この用語集では、一般的な業界用語を定義します。当社のテクノロジーに特有の用語を含む、Recorded Future 用語集はこちら からご覧いただけます。
高度な持続的Threat (APT)
APT は、標的の情報システムを情報漏洩 / 侵害し、永続的な不正アクセスを維持して長期的な情報悪用目的を達成するために一般的に必要とされる、高度な方法論と高度な技術的機能を適用する、技術的に高度なサイバー脅威を指します。 APT 攻撃者は通常、複数の攻撃ベクトルと脆弱性を利用して、ネットワーク侵害や悪用キャンペーンを実行します。
資産
資産とは、情報漏洩/侵入の場合に損失を引き起こす可能性のあるデータや情報、資産、または情報システムのコンポーネントを指します。損失の種類と定量化は異なる場合があります (たとえば、評判損失や金銭的損失など) が、資産は通常、損失の種類ではなく、その資産にアクセスしたり情報漏洩 / 侵害したりするメカニズムを指します。
一般的な脆弱性と露出 (CVE)
CVE は、ソフトウェアおよびハードウェア システムの脆弱性に関する信頼性の高いデータの業界標準です。この情報には、脆弱なシステムの特定のバージョンと構成、脆弱性の性質と重大度、脆弱性を緩和するまたは修復するためのオプションが含まれます。 MITRE 社がシステムを保守します。
ダークウェブ
ダークウェブは、特定の技術プロトコルと機能 ( The Onion Routerを含むがこれに限定されない) を使用してのみアクセスでき、多くの場合、独自の認証情報やアクセス開発機能が必要です。 ダークウェブには、盗品や違法品が取引される地下フォーラムや犯罪市場が含まれます。「特別アクセス情報源」も参照してください。
ディープウェブ
ディープ ウェブとは、インターネット上でアクセス可能だが、サーフェス ウェブ、つまり「クリア ネット」のウェブ検索エンジンによってインデックス化されていないコンテンツを指します。ディープ ウェブ コンテンツがウェブ検索エンジンに表示されない理由はさまざまですが、必要な認証、基本的なウェブ ブラウザーを超える特別なプロトコル、コンテンツ ポリシー (ウェブ検索のインデックス除外ポリシーなど) などが挙げられます。
サービス拒否(DoS)と分散型サービス拒否(DDoS)
サービス拒否(DoS) 攻撃は、Web サイトなどのターゲット システムのリソースを使い果たすトラフィックを大量に送信して、ターゲット システムが動作不能になったときに発生します。分散型サービス拒否(DDoS) 攻撃は、情報漏洩 / 侵害システムのネットワークからターゲット アクションに対して大量の協調攻撃を伴い、多くの場合ボットネット内のボットに感染しており、一般に、インターネットに接続されたサービスに対する業務運営を妨害する可能性が非常に高くなります。
エクスプロイト
エクスプロイトとは、特定の脆弱性を利用するように設計された悪意のあるコードです。エクスプロイトにより、仮想アクターは情報漏洩/侵入、またはターゲット システムのリソースの悪用を行うことができます。 例: 情報漏洩/侵入システム上で追加の悪意のあるプログラムを実行するため、またはデータまたはアプリケーション リソースへの不正アクセスを取得するため。
経営幹部 サイバーリーダーシップ
例: 最高情報セキュリティ責任者 (CISO)。NIST 特別刊行物 800-181の定義: 組織のサイバーおよびサイバー関連のリソースや運用に関する意思決定権限を実行し、ビジョンと方向性を確立します。
フィニッシュドインテリジェンス
完成したインテリジェンスは、「FINTEL」と呼ばれることもあり、生のインテリジェンスレポートに基づく分析評価または位置付けであり、複数の情報ソースからの処理された証拠の統合分析を表します。完成したインテリジェンス製品では通常、分析上の仮定や生のインテリジェンスで得られる証拠の品質を反映するために、主要な分析上の判断や評価を提示する際に信頼レベルを示します。完成したインテリジェンスは、多くの場合、セキュリティ、リスク、またはビジネス上の意思決定をサポートするために明示的に作成されます。
ファイアウォール
