オープニング・セッション

Connecting cyber security heroes to enable internet world peace

楽天グループは1997年の創業以来、会員数・流通額・提供サービス数を急速に拡大。さらに、「楽天市場」を中心とする楽天グループのサービスのグローバル化も加速し、現在、世界30カ国・地域を拠点として、「Rakuten」ブランドを核にしたインターネットサービスを展開している。楽天のサービスが急成長し、そのブランド認知度も上がる一方、攻撃者視点では、楽天は格好の標的でもあり、サイバーセキュリティは重要課題である。
本セッションでは楽天でのケーススタディ紹介、および効果的だった対策方法について共有を行う。

インテリジェンスの導入にむけて

ある日、偉い人からこう言われた。「一見関係の内容にみえる事案が、実は自社にとってのリスク事案であったりする。そうなると、リスク管理部門の情報収集だけでは足りず、経営も含めて対応する必要がある」と。そこで、「経営にインテリジェンスを取り入れることだ」と私は考えた。

事業会社における脅威インテリジェンス活用事例

当社のセキュリティチームは10名ほどの組織で、脅威インテリジェンスの専門人材はいません。そんな我々が脅威インテリジェンスの活用にあたり、どこから着手して、現在何に取り組んでおり、今後どうしていこうとしているかご紹介させていただきます。同じように活用を検討されている方々にとって少しでも参考になれば幸いです。

「いま」サイバーインテリジェンスが必要な理由

オープニング・セッション

Payment Card Fraud: The Factors Driving Criminal Demand for Compromised Japanese Payment Cards

ペイメントカード詐欺の犯罪エコシステムは、合法的な「現実世界」のマーケットと驚くべき類似点を有しています。例えば、家の購入を希望する人が不動産会社の選択肢を複数持ち、うち何社かは他よりも高価で信頼できるものであったりするように、カード詐欺に関与する脅威アクターは、何十ものカードショップから選択することができます。また、最新の設備を備えた立地の良い住宅は需要が高いのと同様に、不正行為に利用しやすい漏洩ペイメントカードは、他のカードよりも早く売れます。比喩的に言えば、ペイメントカード詐欺のマーケットは、合法経済上のマーケットを反映しているのです。
このプレゼンテーションでは、漏洩したペイメントカードの特定の「属性」（例：販売場所、発行銀行、カードの種類（クレジットとデビット、ビジネスとクラシック）、追加のカード所有者のPIIの有無など）が、脅威アクターによっていかに早く購入されるかに影響するかを図解します。 このアプローチにより、金融機関の上層部では、脅威アクターが欲しがっており最大の脅威に直面しているポートフォリオの一部を特定することができます。現場レベルでは、不正対策チームやCTIチームは次のようなことが可能になります：
- ポートフォリオの特定のセグメントにおける不正防止プロセスに、脅威アクターの購買傾向を直接取り込む
- 回転が速く脅威レベルが高いカードショップと、古いカードや偽のカードでマーケットを「氾濫」させる店を区別する。
- 長期的に指標を追跡し、不正防止プロセスの変更が、特定のセグメントに対する脅威アクターの需要にどのような影響を与えるかを評価する。

COMING SOON

From intel to action: Cut supply chain risk with critical data intelligence

金融サービス企業へのサプライチェーン攻撃が急増している今、陥れようとする脅威アクターやTTP（戦略・技術・手順）について理解することが非常に重要です。しかし、構造化されていない大量のデータソースが存在する中、どのようにすれば、新たな脅威やサードパーティーのコントロール不能なリスクから身を守ることができるのでしょうか。
このセッションでは、ある大手国際銀行の例を用いて、OSINTを活用して正しく情報源を利用し、ノイズを最小限に抑えて生産性を最大化し、重大なサードパーティリスクを正確に可視化した方法についてお話しします。
本セッションで学べること：
・オープンソースとダークウェブソースから収集したインテリジェンスを使用した、サプライチェーンの監視
・重要な出来事に関する実用的な情報を提供する、リサーチ主導のフォーミュラの開発
・新たな脅威のリアルタイムでの検知、監視、分析
・組織全体のサプライチェーンパートナーに対するリスクと混乱の軽減

Hunting APTs: Recent TTPs and Trends in Russian and Chinese Cyber Espionage Activity

