集要件に応え、次のような分析上のギャップを埋めることに努めます。- 標的や被害を引き出す
- 戦術、技術、手順 (TTP) の変更を追跡する
- アクターのネットワークと連絡先を特定する
- アクターの特定に役立つプロファイルデータを収集する
- アクターが主張する内容の信頼性を評価し、検証する
サイバーセキュリティにおけるヒューマンインテリジェンスの重要性
技術だけでは検知が困難なシグネチャレス攻撃を仕掛けるなど、脅威アクターがより洗練された高度な攻撃技術を活用する中で、HUMINTはサイバーセキュリティ戦略において必要な要素となっています。
HUMINTは、組織や政府機関にいくつかの重要なメリットをもたらします。これには以下が含まれます。
1. 差し迫った攻撃の可能性について、潜在的な被害者に警告する。チャネルからデータを収集して差し迫った攻撃を未然に防ぐには、生データを収集するだけでは不十分です。HUMINTによって、熟練した脅威ハンターはこれらの環境に潜入し、攻撃者やその計画に関するより詳細な情報を収集することができます。その上で、差し迫った攻撃や進行中の攻撃について被害者に警告するという重要な対応を取ることができます。
2. 自動化されたインテリジェンスから収集されたデータを検証する。攻撃者は、ターゲット環境からのデータ収集を自動化する際にセキュリティツールが果たす役割を理解しています。そのため、多くが被害者の名前やドメインなどの詳細を投稿内で意図的に難読化するようになっています。HUMINTは、新しいトレンドを発見し、ツールによって収集されたデータが信頼でき完全なものであるかどうかを検証するために必要です。
3. 攻撃者の能力を裏付ける。HUMINTは、組織が侵害された際にも極めて重要な価値を持ち、セキュリティチームがアクターの主張を理解するのに役立ちます。例えば、ランサムウェア攻撃の過程で、アクターは実際以上の能力があることを主張して、かなりの金額の身代金を引き出そうとすることがあります。このような状況でHUMINTは、セキュリティチームがアクターの主張を検証し、それに応じて対応するのを支援します。
4. 法執行機関を支援する。デジタル犯罪は捜査と起訴が非常に難しいことで知られています。特に、アクターが被害者の所在国以外の国で活動している場合は、さらに困難です。サイバーセキュリティサービスプロバイダーによって収集されたHUMINTは、セキュリティチームがアクターについて関連性のある必要なプロファイル情報を共有できるため、法執行機関にとって非常に価値があります。可能な場合、この情報には本名、住所、国籍、その他の重要な詳細が含まれることがあります。
ヒューマンインテリジェンスサイバーセキュリティの4つの一般的なユースケース
HUMINTは、セキュリティチーム内で多くの役割を果たします。HUMINTの一般的な4つのユースケースには、次のものがあります。
1. デジタルリスク保護サービス (DRPS):DRPSは、サイバー攻撃から組織をプロアクティブに保護するための1つの形態です。前述したように、テクノロジーだけでは、現代の高度な攻撃を効果的に特定し、予測することはできません。一方、すべてのアンダーグラウンドデータをヒューマンインテリジェンスだけで監視するのは単純に不可能です。自動収集とHUMINTを組み合わせることで、主要な脅威アクティビティの関連情報を効果的に明らかにすることができます。
2. インシデント対応 (IR)、脅威アクターの根絶、ランサムウェアの支払い:攻撃が発生した場合、特にランサムウェア攻撃の場合、アクターとその能力を把握することが、組織が攻撃にどのように対応するかを決定するのに役立ちます。例えば、ランサムウェア攻撃の際、攻撃者は盗んだデータやその破損方法について大げさな主張をすることがあります。HUMINTは、このような主張を検証し、身代金の支払いが必要かどうかを判断するのに役立ちます。
3. 新たな攻撃の発見:アクターは常に戦術と技術を変更します。また、アンダーグラウンドコミュニティを活用して、エクスプロイトやマルウェアの開発など、攻撃を実行するのに役立つ情報を探します。モニタリングを行い、アクターが必要とする支援の種類を把握することで、新たな攻撃が組織にリスクをもたらす前に回避または阻止することができます。
4. アクターの特定:アクターが特定されると、インテリジェンスアナリストはHUMINTを使用して、アクターのエコシステム、能力、動機を理解します。この知識は、アクターの活動を追跡するだけでなく、この個人またはグループによる攻撃を評価するのに役立ちます。
バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。