受信および送信のネットワーク接続をフィルタリングするセキュリティ プログラム。ファイアウォールは、組織のネットワーク セキュリティ ポリシーを実装する一連のセキュリティ制御ルールに基づいて、ネットワーク トラフィックを許可するかどうかを決定します。ほとんどのエンドポイント (デスクトップ コンピューターとラップトップ コンピューター) には、ファイアウォール ソフトウェアが含まれています。さらに重要なのは、企業や大規模な組織がファイアウォール デバイスを導入してネットワーク境界でトラフィックをフィルタリングし、これらのファイアウォールのセキュリティ制御ルールをリモートで管理していることです。
フォレンジック(デジタルフォレンジック)
ネットワークの脆弱性の軽減や犯罪、詐欺、対諜報、法執行の調査をサポートするために、コンピュータ関連の証拠を収集、処理、保存、分析、および提示する行為 ( NIST 特別出版物 800-181 )。
ハッシュ
情報セキュリティの文脈では、ハッシュ (より正式にはハッシュ関数の出力値) は、データ (メッセージ、パスワード、ファイルなど) を入力として受け取るアルゴリズムまたはハッシュ関数によって生成される数値です。ハッシュは通常、入力データよりも小さく、入力データに変更があると(小さな変更であっても)、異なるハッシュが生成されます。理想的には、ハッシュは一意である必要があり、2 つの異なる入力データが同じハッシュを生成することはありません。実際には、ドメインに適切なハッシュ アルゴリズムが選択されている場合、2 つの異なる入力が同じ出力ハッシュを生成するハッシュ値の「衝突」はまれです。したがって、ハッシュはファイルのフィンガープリントを作成するのに適した方法です。最後に、ハッシュ関数は一方向のアルゴリズムです。特定のデータでハッシュを生成することはできますが、ハッシュがわかっていれば、これを (アルゴリズム的に) 逆にして元のデータを見つけることはできません。
ハッシュは、次のようなさまざまなコンテキストで使用されます。
- フィンガープリンティングファイル
- パスワードの暗号化
- データ転送の忠実性の確保
- 検索パフォーマンスを向上させる
多くのハッシュ アルゴリズムが一般的に使用されています。ここでは、情報セキュリティでよく使用される 3 つを紹介します。
MD5 - 1991 年に MIT の Ronald Rivest によって発明されたメッセージ ダイジェスト アルゴリズム。32 桁の 16 進数 (128 ビット) のハッシュ値を生成します。MD5 には既知の脆弱性があり、2012 年に Flame マルウェアによって悪用されたことで悪名高い問題がありました。
SHA-1 - 米国国家安全保障局によって作成され、1995 年に NIST によって初めて公開されたセキュア ハッシュ アルゴリズム。40 桁の 16 進数 (160 ビット) のハッシュ値を生成します。SHA-1 は、米国政府の特定のアプリケーションで使用することが法律で義務付けられていますが、もはや安全であるとはみなされておらず、2017 年には多くの暗号化アプリケーションで廃止される予定です。
SHA-2 - 米国国家安全保障局によって作成され、2001 年に初めて公開されたセキュア ハッシュ アルゴリズムのセット。ハッシュの長さが異なる 6 つのバリアントが存在します: SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。
インシデント応答 (IR)
インシデント レスポンダーは、コンピューターおよびネットワーク関連のインシデントを解決します。 通常、IR チームは、SOC チームがインシデントを確認してエスカレーションした後、インシデントと連携します。
一部の IR チームは、セキュリティ インシデント (SIRT) に特化しているか、緊急事態 (CERT) または重大なインシデント (CIRT) 専用のエスカレーション チームです。IR チームには、それぞれの専門分野を示すさまざまな名前が付けられます。多くの IR チームはより広範なミッションを持ち、セキュリティ以外のインシデント (クラッシュ、計画外のダウンタイム) や緊急でないインシデント (職場のポリシー違反、会社のリソースの乱用) も処理します。
情報漏洩/侵入の指標
情報漏洩 / 侵入 (IOC) の指標は、ハッシュ、 URL 、ドメイン、 DNS 名、 IP アドレス、およびセキュリティ チームが脅威や情報漏洩 / 侵入を検出するために使用するその他の観察可能な技術的指標です。 IOC はテクニカル指標または戦術指標とも呼ばれ、一種の生のインテリジェンスを表します。