本プレゼンテーションでは、InsiktグループのStrategic and Persistent Threats ディレクターであるJon Condraが、Recorded FutureのAPT攻撃（Advanced Persistent Threat）追跡手法の概要と、最近観測されたロシアと中国のAPTトレンドについて説明します。まず、InsiktのAPT追跡方法・データソース・APT脅威アクターの監視に利用できるRecorded Futureプラットフォーム分析について説明し、次にロシアと中国のAPTトレンドについて、観測されたキャンペーンに関する最近の関連レポートの例を示しながら説明します。最後に、ロシアと中国のAPTの行動と傾向について、今後の可能性を評価します。

「いま」時な脅威情報の接し方

昨今、脅威情報を集約・分析し、サイバーセキュリティ施策や組織経営に活用する場面を目にする機会が増えています。しかし、膨大かつ広範な情報やデータに対して、どのように接していくべきか悩む方は少なくはないのではないかと思います。
このセッションでは、私がこれまで行ってきた情報収集や発信活動から得た知見に加え、「いま」の状況に即した観点から、どのような接し方が必要であるか、事例を交えながらお話します。

脅威インテリジェンス駆動型によるアタックサーフェスマネージメント
〜攻撃者目線の価値〜

ITの環境がよりダイナミックに拡大していく中、ゼロディ脆弱性を悪用する攻撃も顕著に増加し、アタックベクトルもサプライチェーンを含めて多岐に及んでいます。サイバー攻撃からビジネスを支えるデジタル資産をプロアクティブに守るためには、平時から攻撃者目線で包括的・継続的かつ迅速に「どこに何があるのか？問題は何か？」を可視化して対応することが必要です。本セッションでは、アタックサーフェスマネージメントにおけるポイントと脅威インテリジェンス活用の効果を解説いたします。

APT Catfishing

本セッションでは、サイバー脅威インテリジェンス、特にAPTアクターの分析において、OSINTがどのように活用できるかを紹介します。APTアクターがどのようにキャットフィッシュ（なりますまし）プロフィールを効果的に使用しているのか、実例を交えて解説します。

Phishing – a problem that will never go away

フィッシングとは、偽のウェブサイトを通して認証情報を盗むことです。これは多くの人が知っているでしょうが、実はフィッシングとは、それだけではないのです。このプレゼンテーションでは、実際に起こった複雑なフィッシングの事例や、トレンドを紹介します。
・事例紹介とインシデント対応評価：BECグループが被害者を騙して300万ユーロ以上を口座に振り込ませることに成功したビジネスメール詐欺事件について。
・トレンドの深掘り：フィッシングキット「RedSwitch」について - この半年間、市場で最も活発なフィッシングキットの1つで、世界中の有名ブランドをターゲットに、クレジットカードのデータをフィッシングします。
・フィッシング・アズ・ア・サービス（Phishing as a Service）について：このサービスを使ってフィッシング攻撃を仕掛けることがいかに簡単であるかを、いくつかのバックエンドパネルで紹介します。
フィッシング対策用の製品・サービスは数多く存在しますが、すべてが同じ効果を発揮するわけではありません。プレゼンテーションの最後には、フィッシングのリスクを効果的に管理するための組織への推奨事項を紹介します。

クロージング・セッション

オープニング・セッション

COMING SOON

Completing the Intelligence Cycle: Empowering Public Sector Organisations with Open Source Intelligence

本講演では、世界中の公共機関がどのようにオープンソースデータをコアインテリジェンスの一部として活用し、実用的でタイムリーなインテリジェンスを提供し、小さなサイバーセキュリティ問題がより大きな問題に発展するのを阻止してきたかをご紹介します。

Speed to Insight & Decision Advantage using OSINT

本講演では、統合されたOSINTプラットフォームが、複雑な環境下での状況認識、意思決定、ミッションの成果にどのように貢献できるかを探ります。実際のケーススタディを通じて、アナリストが複雑な脅威の発見、調査、管理、監視を適切に行えるようになった場合にOSINTがもたらす重要な利点について、アフガニスタンやロシアでの事例を紹介します。

The DIME Model for an Intelligence Program

組織や政府機関は、ネットワーク・資産・体制・そして一般市民を守るために、多くのリソースを費やしています。DIMEモデル（Define Objectives (目的の定義), Identify Threats (脅威の特定), Mitigate Risk (リスクの軽減), Evaluate Processes (プロセスの評価)）は、ミッション中心のサイバーおよび物理セキュリティチームが、効率的なインテリジェンス・プログラムを構築するための、実用的なロードマップへの青写真を提供します。

クロージング・セッション