自社のビジネスを守る4つのルール、大手小売業者が対サイバー攻撃で実践していること

大規模小売業を営むTargetは、ビジネスにダメージを与えるサイバー攻撃に対して強い関心を持っている。包括的な対策を進める他、サイバー攻撃に対抗するチームが4つのルールに従って動いているほどだ。どのようなルールだろうか。

[Matt Kapko，Cybersecurity Dive]

　米国を中心に大規模な小売店舗を運営するTargetは、小売業者に損害を与える可能性が最も高い脅威を優先して特定するプロセスを組織全体で確立している。サイバー脅威インテリジェンスに大きな信頼を寄せていることが特徴だ。

　同社がサイバー攻撃に対抗する際、チームの行動指針として4つのルールがある。どのようなルールだろうか。

4つのルールとは

　同社の脅威インテリジェンスチームに所属する2人のリーダーは、2022年10月18〜22日に米国で開催されたMandiantの「mWISE Conference」に登壇した。そこでは専門的なシステムによって同社の防御がどのように強化されたのかを説明した。

　脅威や脆弱（ぜいじゃく）性の増加に備えて、Targetはマルウェアを特定するために2万7000以上の「YARAルール」を導入している。YARAルールとはテキストまたはバイナリパターンに基づいてマルウェアの特徴を探すルールを作成した後に、取得したマルウェアのサンプルを分類して識別する手法だ。

　このような包括的な取り組みを実行すると同時に、同社は最も緊急性が高く、現実的な脅威に対して焦点を当てている。

　Targetのサイバー脅威インテリジェンスチーム プリンシパルエンジニアのデレク・トーマス氏は次のように話す。

　「当社は単にインテリジェンス主導で行動するだけではなく、正しい方法でインテリジェンス主導になることを目指している。ピラミッド（積み上げられた問題）の底辺を見ているだけでは不十分だ。私たちが『行動指標』と呼ぶ重要な部分にも焦点を当てなければならない」

　このような目標を達成するために、同社は次の4つのルールに従っている。

（1）社内の「ステークホルダーとニーズ」を特定する

　Targetのサイバー脅威インテリジェンス担当ディレクター、マシュー・ブレイディ氏は適切なステークホルダーを特定してから、ステークホルダーごとに要件をはっきりさせることが重要だと述べる。

　インテリジェンスチーム全体のステークホルダーは複数に分かれている。レッドチームの他、コンピュータセキュリティインシデント対応、エンタープライズインシデント管理、インサイダー脅威対策、検知や可視化、アクティブ脆弱性管理などのチームだ。

　自社を適切に防御するためには、脅威インテリジェンスのデータと分析を単に共有するのではなく、各チームが好むワークフローで提供しなければならない。

　例えば、脆弱性管理チームは頻繁に悪用される脆弱性に主な関心がある。脆弱性の詳細情報は特定のシステムに向けたパッチを迅速に適用するのに役立つからだ。

　インシデント対応担当者はネットワークやホストベースのインジケーターを使用して活動を監視する。検知や可視化を担うチームはMandiantや他のソースから取得した行動インテリジェンスを活用する。

　Targetのサイバー脅威インテリジェンスチームには、各ステークホルダーの専門性を特定して、それに応じて各チームに実用的なデータを提供する責任があるとブレイディ氏は述べる。

（2）敵の「意図と能力」をマップにまとめる

　Targetの分析モデルは脅威と脆弱性に対して、意図と能力に基づいた重要度を適用する。

　「私たちはまず、米国を拠点とする小売企業として、この業界を標的とする可能性が最も高い敵に焦点を当てるべきだと考えている」（ブレイディ氏）

　この分析はTargetのサプライチェーンにも及ぶ。アナリストは標的になる可能性が高いパートナーを特定できるプロセスに従っている。

　脅威の状況を常に分析することに加え、ゼロデイを悪用する能力やカスタムツールの使用など、脅威者の能力も研究している。

　「攻撃意図が非常に強いものの能力は低い脅威者、またはその逆の脅威者が存在する」（ブレイディ氏）

　小売業者を積極的に狙う標的型攻撃を繰り出す攻撃者グループがある。「FIN7」だ。TargetはFIN7の行動を慎重に検討、調査している。「FIN7は小売業を標的とする主要なプレーヤーだ。FIN7の動向をリアルタイムで把握する必要がある」とブレイディ氏は述べる。

　FIN7が購入する可能性のある攻撃用キットやツール、同グループのインフラの一部として新たに立ち上げられたコマンド＆コントロールサーバに関するダークウェブのチャットを常に監視しているほどだ。

（3）全ての脅威を「同等には扱わない」

　Targetは小売業界やそのサプライチェーンを積極的に標的としていない脅威についても、要因が変化する可能性を考慮して、状況認識を維持するためのリソースを割り当てている。

　「アナリストがこれらの脅威に注力できる時間は、1日のうちで限られている」（ブレイディ氏）

　トーマス氏によると、ある敵対者が小売業界を標的とするようになったという情報を得た場合、脅威ヒートマップを迅速に変更して、意図と能力の評価をTargetの情報エコシステム全体に反映する。

　「優先順位を付け、全ての脅威を同等には扱わないようにしている。だが、これらの脅威について全体として同じレベルの可視性が得られるよう、同じ枠組みを用意している」（ブレイディ氏）

　こうして、アナリストは動的なヒートマップで脅威の状況がどのように変化していくのかを確認でき、静的なスナップショットの分析に頼ることがなくなる。

（4）脅威の「デイリーレポート」を共有する

　Targetは組織全体で日々の脅威レポートを共有して、組織のインシデント対応チームやベンダーのセキュリティチーム、テクノロジーリーダーが閲覧できるようにしている。

　ブレイディ氏はこれを重要な差別化要因として挙げている。Targetの脅威アナリストの評価には、ビジネスやサプライチェーンパートナーとの関連性など、さまざまな背景がある。

　このような分析と行動情報をサイバー脅威インテリジェンスチームと検知チームへリアルタイムに渡すことで、ペイロードのリバースエンジニアリングに役立つ。重要な脆弱性に適切なタグを付けるための収集または検知シグネチャが適切に配置されているかどうかも判断できる。

出典：4 ways Target dynamically tracks the most alarming threats（Cybersecurity Dive）