IOC は、インシデントへの対応中にフォレンジック調査に使用したり、セキュリティ制御ルールを使用してインシデントを検出または防止したり、 Threat Intelligence研究で仮想アクター ツール (マルウェア) やTTPs研究したりするために使用できます。 これらすべてのアプリケーションでは、コンテキストが追加されるにつれて IOC の価値が高まります。コンテキストにより、この IOC を生成する特定のマルウェアまたは悪意のあるアクティビティ、IOC をスキャンするためにスキャンするテレメトリの種類、この IOC でアクションを実行する脅威アクター、IOC が新しくアクティブなものか、それとも履歴がありフォレンジックとログ検索にのみ役立つものかなどが明らかになります。
情報環境
米国国防総省の統合出版物 3-0 (統合作戦) の 2017 年 1 月版では、情報環境を「情報を収集、処理、配布、または情報に基づいて行動する個人、組織、システムの集合体」と定義しています。一般に、この定義は、政府と商業の両方の分野における情報システムとその中での活動に適用されます。
マルウェア
マルウェアは、仮想アクターによって情報漏洩/侵入およびコンピュータ システムの悪用に使用される悪意のあるソフトウェアです。 マルウェアは、以下で説明するように単一目的のツールである場合もあれば、複数の目的を持つ 1 つの多目的ツールに組み合わせられている場合もあります。
バックドア- 情報漏洩/侵入システムへのリモート アクセスを提供するマルウェア。
ダウンローダー- 追加のマルウェア ペイロードをダウンロードするように設計されたマルウェア。その後、侵害を回避するためにダウンロード自体が削除される場合があります。
エクスプロイト キット- ターゲットのコンピュータ システムでさまざまな未修正の脆弱性を調査し、そのシステムの欠陥に基づいてカスタマイズされたエクスプロイトを提供するマルウェア。多くの場合、感染したコンピューターのボットネットを構築し、他の詐欺や犯罪計画のためにアクセスを貸し出したり販売したりするために使用されます。
スパイウェア:被害者の活動をスパイし、パスワード、オンライン ショッピング、画面の内容などの機密データを取得するように設計されたマルウェアの一種です。スパイウェアの一般的な種類の一つであるキーロガーは、被害者のキーボード操作を記録し、キャプチャした情報をリモートの攻撃者に送信するように最適化されています。
トロイの木馬- 元々は、通常の無害なソフトウェアを偽装した悪意のあるソフトウェアです。そのため、トロイの木馬と呼ばれます。現在使用されているトロイの木馬は、ウイルス対策による防御を回避し、特定の条件が発生するのを待ってデータ (多くの場合、銀行サイトへの認証情報) をキャプチャして漏洩するか、その他のアクションを実行するマルウェア プログラムです。 トロイの木馬はコマンド アンド コントロール サーバーと通信します。
リモート アクセス トロイの木馬- オペレーターがリモートで制御できる多目的トロイの木馬。オーディオやビデオのハイジャック、キーロギングなどのサイバースパイ活動に役立ちます。
ワーム- 感染したコンピュータから別のコンピュータに自動的に増殖するマルウェア。通常は、拡散するために人間の介入を必要としません。ワームはネットワークを介して拡散することが多いですが、USB キーなど他の手段を通じてシステムに感染することもあります。
マネージド セキュリティ サービス プロバイダー (MSSP)
MSSP は、企業向けにさまざまな特殊なセキュリティ機能を提供します。小規模な MSSP はセキュリティ制御のリモート管理などの狭い範囲に焦点を当てている場合がありますが、大規模な MSSPS はSOC、インシデント レスポンス、 Threatハンティング、 Threat Intelligenceなどの幅広いサービスを提供します。 人員配置モデルも、完全なアウトソーシングからクライアントのオンプレミス チームの人員増強まで多岐にわたります。
国家が支援する脅威アクター
仮想アクターと、国内の法執行機関や情報機関からの積極的または暗黙の支援(トップカバー)を受けて活動するグループ。 国家が支援する脅威アクターの中には、米国の NSA や英国の GCHQ など、公認の政府組織もいます。多くの国家が支援する団体の帰属は不明瞭であったり、議論の的となっている。「Advanced Persistent Threat」も参照してください。
国家Vulnerabilityデータベース
