Criminal IP の誕生ストーリー

国内外のサイバー犯罪の増加により、侵害事故分析技術とこれを通じたインテリジェンスベースのインサイトを提供するサービスに対する需要は著しく増加したが、これには莫大な初期費用、情報収集及び人材の確保が避けられず、AI Spera はこうしたセキュリティニーズに合致してサイバー脅威の診断に役立つサービスを独自的に開発しました。

サイバー犯罪の痕跡を追跡し、特定するための最も重要な手がかりとして使用される情報は、IP アドレスと言えます。IPアドレスがインターネット上で発生したすべてのことをタイムラインで記録し、総合的な履歴情報を提供する犯罪記録部を作成し、機械学習、AI、行為基盤の異常兆候検出を重点的に収集する「DATA-DRIVEN SECURITY」という概念に着目しました。

IPアドレスに基づくサイバ脅威インテリジェンス(Cyber​​ Threat Intelligence)とは

サイバー脅威インテリジェンスとは、基本的にビジネス上の意思決定に関連するサイバー脅威のリスクを最小限に抑え、最も効果的に対応できるよう助ける証拠ベースのセキュリティ情報の収集を意味することです。犯罪現場に残っている指紋を通じて犯人の身元を把握するのように、サイバー犯罪では IP アドレスが不正アクセス、アカウント乗っ取り、不正決済、資金洗浄、クレデンシャルスタッフィング(Credential stuffing)など匿名の攻撃を推定するのに最も大事に使われる手がかりであるためです。Criminal IP の場合、IP アドレスに基づいて DB サーバー、ファイルサーバー、ミドルウェアサーバー、管理サーバー、IoT システム、悪意のあるサイトまで、各企業や主要機関が保有する IT 資産が無定形ネットワーク上でどのくらい、そしてどれほど深刻に流出されているかを照会できます。これにより、悪性行為者(threat actors)より一歩先に攻撃ポイントを見つけることができます。また、独自のクロール技術を利用した膨大な OSINT(Open Source Intelligence、オープンソース・インテリジェンス)収集と、AI と機械学習ベースの不正検出アルゴリズムを適用し、他のプラットフォームに比べて迅速なネットワークスキャン技術を集約した総合的ソリューションです。

Criminal IP とは何ですか。

Criminal IP は、個人や企業のサイバー資産に関する脆弱性をリアルタイムで検出し、これに対して先制的な対応を可能にする総合的な脅威インテリジェンス検索エンジンです。大きくは SEARCH と INTELLIGENCE 部分に細分化されており、悪意のある IP アドレスやフィッシングサイト、悪意のあるドメインを診断し、バナー、悪性行為の履歴などセキュリティ脅威に関する詳細なセキュリティ情報を便利に照会できます。インターネットに接続されているすべてのコンピュータ、悪意のある IP、フィッシングサイト、悪意のあるリンク、証明書、産業制御システム、IoT、サーバー、CCTVなどのすべての情報を閲覧できます。

企業や機関のセキュリティ管理者は、エンジニア向け API との連動により、管理する資産に侵入する攻撃者をブロックしたり、脆弱な攻撃対象領域にさらされる資産をモニタリングできるようになります。まるで Google 検索で簡単に情報を得ることができるように、Criminal IP の検索エンジンで実際にすべてのインターネット資産や関連の脆弱性情報を様々なフィルターやタグで検索し、最新の脅威インテリジェンス情報を照会できます。また、国やサービスごとの脆弱性統計など有意なサイバーセキュリティ情報を一ヶ所で閲覧できます。

何を検索できますか。

1. アセット検索(Asset Search)

キーワードでサービス名を直接検索したり、CVE_ID を検索して関連するIPアドレスを照会したりすることで、以下の内容を1ページで閲覧できます。

  • Triage: インバウンドとアウトバウンドIPアドレスのリスクスコアリングを直観的な5段階(SAFE、LOW、MODERATE、DANGEROUS、CRITICAL)に分類する
  • Connection: IP アドレスの要約情報を照会する SUMMARY 項目を介して、IP アドレスの所有者と国情報、SSL 証明書情報、連結されたドメイン情報を1つに繋がる
  • Detection: VPN IP、TOR IP、HOSTING IP、CDN、SCANNER IP の有無を検出する
  • Summary: 現在、開いている状態で運用されるポート情報や IP アドレスに関する過去の悪用履歴および脆弱性まで統合して要約する

2. ドメイン検索(Domain Search)

検索したドメイン情報をリアルタイムでスキャンし、リスクスコアリングとともに、そのドメインのフィッシングドメインの可否、悪意のあるリンクの有無、証明書の有効性などの情報を総合的に提供します。

ドメインのリスクスコアリングもIPアドレスと同様に5段階のリスクレベルに分類されて提示されており、ドメインのサマリー(Summary)を通じて偽ドメイン、偽 SSL の診断、悪用履歴やフィッシングの履歴の診断、HTML の隠し要素、プログラムおよびトラップ検出、ネットワークのリダイレクトの状態など疑わしいクッキーを検出することができます。

「疑わしい悪意のあるリンクをクリックする前には、Criminal IP を使用する」に伴って始まったこのドメイン検索機能は、既存のデータベースに登録されていない、世界に登場したばかりの悪意のあるリンクも URL 一つで検出が可能な唯一無二の機能です。これはドメインやURLが与えられるとすぐに Chrome を浮かべてスキャンと AI 分析が稼働するため、ハッカーがまだ世界に公開していない新しいURLの悪用可能性もすぐに診断し、迷惑メールや悪意のあるリンクのブロックに大きな効果があると予想されます。

