脅威インテリジェンスリサーチャーの主な仕事は、そのとき発生しているマルウェアやサイバー攻撃についての調査を行い、そうした脅威からどのように防御していくかのがよいか、対策を立てるために必要な情報を提供することです。
こうして調査された脅威じたいの情報はたくさん公開されていますが、リサーチャーが現在の状況をどう見ているかや、どういった経緯で脅威分析の仕事をするようになったかについては、あまり知る機会がないのではないでしょうか。
そこで今回は、パロアルトネットワークス脅威インテリジェンスチーム Unit 42 でアナリストとして活躍するBrad Duncanに話を聞いてみることにしました。
なおBradは、大量に配布されるWindows向けマルウェアの調査を専門にしています。
現在の脅威動向とその変化
まずは現在の脅威動向を過去と比較して話してもらいました。彼いわく、10年前と比較すると現在の Windows OS やブラウザはより安全性になってきているので、攻撃側はユーザーを騙すテクニックの開発にシフトしてきているのだそうです。たとえばメールに添付されたファイルや埋め込まれたリンクを言葉巧みに騙してクリックさせ、マルウェアをインストールさせるようなテクニックです。また、こうしてインストールされたマルウェアがセキュリティソフトに検出されないよう、攻撃者は常にマルウェアに変更を加えているそうです。
仕事に対する取り組み
Brad は Unit 42 での業務以外に自身のMALWARE-TRAFFIC-ANALYSIS.NET やソーシャルメディア、 Internet Storm Centerなどで脅威情報を共有し、トラフィック分析のトレーニングなどで講師としても活躍しています。今回は彼が脅威リサーチの仕事を始めた経緯や、脅威分析とその共有に情熱を注ぐ理由も話してもらいました。
情報共有とコラボレーションの重要性
時間をかけて分析・収集した情報やデータを大量に公開している理由について聞いてみたところ、情報共有とコラボレーションの重要性について語ってくれました。情報は共有しないと多くの人に役に立たないこと、とくにマルウェアは犯罪の一種なので、知ることが身を守ることにつながること、こうした理由をあげ、「できる限り多くの人に情報が行き渡るよう努めている」のだと話してくれました。
セキュリティリサーチャーを目指す人へのアドバイス
最後に、これからセキュリティリサーチャーを目指す人へのアドバイスをお願いしました。未経験であれば、コンピュータに関わる初歩的な仕事からはじめて経験を積むとよいとのことでした。彼自身、別の仕事からサイバーセキュリティの世界に入ったとき、夢中になって取り組んで多くのことを学んだそうです。そしてそのときに支えとなったのが、同僚やメンターからのサポートだったといいます。また、脅威インテリジェンスとひとくちにいっても細かく分野が分かれているので、自分自身が情熱をそそげる分野をそのなかから見つけて欲しい、とも言っています。
Brad は1日の多くを分析と情報公開に費やす一方、いつもユーモアを忘れない気さくな人柄で、社内外を問わず多くの人とコラボレーションを行っています。30分ほどの対談になっていますのでぜひご覧ください。
脅威インテリジェンスについての詳細情報は次の資料も合わせてご確認ください。
- オンデマンドウェビナー サイバー脅威インテリジェンス:データの共有と収集がサバイバルに不可欠な理由
- 脅威インテリジェンスチーム Unit 42
- 脅威インテリジェンスのワンストップショップ AutoFocus™️