Cisco Japan Blog
Share

正確性を 100 % 担保できない情報

- 2017年8月10日 5:30 PM

記事の執筆者:Matt Olneypopup_icon

幸いなことに、Talos では調査に費やせる時間が十分にあります。明確な証拠を並べたレポートを作成し、それらを分かりやすく読者に提示するだけの時間も確保されています。各レポートは、正確な語句が使用され、内容が理路整然としていることを十分に確認してから公開しており、明確さや正確さには万全を期しています。Talso ではこれまでも、特定の脅威や技術について読者に伝えるためのレポートを多く公開してきました。

しかし、ほぼリアルタイムで調査内容を公表せざるを得ない場合もあります。その最たる例が、最近流行した WannaCry と Nyetya です。このような場合はレポートの公開プロセスも変化しており、正確で実践的な情報をできるだけ早く提供してお客様を支援するため、新情報が入り続ける中で情報公開に踏み切っています。

このような状況では、正確性を 100 % 担保できない情報でも公開せざるを得ません。今回は Nyetya に関するブログ記事から、そうした 2 つの例をご紹介します。

例 1:

「攻撃の状況から判断すると、Nyetya の背後にいる攻撃者が、経済的な動機ではなく破壊そのものを目的としていると思われます。popup_icon

これは、「身代金を支払えばデータが復元されるか?」というお客様からの問いに私たちが答えたものです。   上記の結論とは反対の証拠も発見されていましたが、レポートの公開時点では「破壊目的ではなく身代金目的である」と断定できていませんでした。いずれにせよお客様にとっては一刻を争う事態であり、情報の正確性を欠く可能性について明言しつつも、分析結果をできるだけ早く公開することが最優先事項でした。

例 2:

「これは攻撃能力を大きく失うことになります。脅威インテリジェンスおよび脅威阻止チームは、攻撃者にとって優先度の高いターゲット ネットワーク内で同じような制御を簡単におこなうことができると自信を持たない限り、攻撃者がこの能力を手放すことはないと考えています。」popup_icon

ここでは攻撃者の思考プロセスについて触れています。もちろん彼らが実際に考えていることは分かりませんが、幅広い状況を調べ、過去の観察や経験に照らして分析し、その背後にある意味を推測することはできます。レポートを公開した時点の証拠により、他の攻撃手口が存在する可能性もあると判断しました。そのため最終判断は読者に委ねつつ、専門用語を控えた形で情報を提供しています。

正確性が 100 % 担保できない情報は、推測ではありません。正確性を完全に担保できないとは言え、Talos では経験と知識を適用し、実践的な情報として提供するよう努めています。そうした情報を外部に公開する際は、重要な証拠と共に、正確性が 100 % 担保できないことについて明記する義務があります。こうした情報の価値は、他の情報の価値と変わりません。ただし読者には、情報を適切に評価して優先順位を決めることが求められます。正確性が 100 % 担保できない情報を公開する際は、次回から以下のガイドラインを適用する予定です。

フレーズ 予測される信頼性(%)
低い / 可能性なし < 35 %
中程度の信頼性/可能性あり 35 % ~ 69 %
高い信頼性 / 可能性が高い > 70 %

私たちの主な任務は、システムやネットワークを保護するのに必要な情報を読者に提供することです。情報の正確性に常に万全を期せるわけではありません。インシデントの最中は特にそうです。上記のガイドラインを利用することで、調査結果を早期に共有し、必要に応じて読者の側で情報を評価して対策を取ることができます。

 

本稿は 2017年8月7日に Talos Grouppopup_icon のブログに投稿された「On Conveying Doubtpopup_icon」の抄訳です。

 

Leave a comment

Share