3. エクスプロイト検索(Exploit Search)

世界中に知られてある脆弱性(CVE)を分析し、サービスごとの実際の奪取コードを含む詳細を提供します。その CVE情報で検索すると、その情報にマッチングする EXPLOIT 情報まで閲覧ができ、具体的な攻撃の様子を確認することが可能です。さらにCVE検索ではなく、 Criminal IP の他の検索やインテリジェンス機能で検索する場合は、それに関するエクスプロイトのリストを確認することができ、これらの結果項目をさまざまな条件(authors、types、years)のフィルターを通じて、探しているタイプのエクスプロイトの総合的な情報、そして最新の発生動向まで一気に把握できます。

4. 画像検索(Image search)

RDP、フィッシング、ウェブカメラ、RTSP など、さまざまな条件で画像検索を実行した後、サイバー脅威に弱い資産を画像の形で照会できます。この機能は、既によく使われている Google やヤフーの画像検索と似ていますが、サイバー脅威情報の画像のみを検索してくれるというのが最大の違いといえます。

Criminal IP の違いとは?

1. データの量と質

IP アドレス情報に関する独自のリスクレベルの算出情報、C&C ドメインとフィッシングドメインの診断、悪意のあるリンクを含む URL の識別、攻撃対象領域に流出されたネットワークデバイス情報、ドメインの類似アルゴリズム情報など、未曾有の広範なデータ量を誇ります。

データの量的だけでなく質的にも、約42億に至る IP アドレスや数十億のドメインなど、サイバー資産情報をリアルタイムで収集・更新することで、最高のデータフレッシュネスを保証します。

常用 VPN を含む世界中のすべての VPN IP アドレスデータと、TOR、PROXY、HOSTINGなど、一般的ではない潜在的な悪意のあるIPアドレスから流入される情報を把握し、さまざまなタイプの悪意のあるIPを収集し、これにより悪意のある IP に乗って流入する攻撃を事前に防ぐことができます。

2. 研究所および行政機関のための情報提供、脆弱性把握で運営リスクの予防

Criminal IP は、世界中の過去の脆弱性情報と現在の脆弱な IP アドレスに対する大量の DB を構築し、保有しているため、特定のトピックに関する研究やリスク管理に容易です。たとえば、「米国全国に RDP の脆弱性を保持しているIPアドレスの検索」に関する DB の抽出、または「特定の CVE ID が識別される IP アドレスの検索」に関する DB の抽出などが可能で、様々な VPN IP DB のようなオフライン DB を保有しています。

Criminal IP はどのように利用できますか。

1. ユーザー識別

異常なユーザーを識別し、個人情報の漏洩、不正決済や振込、ウェブクロールなどの悪意のある行為のブロックに積極的に活用することができます。特に海外 VPN IP、クラウド IP、家庭 IP 以外のサーバー IP からのアクセス、PROXY IP でのアクセスとログイン、会員登録の試みを検知し、ユーザーが潜在的な悪意行為を行う人(threat actor)であるかを判断できる客観的な証拠を提示します。

また、増える様々な個人情報流出の事故を防止し、流出された個人情報を悪用するブルートフォースアタック(Brute-force attack、総当たり攻撃)を防止する効果があります。これは、オンラインサービス製品のログインシステムと連動され、疑わしい IP アドレスからログインする際、案内メッセージを送信し、個人情報漏洩によるユーザーの被害を最小限に抑えます。

2. セキュリティ監視

アウトバウンドおよびインバウンドのIPアドレスとドメインを分析し、セキュリティ監視の運用に効率を加えます。侵入検知システム(IDS)、エンドポイント製品(EDR)、迷惑メールのフィルターなど、使っている他のセキュリティ製品や組織内のファイアウォールと Criminal IP の連動が可能です。IP アドレスのリスクレベルによって IP ブロックのポリシーが即座に適用される利点があり、直接 IP ベースのセキュリティ監視システムの構築するより、投入される時間とリソースの費用が効率的です。

特に、セキュリティ監視において高度化されたフィッシング攻撃の検出が可能であり、直接アクセスしなくても悪意のあるドメインからのアクセスを容易にブロックすることができます。また、侵害事故の発生後もリスクIPのアクセス履歴を分析し、IP、ドメイン、脆弱性、ファビコンなどについて深層脅威分析が可能です。

3. 攻撃対象領域管理

世界中のすべての企業では保有している IP アドレスが存在し、この IP アドレスにサーバーやネットワークデバイス、DBサーバーが接続されてあるため、直接的に外部攻撃のポイントになりやすいです。そのため、効果的な企業の資産の攻撃対象領域管理(Attack Surface Management)が何よりも大事です。

Criminal IP を利用することで、企業のセキュリティ管理者は、自分でも知らないクラウドに分布されている隠し資産を識別、AS ネームやサービスポートの識別、保有資産の最新脆弱性の確認、証明書の情報管理、新しい資産の変化などを追跡し、フォローアップすることができます。

また、目に見えない資産に対する全体的な可視性を確保し、企業が保有している IT 資産をリアルタイムでモニタリングし、別の複雑なプログラムの設置や装備の導入せず、Criminal IP で簡単に1日で攻撃対象領域管理の現状を把握できます。まさに、隙のない IT 資産管理を目指しているが、内部資産の把握に限界を感じる企業にとって非常に便利なサービスと言えるでしょう。