Cyber Risk
TrendAI™とCleanDNS:攻撃者インフラのブロックから、インターネットからの排除へ
TrendAI™とCleanDNSが提携し、悪性ドメインのブロックにとどまらない取り組みを開始しました。サイバー犯罪者が依存するインフラを能動的に解体し、攻撃が標的に到達する前に攻撃者のドメインをインターネットから排除していく取り組みをご紹介します。
脅威の状況は片時も休みません。そして、それに対抗する側もまた同じです。本日、TrendAI™ と CleanDNS のパートナーシップを発表できることを誇りに思います。本提携により、サイバー犯罪インフラとの戦いはまったく新しい次元へと到達します。
悪性ドメインのブロックは、長年にわたり重要な防御策とされてきました。しかし、ブロックするだけでは根本的な問題は解消されません。攻撃者インフラ自体は稼働し続け、次の標的を狙える状態のまま残るためです。
本パートナーシップを通じて、個々のお客様環境を超える範囲にまで保護を拡張し、攻撃者ドメインをインターネット上から完全に排除する取り組みを進めています。
準リアルタイムで攻撃者インフラを追跡
TrendAI™のリサーチチームはここ数か月にわたり、CleanDNSと積極的に協働してきました。共通のミッションは、サイバー犯罪者が依存するインフラを解体することです。
この取り組みの中核を担うのが、エージェント型AIワークフローと自社開発の機械学習モデルへのTrendAI™の投資です。これらのシステムにより、主要な攻撃者グループのマルウェアに関連する攻撃者インフラを、準リアルタイムで能動的に特定・監視できます。攻撃が発生するのを待つことはしません。攻撃者が構築したインフラを発見し、ただちに対処します。
本取り組みが照準を合わせるのは、最も重要な脅威、すなわち今日の主要なサイバー攻撃のほぼすべての起点となっている キルチェーン左側(left-of-kill-chain) の脅威です。具体的には以下のものが挙げられます。
- 情報収集型ハッキングツール(インフォスティーラー):認証情報やセッショントークンを産業規模で収集します
- Phishing-as-a-service(PhaaS):攻撃を行おうとする者であれば誰でも利用できるサービスです
- ローダー:侵害されたシステムに二次ペイロードを送り込みます
- リモートアクセス型トロイの木馬(RAT):被害者環境への持続的かつ直接的なアクセス手段を攻撃者に提供します
- 1つ目は、サイバー犯罪のロングテール構造です。サイバー犯罪の経済圏は他の多くの市場と同様の構造を持ち、比較的少数のマルウェア・アズ・ア・サービス(MaaS)ファミリーがランドスケープを支配し、中堅ファミリーと比較して不均衡なほど大きなシェアを占めています。上位プレイヤーの後には急峻な落ち込みがあり、その先には小規模プレイヤーのロングテールが広がっています。つまり、上位の脅威ファミリーを正確に標的とすることで、保護効果を劇的に増幅できるのです。最も重要な脅威のインフラをブロックすれば、実世界の攻撃の大部分を防御できます。
- 2つ目は、キルチェーンの左側でブロックすることが効果を倍増させる、という点です。スティーラー、フィッシングキット、ローダー、RATの背後にあるインフラを標的とすることで、攻撃者が最終ペイロードを展開するはるか前の最初期段階で攻撃を停止できます。初期ローダーが配信されないランサムウェア攻撃は、そもそも発生しないランサムウェア攻撃です。この上流での攪乱は、サイバーセキュリティにおける最も効率的な防御手段の1つです。
毎日数百件の攻撃者ドメインをブロック
このアプローチに基づき、TrendAI™は毎日数百件の攻撃者インフラを特定し、正確にタグ付けし、ブロックしています。これにより、TrendAI Vision One™ プラットフォームをご利用のお客様は、進化を続けるこれらの脅威に対して業界最高水準の保護を享受できます。
多くの場合、攻撃者インフラは作成された瞬間に特定・ブロックされます。攻撃者が実環境の攻撃に投入する機会を持つよりも前の段階です。その結果、お客様は脅威が展開される前から保護されます。
しかしこれまで、直接的な効果は自社のお客様へのブロックにとどまっていました。ただし、それも今までの話です。
CleanDNSの登場:インターネット全体での対処へ
CleanDNSとのパートナーシップにより、実現できることが大きく広がります。
CleanDNSは、DNS不正利用管理およびオンライン被害の低減におけるリーディングカンパニーです。サイバーセキュリティと調査の専門家により設立されたCleanDNSは、インターネットインフラを運用する組織内部で機能するように設計された、DNS不正利用の監視・ケース管理プラットフォームを運営しています。
レジストラおよびレジストリのクライアントにとって、CleanDNSは単なる報告の仲介者ではなく、不正利用への対応を管理・推進する責任主体です。契約による統合を通じて、CleanDNSはレジストラおよびレジストリの確立されたワークフロー内で活動し、不正利用の調査、証拠の収集、そしてクライアントの方針と権限に沿った停止・シンクホール化・テイクダウンといった措置の開始までを担います。
CleanDNSは、レジストリ運営者、レジストラの不正利用対応チーム、その他の中核インフラ提供事業者と直接連携しており、NetBeacon Institute の報告サービスに基盤技術を提供することも、その活動の一環です。このポジショニングにより、CleanDNSは運用実行レイヤーとして機能し、あるいは案件が適切な主体へ確実に振り向けられるよう支援できます。各ケースは構造化され、ポリシーに沿った証拠とともに引き渡され、あらかじめ定義されたエスカレーション経路を通じて処理されます。これにより摩擦や遅延が低減され、より迅速かつ一貫した不正利用解決の成果が得られます。
単一ドメインからインフラクラスターへ
CleanDNSのモデルは、一度限りの対処にとどまらない設計となっています。検証済みの各ドメインは、より広範な調査プロセスへの入口となり、関連する登録情報、共有インフラ、キャンペーン単位のパターンが特定されていきます。
このアプローチにより、レジストラおよびレジストリは、個別ドメイン単位ではなくアカウント単位やネットワーク単位で、組織的な不正利用に対処できるようになります。その結果、より迅速で一貫性のある対応が実現します。
本パートナーシップの仕組み
TrendAI™のリサーチチームは現在、優先度の高い攻撃者グループに関連する高確度のコマンド&コントロール(C&C)ドメインおよび配信ドメインを、TrendAI™のお客様向けに特定・ブロックした直後にリアルタイムでCleanDNSへ提供しています。
各提出には、TrendAI™の分析から得られた詳細な証拠パッケージが含まれており、レジストラおよびレジストリの証拠基準を満たすように設計されています。
CleanDNSはその後、各ケースを自社プラットフォームで処理し、既存の契約チャネルを通じて適切なレジストラまたはレジストリに働きかけます。ポリシー上の閾値を満たす場合、ドメインは停止、シンクホール化、または完全な削除の対象となります。CleanDNSのクライアントにおける対処は最短12分で行われ、すべての報告は平均30分以内に検証・引き渡しが完了し、インターネット全体でのエンドツーエンドの平均解決時間は2.5日となっています。
実例:Lumma Stealer C&Cドメインの削除
現在の共有プログラムでは、影響度が高く、かつ悪性であることへの確度が極めて高いドメインに焦点を絞っています。
ドメイン jugbphmclick は、代表的なキルチェーン左側の脅威であるLumma StealerのC&Cドメインとして確認されています。
このプロセスにより、悪性ドメインは初観測からインターネット上での削除まで、わずか1日強で到達します。
直近ではこのプロセスをさらに最適化しました。プログラム期間中に共有したすべてのドメインで検証成功率が100%であったことを踏まえ、ヒューマン・イン・ザ・ループの要件を撤廃しました。これにより最終的に、TrendAI™による悪性挙動の観測からCleanDNSによるエスカレーションまでの時間は数分単位に短縮されます。さらに時間の経過とともに共有対象ドメインの範囲を拡大し、より広範な効果をもたらしていきます。
共通のミッション:すべての人に、より安全なインターネットを
TrendAI™とCleanDNSは、ある根本的な信念を共有しています。インターネットは、特定のセキュリティベンダーのお客様だけでなく、すべての人にとってより安全な場であるべきだ、というものです。本パートナーシップのような連携は、今日のサイバー犯罪という持続的な脅威に立ち向かううえで、最も強力な手段の1つです。TrendAI™の世界水準の脅威インテリジェンスとリアルタイム検出能力に、グローバルDNSエコシステム全体でドメインのテイクダウンを実行するCleanDNSの比類なき能力を組み合わせることで、いかなる単独の組織でも到達し得ない相乗効果が生まれます。
攻撃者へのメッセージ
本パートナーシップによる、サイバー犯罪コミュニティへのメッセージは明確です。
映画『96時間』のリアム・ニーソンの台詞を借りれば、次のようになります。
「TrendAI™のお客様を標的にする者がいれば、我々はそのインフラを必ず突き止め、即座にブロックする。そして本パートナーシップにより、いまや、インターネット全体からそれを排除する。」
したがって、次の標的を選ぶ際には、TrendAI™によって保護された相手を狙うかどうか、慎重に検討すべきです。
TrendAI™の脅威インテリジェンス機能およびTrendAI Vision One™プラットフォームの詳細については、trendmicro.com をご覧ください。
CleanDNSおよびそのDNS不正利用低減サービスの詳細については、cleandns.com をご覧ください。
参考記事
TrendAI™ and CleanDNS: From Blocking Attacker Infrastructure to Removing It From the Internet
By: Robert McArdle(Director of Cybercrime Research, TrendAI™)、Chris Lewis-Evans(COO, CleanDNS)
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)