情報漏えいは「起きてから」では遅い、ダークウェブモニタリングで先手を打つ防御戦略

背景

サイバー攻撃によって盗まれた認証情報、顧客データ、機密文書などは、通常の検索エンジンでは到達できない「ダークウェブ」上の闇市場で売買されています。企業が自社の情報漏えいに気づくのは、警察や外部機関からの通報、あるいはランサムウェア攻撃を受けた後というケースが依然として大半を占めています。しかし、被害が表面化する数週間〜数ヶ月前には、すでにダークウェブで初期侵入のための認証情報が取引されていることが少なくありません。このタイムラグに着目し、自社に関連する情報がダークウェブに出回っていないかを能動的に監視する「ダークウェブモニタリング」が、予防的セキュリティ対策として注目されています。従来の「攻撃されてから対応する」リアクティブな姿勢から、「攻撃の兆候を早期に察知して先手を打つ」プロアクティブな防御戦略への転換が求められています。

実態

ダークウェブ上では、企業のVPNアカウント、リモートデスクトップのログイン情報、従業員のメールアドレスとパスワードのセットなどが「商品」としてリスト化され、販売されています。これらは、インフォスティーラー（情報窃取マルウェア）に感染した個人のPCから収集されたり、過去の大規模漏えい事件のデータから抽出されたりしたものです。攻撃者（初期アクセスブローカー）はこれらの情報を数ドルから数十ドルで購入し、企業のネットワークへ容易に侵入します。また、機密図面や顧客リストのサンプルが公開され、「全データを買いたい者は連絡せよ」といったオークション形式の取引が行われることもあります。さらに、ハッカーフォーラムでは「〇〇社への攻撃協力者募集」「〇〇社の内部情報求む」といった書き込みがなされることもあり、これらを早期に検知できれば、攻撃が本格化する前に対策を講じることが可能です。しかし、ダークウェブへのアクセスには専用のTorブラウザが必要であり、また犯罪者との接触リスクや法的グレーゾーンの問題もあるため、一般企業が自力で調査を行うことは困難かつ危険です。

影響と対策

漏えい情報を放置することは、サイバー攻撃の「招待状」を配っているのと同じ状態であり、ランサムウェア攻撃や大規模な情報流出の前兆となる可能性があります。対策としては、専門のセキュリティベンダーが提供する脅威インテリジェンスサービスやダークウェブモニタリングサービスを利用することが一般的です。FortinetのFortiReconやCheck PointのThreatCloudなどは、広範なダークウェブ監視能力を持ち、自社のドメイン、IPアドレス、ブランド名、役員名に関連する脅威情報が検出された場合に即座にアラートを発します。漏えいが検知された場合、該当するパスワードの即時リセット、多要素認証の強制適用、VPN接続ログの徹底調査、該当従業員への緊急連絡といった具体的な対抗措置を迅速に取ることができます。また、従業員が社用メールアドレスを使って外部のWebサービスに登録することを禁止するルールの徹底や、パスワードマネージャーの利用推奨による使い回し防止も重要です。さらに、定期的な脅威インテリジェンスレポートの確認により、業界全体の脅威動向を把握し、自社の防御戦略に反映させることも推奨されます。

まとめ

「自社の情報は漏れていないはず」という性善説は、現在のサイバー空間では通用しません。見えない場所でのリスクを可視化し、攻撃者が行動を起こす前に先手を打つことが、真のセキュリティ対策です。ダークウェブモニタリングは、従来の「守る」セキュリティから「狩る」セキュリティへの進化を象徴する取り組みでもあります。PSIでは、ネットワーク製品と脅威インテリジェンスを活用したモニタリングサービス、そして検知後のインシデント対応支援を組み合わせ、お客様の情報をアンダーグラウンドの脅威から守るための包括的なソリューションをご提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp