** 本記事は、Using AI to identify cybercrime masterminds の翻訳です。最新の情報は英語記事をご覧ください。**
一般のインターネット上の犯罪フォーラムと Tor .onion サイトの「ダークウェブ」上の犯罪フォーラムはどちらも、脅威インテリジェンスリサーチャーにとって貴重な情報源です。 Sophos Counter Threat Unit (CTU) には、脅威情報を収集し、ダークウェブフォーラムと交流するダークウェブ研究者チームが存在していますが、これらの投稿を精査することは時間とリソースを要する作業であり、見落としが発生する可能性もあります。
AI とデータ分析をさらに活用するため、Sophos AI の研究者である Francois Labreche は、Flare およびモントリオール大学の Estelle Ruellan 氏およびモントリオール大学の Masarah Paquet-Clouston 氏と共同で、ダークウェブ上の主要な攻撃者をより自動化された方法で特定するというアプローチを検討しました。彼らの研究結果は、2024 年の APWG Symposium on Electronic Crime Research で発表され、最近論文として公開されました。
アプローチ
研究チームは、犯罪学者である Martin Bouchard 氏と Holly Nguyen 氏が開発したフレームワークを修正し、ソーシャルネットワーク分析と組み合わせました。このフレームワークは、違法な大麻産業の分析において、プロの犯罪者とアマチュアを区別するために考案されたものです。この手法を用いることで、フォーラムに投稿しているアカウントと、最近の共通脆弱性識別子 (CVE) の悪用を関連付けることができました。関連付けには、CVE の命名規則や、投稿内容の CVE と対応する共通攻撃パターン列挙および分類 (「CAPEC」、MITRE によって定義) との照合が用いられました。
脅威調査検索エンジンである Flare を使用し、124 件の異なるサイバー犯罪フォーラムから、2015 年 1 月から 2023 年 7 月までの期間における、4,441 人による 11,558 件の投稿を収集しました。これらの投稿では 6,232 件の異なる CVE が言及されていました。研究者たちはこのデータを用いて、攻撃者の投稿内容に基づいて個々の攻撃者と CAPEC を関連付けるバイモーダルなソーシャルネットワークを作成しました。この初期段階において、たとえば CAPEC が割り当てられていない CVE や、多くの攻撃者が使用する非常に一般的な攻撃手法 (およびそれらの一般的な CVE のみを議論する投稿者) などをデータセットから除外しました。このようなフィルタリングにより、最終的にデータセットは 2,321 人の攻撃者と 263 件の CAPEC に絞り込まれました。
その後、研究チームはコミュニティ検出アルゴリズム Leiden を使用して、特定の攻撃パターンに関心を持つコミュニティ (以下「関心コミュニティ」) に攻撃者をクラスタリングしました。この段階で、8 つのコミュニティが比較的際立っていました。個々の攻撃者は平均 13 種類の異なる CAPEC に関連付けられ、1 件の CAPEC は平均 118 人の攻撃者と関係していました。
図 1: 関心コミュニティごとに色分けされた、バイモーダルな攻撃者-CAPEC ネットワーク。CAPEC は分かりやすく赤色で表示されています。
主要な攻撃者の特定
次に、各コミュニティで発揮した専門知識に基づいて、主要な攻撃者を特定しました。専門知識のレベルを測定するために、以下の 3 つの指標が用いられました。
1) スキルレベル: この指標は、MITRE が評価した CAPEC を使用するために必要なスキルの測定値に基づいています。攻撃者のスキルを過小評価しないように、攻撃パターンに関連するすべてのシナリオの中で最も高いスキルレベル (「低」「中」「高」のいずれか) が用いられました。攻撃者に関連するすべての CAPEC に対して同じ評価が行われました。代表的なスキルレベルを設定するため、研究者は各攻撃者の CAPEC と関連するスキルレベルの中から 70 パーセンタイル値を使用しました。(たとえば、ある人物が MITRE によって 10 件の CAPEC にマッピングされる 8 件の CVE について議論しており、そのうち「高」と評価されたものが 5 件、「中」が 4 件、「低」が 1 件だった場合、その人物の代表的なスキルレベルは「高」とみなされます。)70 パーセンタイル値を使用することで、値の 30% 以上が「高」に相当する攻撃者だけが、実際に高度なスキルを持つと分類されることになります。
