桔梗原　コヴァチさんは現在CRO（Chief Research Officer）のお立場ですが、ご経歴はどのようなものでしょうか。

コヴァチ氏　私は2009年にマルウエアのアナリストとしてESETに入社し、この7月でちょうど15年目を迎えました。これまでマルウエア分析などのリバースエンジニアリングを担ってきましたが、徐々に責任ある立場になっていく中で2018年にCROに昇格。現在は脅威の検出や研究、あるいは脅威インテリジェンスを担当する部署などを統括しています。

桔梗原　今回公開された「ESET 脅威レポート 2024年上半期版」は、まさにコヴァチさんが統括する部署の成果の1つかと思います。改めて、その内容について教えてください。

コヴァチ氏　ESETは年間で複数のレポートを公開していますが、この脅威レポートは、マルウエアなどの脅威に関する主な最新トレンドをまとめた内容になっています。注目点はいくつかありますが、今回のレポートでまず挙げられるのは悪名高いランサムウエア「LockBit」に関わるトピックです。

LockBitは2023年9月から2024年4月まで、ランサムウエア攻撃の世界シェアでトップの座を維持するほどの猛威を振るっていました。しかし、イギリスをはじめとする世界各国の法執行機関が連携し、2024年2月にLockBitを取り締まる一大作戦「オペレーション・クロノス」を実施。これによりLockBitのランサムウエアグループは大きな打撃を受け、現在その脅威は低迷傾向にあります。ただ、2月にはリモートアクセスツールの脆弱性を狙った攻撃が、4月下旬にはLockBitをEメールに添付したマス攻撃が発生しており、気になる動きもある状況です。

桔梗原　オペレーション・クロノスに関しては、日本の法執行機関も連携していましたね。脅威レポートの中で日本に関するトピックはありますか？

コヴァチ氏　ありますよ。今回、世界と日本のデータを比較してみたところ、日本で見られる3つの興味深いトレンドがありました。

1つ目は「仮想通貨」に関する脅威で、上期の終わりごろに「仮想通貨のマイナー（採掘者）にかかわる脅威の検出数が日本で増加した」ということがありました。これはどのような脅威かというと、例えばあるユーザーが長文のテキストを読んだり動画を見たりして1つのWebサイトに長時間滞在した場合、その裏で仮想通貨のマイナーがWebサイトのスクリプトを走らせ、そのユーザーのPCの演算能力をマイニングに利用するというものです。

2つ目は、ユーザーのPCから情報を盗む「情報窃取型マルウエアの増加です。2023年末から2024年初頭にかけては「Agent Tesla」が、5月には「RedLine Stealer」が発生したことで検出数が増加。どちらもEメールに添付され、そのままEメールで実行できるマルウエアでした。

そして3つ目は、上期の終わりに検出数が増えた「RDP攻撃」（ブルートフォース攻撃）です。正確な原因は把握しきれていませんが、何らかのボットネットが使われ、遠隔で総当たりにデスクトップのプロトコルにアクセスするものでした。この3つが、日本特有の傾向が見えた興味深いデータとなります。

桔梗原　ここまでの内容を聞くだけでも、非常にきめ細かい情報収集や分析を行っていることが見て取れますし、脅威レポートのベースとなる「脅威インテリジェンス」がその強みを引き出していると感じます。さらにいえば、その脅威インテリジェンスは「ユーザー評価が高い」と聞きますが、その理由は何だと考えますか。

コヴァチ氏　鋭い質問ですね。ESETの脅威インテリジェンスは政府関連機関や大手企業など、世界中のお客様に高く評価いただいています。個人的な意見も含まれますが、ポイントとなるのは当社が長年培ってきた「テレメトリ」と「テクノロジー」、そして各社員が身に付けてきた「専門知識・ノウハウ」という3つの要素でしょう。

それぞれ具体的に説明しましょう。「テレメトリ」は、ESETが30年以上にわたり世界中のセンサーから収集・蓄積された独自データを利用していること、また、そのデータに対する優れた見通しがあることを指します。

「テクノロジー」は、ESETがエンドポイント、サーバー、EDR/XDRだけでなく、バックエンドでのAI利用などの独自技術を継続的に開発しており、常に質も高いテレメトリデータを収集できていることを指します。

「専門知識・ノウハウ」は、ESETに在籍する世界トップクラスの専門家や脅威分析を行うアナリスト集団を指します。20年以上ESETで従事する専門家も多いため、それらの経験と知識が永続的に社内に存在し、脅威インテリジェンスにも取り込まれています。

