Cisco Japan Blog
Share

攻撃グループの動機を研究する James Nutland から APT の現状について学べること


2024年5月13日


国家支援の攻撃グループの狙いを 1 つ挙げるとすれば、それはインターネット上に恐怖と不確実性を広めることです。

金銭目的で企業や組織が狙われるのは常ですが、James Nutland は常に攻撃の全体像を見るようにしています。また、テロ対策と人間関係力学を研究してきた経歴を活かして、独自の視点で APT の目標と手法について研究しています。

Cisco Talos の脅威インテリジェンスおよび阻止チームのアナリストである Nutland は、いかにもな経歴を経てサイバーセキュリティの道に足を踏み入れたわけではありません。社会心理学の学士号取得を目指して大学に進んだ Nutland は、特にソーシャルエンジニアリングに興味を持ち、最終的にイーストロンドン大学でテロ対策の修士号を取得しました。

実際の戦場で活用するために取得する学位のように思えるかもしれませんが、Nutland の言葉を借りれば、セキュリティリサーチとテロ対策には共通点があります。

「複数の手法で活用できるスキルがいろいろ身につきます」と述べ、次のように続けています。「重要なのは分析力、つまり、未知のものを掘り下げ、ノイズの多い情報を評価することに対する熱意です。断片を拾い集め、さまざまな仮説を立てることによってパターンを探して見つけ、できれば犯人を特定する、そうした分析的調査思考が脅威ハンティングに本当に役立つのです」

昨年の MITRE ATT&CK カンファレンスで講演する Nutland(右)。

Nutland の技術的な経験は、大学の技術サポートで働き始めた学部時代に遡ります。最終的に、コロナ禍のピーク時に米国に移住してから、システム管理の仕事に携わるようになりました。

ビジネス環境と学術環境の両方を保護するさまざまな職務を経験した Nutland は、Talos インテリジェンスセンターで IOC をリサーチしているときに求人情報を見かけ、ほんの気まぐれで Talos に応募することにしました。現在は定期的な脅威ハンティングと分析を担当し、セキュリティ環境における広範な動向と国家支援の攻撃グループについて詳しく学んでいます。最近では、Nutland の取り組みが「TimbreStealer」という攻撃(税金関連のおとり文書を使ってメキシコのユーザーを狙った攻撃)の発見につながりました。Nutland は現在、Talos インシデント対応チームの Intel-on-Demand サービスpopup_iconに参加しています。

Nutland は、すべての業務や新しいプロジェクトに先入観を一切持たず、白紙の状態で取り組んでいるそうです。テロ活動を調査していた経歴を活かし、特定の攻撃者の活動についてできる限りのことを調べています。

「学歴の影響もあってか、好奇心が旺盛です。これは優れた資産だと実感してきました」と語っています。「私はセキュリティ管理と運用に求められるインテリジェンスの内容と表現を十分理解しています。インテリジェンスの提供はとても大切ですが、セキュリティチームにとって実用的なインテリジェンスを提供する必要があります。そのために必要なことは何かを理解しておくことは、シスコが製造する多くの製品にとって不可欠です」

最近 Nutland は、急成長を遂げている著名なランサムウェア攻撃グループの追跡と、ダーク Web 上での、難読化された通信チャネルを利用した攻撃グループの活動の調査に力を入れています。Nutland によると、ソーシャルメディアサイトがこの種の攻撃をブロックすることに長けてきたことから、攻撃グループは分散型の通信プラットフォームに移行しているそうです。身代金の獲得やプロパガンダの拡散、他のユーザーの過激化を図るために使用されるダーク Web サイトの追跡も行っています。

Nutland の取り組みは、ロシア侵攻中の Talos によるウクライナ支援においても重要な役割を果たしました。複数の被害事例を特定してウクライナタスクフォースに通知したほか、防御回避ツールが悪意のある目的で使用されていることを発見しました。このツールを使えば、ハードウェアに接続された可能性のある USB デバイスやホスト上の特定のユーザーアクティビティのトレースとログを消去することができます。

「最初に見つけたのは不審な一連のコマンドで、実行ファイルに関連していました。これをきっかけに、攻撃対象になっていた可能性がある複数のウクライナのユーザーを追跡することができました。現在、ウクライナの組織が監視の目を強めています」と Nutland は語っています。

Nutland はこれまでのすべてのキャリアにおいて、多くの人と同じようにさまざまな形でインポスター症候群を経験してきました。自らの判断に疑問を抱いたり、自分の役割には他のチームメイトの方が適任ではないかと感じたりすることがよくあったと言います。しかし Talos のマネージャたちは、何でも徹底的に調査し、好奇心とオープンな姿勢であらゆる状況に取り組むよう彼を励ましてきました。そのおかげでインポスター症候群を克服し、スポンジのように何でも吸収し、特定のトピックについてできる限りのことを学び、自らの努力で専門家になることができました。

10 月の MITRE ATT&CKcon 4.0popup_icon ではついに、300 人以上を対象としたプレゼンテーションを行っています。この講演では Nutland とチームメイトの Nicole Hoffman が、ATT&CK フレームワークを使用して攻撃活動を追跡する方法を説明しました。

「世界的に有名なこの会議には、脅威インテリジェンスの巨匠たちが参加されています。私はというと、最近 Talos に採用されましたが、重症なインポスター症候群を患っています」と Nutland は述べました。「ですが、ここに 300 人近くの方が集まってくださいました。Nicole と私は大きな目標を達成できたのです。こんな日が来るとは思ってもいませんでした」

仕事以外ではラグビーを楽しんでおり、最近ではコロンビア代表チームとの練習試合に参加することができました。これはサイバーセキュリティ以外の彼のキャリアの中で特別な出来事でした。

 

本稿は 2024 年 04 月 29 日にTalos Grouppopup_icon のブログに投稿された「James Nutland studies what makes threat actors tick, growing our understanding of the current APT landscapepopup_icon」の抄訳です。

 

Tags:
コメントを書く