国家Vulnerabilityデータベース (NVD) は、米国国立標準技術研究所 (NIST) が管理する脆弱性情報のマスター累積データベースです。 NVD は、情報セキュリティ製品とサービス間の議論とデータ交換を促進するために、固有の共通脆弱性および露出(CVE) 識別子を脆弱性に割り当てます。
オープンな情報源
オープン情報源とは、アナリストが特定の認証情報やアクセス技術を使用せずに、通常はインターネット経由でアクセスできる情報源です。 Surface Web 、ソーシャル メディア、およびディープ Web はオープンな情報源です。 オープンな情報源とクローズドな情報源および技術的な情報源を対比してください。
パッチ
パッチとは、脆弱なプログラムまたはシステムに対するソフトウェアの更新です。消費者のエンドポイントとモバイル デバイスの場合、ベンダーの最新のパッチをタイムリーに自動的にインストールすることが一般的です。エンタープライズ システムの場合、パッチの適用ははるかに複雑です。パッチによって、エンドポイントまたはサーバー上で実行されているか、またはそれらのコンピューターを介してアクセスされる可能性が高い他の重要なビジネス システムが中断されることが多いためです。企業は、多数のシステムにパッチを適用し、正確なインベントリを維持するという規模の課題も抱えているため、 Vulnerabilityリスク管理のプロセスとツールに頼っています。
フィッシング
フィッシングとは、被害者をだまして電子メールに応じて特定の行動をとらせるために、検討アクターが使用する一連の技術的およびソーシャル エンジニアリングTTPsです。 多くの場合、標的となる被害者の行動はリンクをクリックすることです。このアクションにより、脆弱なコンピュータを持つ被害者がマルウェアに感染する可能性がありますが、被害者に関する情報 (被害者のシステムの人口統計、電子メール追跡コード) を記録し、被害者の認証情報を第三者のサイトに盗み取ろうとする悪質なフィッシング サイトに誘導される可能性の方が高くなります。 これらは、数あるフィッシングシナリオのうちの 2 つです。多くは、実行可能ファイルまたは悪意のあるスクリプト ロジック (特にマクロを含む Microsoft Office ドキュメント) を含む悪意のある電子メール添付ファイルに関連しています。「スピアフィッシング」も参照してください。
生の知性
Raw Intelligence は、さまざまな情報源 (オープン情報源、クローズド情報源、技術情報源を参照) のいずれかから収集され、処理されたデータ (エンティティ監視、イベント監視、分析を参照) ですが、人間のアナリストによって実用的な分析位置に合成されていないデータです。
リスク
脆弱性を悪用する脅威の結果として資産が損失、損傷、または破壊される可能性。または、公式的には脅威 + 脆弱性 + イベント発生の確率。
リスク管理
既存および新規の情報技術 (IT) システムが組織のサイバーセキュリティとリスクの要件を満たしていることを保証するために必要なドキュメント化、検証、評価、承認プロセスを監督、評価、サポートします。内部および外部の観点から、リスク、コンプライアンス、保証が適切に処理されることを保証します ( NIST 特別出版物 800-181 )。
セキュリティ自動化/セキュリティオーケストレーション
多くのセキュリティ ワークフローには、さまざまな内部システムからデータを収集する準備フェーズと、さまざまな内部システムで技術的なアクションを実行する実行フェーズが含まれます。たとえば、ウイルス対策アラームに応答する SOC アナリストは、エンドポイントから技術データを取得し、エンドポイントが接続されているネットワークからネットワーク データを取得し、そのデータを分析して感染しているという判定を下し、エンドポイントを隔離してインシデント ケースを IR チームに渡して駆除またはバーンダウンを行うなどの措置を講じます。セキュリティ自動化およびオーケストレーション製品とテクノロジーは、これらのタスクの自動化を目指しています。ほとんどの製品は準備段階と実行段階の両方に適用できます。セキュリティ自動化は、ベンダーが準備フェーズの自動化に重点を置いていることを示しており、セキュリティオーケストレーションは、ベンダーが実行フェーズの自動化に重点を置いていることを示しています。
セキュリティインシデントおよびイベント管理(SIEM)
