脅威インテリジェンスの価値を高める「コンテキスト」
見出し
サイバー脅威インテリジェンス(CTI)において、インジケーター単体では十分な判断材料にならないケースが少なくありません。今回のCriminal IPとOpenCTIの連携は、IPアドレス・ドメイン・URLといった個別のインジケーターを、OpenCTIのナレッジグラフ内で構造化された実用的なインテリジェンスへと変換することを可能にします。
この連携では、Criminal IPが持つレピュテーションスコア、インフラ情報、脆弱性データ、行動シグナル、フィッシング分析結果がインジケーターへ自動的に付与されます。これらのエンリッチされた情報は、OpenCTIのエンティティと関係として構造化されるため、関連インフラの調査や、高リスクインジケーターの優先順位付けをより効率的に行うことができると期待されます。
主な連携機能が提供する多角的な分析能力
今回の連携により、OpenCTIユーザーは以下のような多角的な分析機能を活用できるようになります。
まず、「単純なレピュテーションを超えたコンテキストベースのリスクスコアリング」が提供されます。Criminal IPは、インバウンドおよびアウトバウンドの2つの観点からリスクスコアを提供することで、特定のIPアドレスがどのように攻撃対象となっているか、また外部に対してどのような挙動を示しているかを多角的に把握できます。これにより、従来の単一スコアによる評価と比較して、より詳細な判断材料が提供され、アナリストは高リスクインフラを正確に識別し、優先的に対応すべきインジケーターを判断しやすくなるといいます。
次に、「グラフ上で可視化される高度なインフラ分析情報」が挙げられます。Criminal IPのエンリッチメントは、インジケーターへタグを付与するだけでなく、脆弱性(CVE)、Autonomous System(ISP)、地理情報などを含むOpenCTIのエンティティと関係を構造化します。これにより、アナリストはグラフ上でインフラを横断的に分析し、共通する構成要素や関連インフラを把握することが可能になります。
また、「公開サービスと脆弱性の相関分析」機能では、観測されたサービス情報を既知のCVEと関連付けることで、潜在的な攻撃対象領域に関する即時の洞察を提供します。これにより、アナリストは対象IPが悪性であるかだけでなく、実際に悪用可能な状態にあるか、また攻撃で利用されている可能性があるかを迅速に評価できるとされます。
さらに、「高精度な脅威ラベリングと行動シグナル」により、VPN、プロキシ、Torなどの匿名化技術、ホスティング特性、悪性分類といった複数のデータポイントが反映された多層的なラベルが自動生成されます。これにより、「悪性/正常」といった二分法にとどまらない、より豊富な脅威コンテキストが提供されるとしています。
ドメイン分析においては、「高度なドメイン分析とフィッシング検知」が可能です。Criminal IPがURL全体を分析し、フィッシング活動、認証情報の窃取、不審なファイル、なりすまし手法などを検知します。信頼度スコアはフィッシングの可能性と直接結び付けられており、アナリストはリスクを定量的に評価できるといいます。
最後に、「インフラストラクチャーマッピングと分析支援」機能では、インジケーターをネットワーク所有者(Autonomous System)、物理的な位置情報、解決されたIPインフラと関連付けます。これにより、セキュリティチームは複数のインジケーターにまたがるホスティング傾向、地域的な集中、インフラパターンを把握できるようになります。
連携の仕組みと主なユースケース
本連携の仕組みは、IPアドレス、ドメイン、URLなどのインジケーターがOpenCTIに取り込まれると、Criminal IPコネクターが各インジケーターに対し、レピュテーションスコア、インフラ情報、脆弱性情報、行動シグナル、フィッシング分析結果を自動的に付与するというものです。エンリッチされたデータはOpenCTIのエンティティと関係として構造化され、ナレッジグラフ内で調査、相関分析、脅威分析に活用できるようになります。
主なユースケースとしては、以下が挙げられます。
-
SOCトリアージとアラート検証: デュアルリスクスコア、インフラコンテキスト、フィッシングインテリジェンスを活用することで、不審なIPアドレスやドメインを迅速に検証し、アナリストは高リスクインジケーターを優先的に判断し、アラート対応の精度とスピードを高めることができます。
-
脅威ハンティングとインフラのピボット分析: CVE、Autonomous System、地理情報などのエンリッチされた関係情報を活用し、関連インフラを横断的に分析することで、攻撃者の活動に利用されている関連資産や共通するインフラ構成を把握しやすくなります。
-
フィッシングおよびキャンペーン分析: 悪性ドメイン、認証情報の窃取ページ、それらを支えるインフラを特定・分析することで、フィッシング活動の追跡や、より広範なキャンペーンパターンの把握を支援します。
Criminal IPとOpenCTIについて
「OpenCTI」は、グラフベースのモデルを用いて脅威データを構造化、保存、分析するために設計されたオープンソースのサイバー脅威インテリジェンスプラットフォームです。組織は、インジケーター、脆弱性、脅威アクター、キャンペーンなどを統合されたナレッジベース内で関連付け、調査、コラボレーション、インテリジェンス共有に活用できるとされています。
一方、「Criminal IP」は、グローバルインターネット上のIPアドレス、ドメイン、URLを分析し、意思決定に直結するサイバー脅威インテリジェンスを提供するプラットフォームです。AIとOSINT(オープンソースインテリジェンス)を活用し、レピュテーションスコアリング、インフラの可視性、フィッシング、公開サービス、VPNやプロキシなどの匿名化技術を含む悪性活動のリアルタイム検知を支援します。APIファーストのアーキテクチャにより、既存のセキュリティプラットフォームへ容易に統合でき、可視性、自動化、対応力の向上を支援するとしています。
この連携により、サイバー脅威に対するより迅速かつ的確な対応が期待され、セキュリティ分野における脅威インテリジェンス活用の新たな一歩となるでしょう。
ソース元
-
Criminal IP と OpenCTI が連携 — 個々のインジケーターを、実用的な脅威インテリジェンスへ
-
OpenCTI Integrations – Criminal IP