収集・蓄積されたデータはあくまでもデータでしかなく、脅威の分析を適切に行うには、数年前はどうだったかという過去の経緯を理解していないと、現在起きている事象を正しい文脈で捉えることができません。ESETでは「テレメトリ」「テクノロジー」「専門知識・ノウハウ」の3つの組み合わせが絶妙なバランスで組み合わさることで、特定の国に対する攻撃や、特定のグループや活動などの具体的な可視化につながっています。こうしたESETの独自性が、ユーザーから高く評価されているのだと思います。

桔梗原　評価される背景には、脅威インテリジェンスの重要性が高まっていることも影響していると感じます。その理由については、どうお考えですか。

コヴァチ氏　残念ながら、我々が住んでいる世界は理想郷ではありません。悪意ある攻撃者たちは常に我々の隙を狙っています。それを踏まえると、この世界に住んでいること自体が、結果的に“理由”になってしまうのかもしれませんね。

桔梗原　そんな状況に対して、我々は脅威インテリジェンスをどのように活用すればいいのでしょうか。

コヴァチ氏　私としては、サイバーセキュリティーの様々な段階で活用できると考えています。例えば、攻撃を受ける前の段階では「備えを進める上での積極的な対策」に活用できるでしょう。脅威インテリジェンスは理論上どのような攻撃が仕掛けうるのかわかるようになるし、攻撃者側のTTP（戦術・技術・手順）だけでなく、誰が、なぜ、どのような動機で攻撃を仕掛けているのかといったことの理解が深まるため、より効率的な備えが可能になり、時間や金銭的なコストの削減にもつながるはずです。

また攻撃や侵入が既に起きてしまった段階でも、脅威インテリジェンスを活用することで、より迅速かつ有効的な調査・対応を行うことが可能になります。こちらもコストの削減につながります。さらに、攻撃や侵入が起きてしまった後の段階においては、今後を踏まえた将来的な計画や組織のレジリエンス強化、弱い部分の特定などへの活用が可能です。積極的な対策の1つとして、脅威インテリジェンスを使ってほしいですね。

桔梗原　ありがとうございます。脅威インテリジェンスの重要性がとてもよく分かりました。日本では近年、サイバー攻撃を未然に防ぐ「アクティブ・サイバー・ディフェンス」（Active Cyber Defense：能動的サイバー防御）の導入が議論されていますが、その際にも脅威インテリジェンスはとても重要になりそうだと感じます。

コヴァチ氏　同感です。もちろん、その他の様々なアプローチも組み合わせる必要はありますが、脅威インテリジェンスを上手に活用できれば、より積極的な対応が可能になるでしょう。

桔梗原　それでは、企業が脅威インテリジェンスを活用する際のポイントは何でしょうか。

コヴァチ氏　当社の脅威インテリジェンスは「データフィード」と「レポート」だけに留まらず、ESETの経験豊富な専門家と直接コミュニケーションする機会を提供しています。。1つ目のデータフィードは、例えばIoC（Indicator of Compromise）になり得るため、こちらは比較的簡単に活用できると思います。IPアドレス、URL、ドメイン、ボットネットなどのデータフィードを既存のツールに組み込み強化することができます。

一方、2つ目のレポートは、各組織や企業のニーズに応じてカスタマイズしており、APT（Advanced Persistent Threat）グループにフォーカスした、よりテクニカルなものも提供しています。これは主にロシアや中国、北朝鮮、イランなど、国家レベルのグループの活動に関するレポートとなります。こういったものは政府機関の他、民家企業であれば大手の多国籍企業や金融機関などが対象となるでしょう。

さらに当社では“単純な読み物としてのレポート”を提供するだけにとどまらず、プラスαとして、当社のアナリストと直接話しができる機会やAIアドバイザーによる支援も用意しています。お客様の個々の脅威や特定のトピックについてアナリストと直接会話したり意見を聞ける機会は、他社とは一線を画すサービスでお客様に非常に好評です。

桔梗原　なるほど。そういった情報やサービスを提供している中で、ユーザーに対して今後は、どのような価値を提供していきたいとお考えですか。

コヴァチ氏　ESETは単に脅威インテリジェンスという情報をお客様に提供して終わりではなく、お客様と協調していくことも重要だと考えています。例えば最近では、ESETとお客様の脅威インテリジェンスのアナリストが一堂に会するワークショップなどを開催しました。丸一日時間を共有してお互いの知見や知識、情報を共有し合うことで、信頼関係の醸成を図っています。今後はこういった取り組みにもより力を入れていきたいですね。

それともう1つ、ESETにとって「脅威のリサーチ」や「脅威インテリジェンスの提供」は当然重要な取り組みとなりますが、それらを自社の製品やサービス、ソリューションの開発・改良にきちんと活用していくことも非常に重要だと考えています。その知識を継続的に製品・技術開発に取り組んでくことで、変化する最新の脅威にも対応する防御を提供することができます。

なぜなら、そうすることが「ユーザーセキュリティーのさらなる安全」につながっていくからです。