※ダークウェブ:特殊なブラウザによってのみアクセスできるサイト群。個人情報のやりとりなど犯罪に利用されることも多い。
ダークウェブ上に存在するサイバー犯罪者らが使う会員制コミュニティや、犯罪に利用されやすいメッセージアプリTelegramなどからでしか入れないチャンネルにアクセス。そこに出入りしている実在の攻撃者を例に取り、その人物の活動を調べていく。そのなかで、政府や民間企業を狙って起きるサイバー攻撃の兆候を検知する調査を実践してみせた。
どんなサイバー犯罪にでも言えることだが、攻撃者の動きを追うことで、積極的な防衛が可能になる。
ワークショップでは、ある特定企業のどのような情報が犯罪コミュニティに漏れているか、またそこから予測される、警戒すべき攻撃についても分析が行われた。
こうしたサイバー攻撃の入り口となる漏洩情報は「イニシャル・アクセス」と呼ばれる。ダークウェブなどには、その情報を売買する「イニシャル・アクセス・ブローカー」が存在する。先に紹介したKELAでは、そうしたブローカーの監視も続けている。
まさにこのワークショップで行われた一連が、「能動的サイバー防御」の最前線だと言えるだろう。
いち企業のセキュリティ部門ができることとすれば、企業内のネットワークやシステム側に攻撃対象となる欠陥がないかを調べるソリューションや、KELAのように脅威インテリジェンスをセキュリティに組み込むソリューションを導入するなどが必要となるだろう。
もちろん政府も「能動的サイバー防御」に注目し、対策に役立てるべきだろう。一般的な対策だけでは、もはやサイバー被害は防げない。攻撃者の一歩先を行き、積極的に自衛することが必要になる。