SIEM は、 Security Operationsセンターの中央データ管理システムです。 ファイアウォール、URL フィルター、電子メール保護ゲートウェイ、ウイルス対策、IDS/IPS、ユーザー アクセスと ID、Web アプリケーション セキュリティ、アプリケーション アラート、モバイル デバイス セキュリティなど、多くの内部システムからのデータが SIEM に流入します。SIEM は、検索、調査、コンプライアンス レポートのために、この情報を短期間 (通常は 30 日間) にわたってキャプチャする役割を担います。さらに、SIEM はこれらのデータ フローを分析して、明確なセキュリティ インシデントまたは潜在的なセキュリティ インシデントを特定する役割を担います。この分析は、単一のデータ ストリーム (感染したエンドポイントからのウイルス対策アラートなど) に基づくこともできますが、多くの場合、相関と呼ばれるデータ ストリーム間のイベントのリンクに基づいています。Threat Intelligence 、特に情報漏洩/侵入の指標は、相関ルールでよく使用されます。
Security Operationsセンター(SOC)
SOC は、情報セキュリティ プロセスの中央監視および指揮調整センターです。SOC は、多くの内部システムからのアラームとセンサー情報の監視をSIEM製品に集中させ、これらのデータ フローを管理および監視します。SOC アナリストの中央チームがこの情報を監視してインシデントを特定します。成熟した SOC では、24 時間 365 日体制でスタッフが配置されていることが多く、シフト勤務と 24 時間体制での監視を行うために数十人のアナリストのチームが必要です。SOC チームは通常、レベル別に編成されます。レベル 1 のアナリストは、大量の情報をトリアージしてインシデントを特定するよう求められ、その後、レベル 2 およびレベル 3 にエスカレーションして、より深い調査またはインシデントへの対応を行います。
人員、ツール、テクノロジー、管理コストを考慮すると、成熟した SOC の運用は極めてコストのかかるものとなります。規模の大小を問わず多くの企業が、マネージド セキュリティ サービス プロバイダーと連携してこれらのコストを削減し、自社のセキュリティ チームでは構築できない専門的なスキルにアクセスしています。
センサーデータ-技術情報源を参照
シグナル・アラート
トレンドで異常な量の参照が発生したり、参照のトレンドに突然の変化が生じたりして、信号の脅威レベルが上昇した場合にトリガーされるアラート。
ソーシャルエンジニアリング
ソーシャル エンジニアリングとは、被害者を調査して社会的側面 (職業、年齢、性別、友人や家族、仕事仲間など) を理解し、この社会的情報を活用して攻撃戦術を改善することを意味します。たとえば、脅威アクターは、音声通話、テキストメッセージ、個人メール、またはソーシャルメディアプラットフォームを介して被害者とやり取りし、マルウェアなどの技術的手段を使用せずに機密情報を開示するように誘導する可能性があります。 ソーシャル エンジニアリング攻撃は、一般的にハイブリッド攻撃戦術を指します。これには技術的な要素 (フィッシング メールなど) があり、その技術的な要素の有効性は被害者に対するソーシャル エンジニアリングの調査によって大幅に向上します。
ソーシャルメディア
情報源メディア情報源のほとんどのデータは Web 検索エンジンによってインデックス付けされていないため、Surface Web の外部にあります。 ソーシャル メディアの情報源は、コンテンツの形式 (テキスト、ビデオなど)、データ量、利用規約、プライバシー ポリシー、ユーザー オプションが大きく異なります。
スピアフィッシング
スピアフィッシングは、非常にターゲットを絞ったフィッシングです。フィッシング キャンペーンは、多くの場合は数千人規模の潜在的な被害者の大規模なリストに基づいて実行され、フィッシング メールの内容は被害者に合わせて最小限にカスタマイズされます。フィッシングの被害者は、キャンペーンの電子メール リストから抽出された機会の被害者です。スピアフィッシング キャンペーンは、慎重に選ばれた被害者 (場合によっては 12 人未満) をターゲットとし、各被害者に合わせてより慎重に作成された電子メール コンテンツを使用します。フィッシング キャンペーンは一般に金銭目的 (サイバー犯罪) ですが、スピアフィッシング キャンペーンはより有能なサイバー犯罪者またはサイバースパイ活動を示しています。