全体的なスキルレベル値の分布
| スキルレベル値 | CAPEC 件数 | 攻撃者リスト全体のスキルレベル値に占める割合 (%) |
| 低 | 118 (44.87%) | 57.71% |
| 中 | 66 (25.09%) | 24.14% |
| 高 | 79 (30.04%) | 18.14% |
スキルレベル値の割合に関するデータ
| スキルレベル値 | 攻撃者リストにおける メンバーの平均割合 |
中央値 | 75 パーセンタイル値 | 標準偏差 |
| 高 | 29.07% | 23.08% | 50.00% | 30.76% |
| 中 | 36.12% | 30.77% | 50.00% | 32.41% |
| 低 | 33.74% | 33.33% | 66.66% | 31.72% |
図 2: 研究で分析された攻撃者のスキルレベル評価の内訳
2) コミットメントレベル: この項目は、攻撃者の全投稿数に占める「関心領域に関連する」投稿 (関心コミュニティに基づいて関連する CAPEC 群に言及する投稿) の割合によって定量化されました。投稿数が 3 件以下の攻撃者は除外されたため、評価対象となった攻撃者は 359 名でした。
3) 活動率: 研究者は Bouchard/Nguyen フレームワークにこの要素を追加し、各攻撃者のフォーラムでの活動レベルを定量化しました。この値は、CVE と対応する CAPEC を持つ投稿件数を、関連するフォーラムでの攻撃者の活動日数で割ることで算出されました。驚くべきことに、活動率は攻撃者のスキルレベルと反比例することが判明しました。高度なスキルを持つ攻撃者は長期間フォーラムに参加しているため、投稿件数が多いものの、相対的な活動率は大幅に低くなります。
サンプルの記述統計
|
図 3: サンプルグループにおけるスキル、コミットメント、および活動率のスコアの内訳
上記の通り、主要な攻撃者を特定するためのサンプルは 359 名の攻撃者で構成されていました。平均的な攻撃者は、自身の関心コミュニティに関係する投稿が 36.68% を占め、スキルレベルは 2.19 (「中」) でした。平均活動率は 0.72 でした。
関心コミュニティ (COI) の概要
|
図 4: 関心コミュニティごとにグループ化された攻撃者の相対スコア
膨大な情報から重要な手がかりを探索
最後に、真に重要な攻撃者、つまりその分野の専門家と見なすのに十分なスキルレベル、コミットメント、および活動率を持つ人物を特定するために、研究者たちは K-means クラスタリングアルゴリズムを使用しました。 各攻撃者の CAPEC との関係性から導き出された 3 つの測定値を用いて、359 人の攻撃者が、これら 3 つの測定値が類似する 8 件のクラスタに分類されました。
クラスタの概要
|
図 5: 犯罪学者 Martin Bouchard と Holly Nguyen の研究により開発されたフレームワークの手法に基づき採点された 8 つのクラスタの分析。上述の通り、このフレームワークに活動率が追加されています。359 件のデータセットの中でも、真にプロフェッショナルな攻撃者の数は少ないことに注意してください。
14 人の攻撃者から構成されるあるクラスタが、「プロフェッショナル」として分類されました。彼らはそれぞれの分野で最高の、主要人物であり、高いスキルとコミットメントを有しながらも、活動率が低いという特徴を持っていました。この傾向は、彼らがフォーラムに関与していた期間が長いこと (平均 159 日) と、投稿頻度が平均して 3 ~ 4 日に 1 件程度だったことに起因します。 彼らは特定の関心コミュニティに集中し、それ以外の投稿はほとんどありませんでした。コミットメントレベルは 90.37% でした。この研究における分析アプローチには、本質的な限界が存在します。主に MITRE の CAPEC と CVE のマッピングに依存している点、および MITRE によって割り当てられたスキルレベルに依存している点です。
結論
研究のプロセスには、問題点を定義し、さまざまな構造化アプローチがより深い洞察をもたらす可能性を探ることが含まれます。 本研究で説明されたアプローチの派生形は、脅威インテリジェンスチームがサイバー犯罪の首謀者を特定するための、より偏りの少ないアプローチの開発に使用できます。Sophos CTU は現在、このデータの出力を分析し、既存の人間主導の研究を形成または改善できるかどうかの検討を開始しています。