特別アクセス情報源
特別なアクセス情報源は、技術的および社会的認証方法を使用する、仮想アクターの信頼できるコミュニティに制限されます。 Threat Intelligenceおよび法執行機関グループは、特別アクセス情報源へのアクセスを確立し、維持するために多大な労力を費やしています。 管理者は多くの場合、語学力やアンダーグラウンド市場に関する知識の証拠、さらには新規申請者を保証する現会員の証言を求めます。ダークウェブも参照してください。
表面ウェブ
Surface Web とは、Google や Bing などの Web 検索エンジンによってインデックス化されたインターネット コンテンツのことです。サーフェス ウェブのコンテンツには簡単に無料でアクセスできます。サーフェス ウェブのコンテンツの量は多いですが、ディープ ウェブに比べるとはるかに少ないです。サーフェス ウェブのコンテンツは急速に変更される可能性があり、いつでも削除される可能性があります。
技術的ソース
技術情報ソース (別名センサー データまたはテレメトリ) は、インターネット サービス、プライベート ネットワーク上のトラフィック、またはコンピュータ システムの内部操作から取得される生データです。 技術情報ソースは非常に幅広い用語であり、パケット キャプチャやネットフローなどの非常に大量のデータ ストリームが含まれます。
センサー データという用語は、一般に、異常およびセキュリティ インシデントを検出するように設計された技術情報源を意味します。 テレメトリという用語は通常、通常のシステム操作からのログ データを意味しますが、不正なアクティビティや悪意のあるアクティビティに関するデータの痕跡も含まれる場合があります。
TTPs 、支払、手順 ( TTPs )
TTPs 、情報漏洩 / 侵入ターゲット システム、侵入ターゲット ネットワーク、および一般的に言えばその目的を達成するために、仮想アクターによって使用される方法です。 TTPs脅威アクター グループの知識とスキルを表しますが、これらはツールよりも変更が難しく、変更に時間がかかります。 仮想アクターは、異なるインフラストラクチャに急速に移動し、情報漏洩/侵入の指標を変更したり、新しいマルウェアでツールセットをアップグレードしたりする可能性があります。仮想アクターにとって、新しいTTPs採用することははるかに困難です。たとえば、ソーシャル エンジニアリング手法に熟練し、広範囲で対象を絞らないフィッシングキャンペーンの代わりに正確なスピアフィッシングキャンペーンを実行し始めることです。
テレメトリ-技術情報源を参照
脅威
脆弱性を悪用したり、資産を取得、損傷、破壊する能力と意図を持つもの。
Threat
Threatは、ネットワークの盲点を克服するための一連の実践方法を指し、多くの場合、履歴データとログの大規模な自動分析に重点が置かれています。 高度な犯罪組織や高度な持続的脅威の標的となっている企業は、セキュリティ対策が成熟するにつれて、脅威ハンティングの方法論とツールを追加していきます。
脆弱性
弱点とは、被害者のシステム (悪用ターゲット) の展開を悪用するために、仮想アクターが使用できるシステムの特定の弱点です。 大企業にとって、脆弱性を特定して解決することは、 Vulnerabilityリスク管理と呼ばれる複雑かつ重要なプロセスです。
Vulnerability管理(VM)
Vulnerabilityリスク管理 (VM) チームは、脆弱性を修正することで、コンピューターまたはネットワーク関連のインシデントによるリスクを軽減します。 VRM アクションは、脆弱性を除去するためにシステムにパッチを適用したり、脆弱性の悪用を防ぐためにセキュリティ構成を適用したりするなどの修復/復旧/改善です。 VRM アクションは、防御側がエクスプロイトを迅速に検出して対応したり、エクスプロイトによる潜在的な損害を制限したりできるようにする緩和策にもなります。
ゼロデイエクスプロイト(ゼロデイ)
ゼロデイ エクスプロイトとは、影響を受けるソフトウェアの開発者に事前に通知することなく公開されたエクスプロイトです。防御側には、製品ベンダーやセキュリティ チームに開示する前に脆弱性に対応するための「ゼロデイ」が与えられています。これは、現在のセキュリティ ルールでは、情報漏洩/侵入および悪用を検出する能力が限られていることを意味します。 ゼロデイ攻撃の影響は深刻になる可能性があります。