はじめに
サイバーセキュリティの専門家は、企業ネットワークがランサムウェア、不正な内部活動、データ流出といったダークウェブの脅威の主要な標的であることを認識しています。しかし、これらの活動の証拠は、日常のネットワークトラフィックの中に隠れており、見過ごされがちです。ネットワーク検知・対応(NDR)を利用するセキュリティリーダーにとって、これらの隠れた信号は防御の機会となります。ネットワーク上でダークウェブの脅威を特定する方法を知りたいですか?NDRを活用した検知と調査のための4つの重要なステップから始めましょう。
ステップ1:ダークウェブへのゲートウェイを理解する
パブリックウェブとは異なり、ダークウェブはTorブラウザ、Invisible Internet Project (I2P)、Freenetのピアツーピア(P2P)ネットワークといった匿名化ツールに依存しており、ユーザーの出所を隠し、トラフィックを暗号化し、検知を回避します。これらのツールが活動を隠蔽する能力があるにもかかわらず、ダークウェブの動きを示す兆候はネットワークデータに捉えられます。典型的な兆候には、異常なポート使用、暗号化されたトラフィックパターン、Torのエントリーノードまたはイグジットノードとの通信などがあります(詳細はステップ4で説明)。
ステップ2:NDRを理解する
NDRシステムは、AI、機械学習、行動分析を活用してネットワークトラフィックをリアルタイムで監視し、疑わしいまたは悪意のある活動を特定します。NDRはまた、ネットワーク活動の包括的な記録を維持し、重要な履歴とコンテキストを提供します。これらの洞察により、チームはNDRをSOCインフラストラクチャとプロセスに統合し、ダークウェブがもたらすサイバー脅威に対する平均検知時間(MTTD)と平均対応時間(MTTR)を改善できます。
ステップ3:包括的なダークウェブ可視性のためにNDRを展開する
コアネットワーク、エッジ環境、内部セグメント全体でトラフィックを監視します。主な推奨事項は以下の通りです。
- NDRセンサーを戦略的な場所に配置する:高価値資産を収容するネットワークセグメントに焦点を当て、コマンド&コントロール(C2)活動やデータ流出の試みを捕捉します。
- 南北トラフィックを分析する:NDRを使用して内部から外部への通信を検査し、ダークウェブとの相互作用の可能性を検出します。
- ラテラルムーブメントを追跡する:デバイス間の内部トラフィックを監視し、ダークウェブ関連の脅威を示す可能性のある兆候を探します。
ステップ4:NDRで検知とハンティングを行う
ネットワークのベースライン設定から始める
NDRの導入は、多くの場合、プラットフォームが組織の通常のトラフィックを学習するための30日間のネットワークベースライン設定期間から始まります。完了すると、NDRはダークウェブ活動の指標を自動的にフラグ付けできます。これには以下が含まれます。
- 以前に不明だった外部IPとの新規通信
- 過剰なピア接続
- 疑わしいファイル転送プロトコルまたは異常なドメインへのトラフィック
- 通常を装った異常なアウトバウンドトラフィック(ダークウェブマーケットプレイスへのデータ流出の可能性を示す)
ベースラインが確立されたら、NDR設定を調整して、ターゲットとなるダークウェブ指標の検出を自動化できます。ただし、ネットワークがすでに侵害されている場合、NDRが脅威活動を「正常」と認識しないように注意する必要があります。これが、ネットワークのベースライン設定に積極的な分析と環境の理解が必要な理由です。
Torアクティビティの自動検出
デフォルトのTorポート(9001、9030、9050)を介して通信するデバイスに対して動的なアラートを設定します。トンネルログを監視し、圧縮されたTLSヘッダー、独自のネゴシエーション動作、異常に長いセッション、高帯域幅使用量などの不規則なパターンを探します。特徴的なパケット長やハンドシェイクを含むTorトラフィックのシグネチャをスキャンします。既知のTorエントリーノード、リレー、ブリッジ、Obfourscatorまたは「obfs4」ノードへの接続を追跡します。複数の外部IP間を頻繁に切り替えるトラフィックや、匿名化サービスと相互作用するトラフィックにフラグを立てます。
I2PおよびP2P接続の監視
I2Pポート(7650~7659)およびBitTorrent/P2Pポート(6881~6889)上のトラフィックに対して動的なアラートを設定します。ランダムまたは外部IPへの高帯域幅のアウトバウンドUDPトラフィックを監視し、I2Pトンネルの兆候を捉えます。I2Pピアディスカバリで一般的な、見慣れないまたは未解決のIPや不明瞭なUDPポートへの定期的なスパイクに注意します。分散されたIP間で持続的で長時間のP2Pセッションを検出し、Freenet活動を示します。Freenetやその他の匿名化ツールに典型的な自己署名証明書を探します。高エントロピーまたはランダムなドメイン名への永続的な接続を示すワークステーションやデバイス(IoTを含む)にフラグを立てます。
疑わしいDNSアクティビティの追跡
DNSログを監視し、.onionアドレスへのクエリ、一般的でないサブドメイン、匿名化ツールに関連するドメインへのアクセス試行を探します。評判の低い、めったに使用されない、または悪意のあるドメイン、特にVPNやプロキシにリンクされているドメインへのクエリにフラグを立てます。例えば、旧ソビエト連邦のために予約されている.suドメインを含むDNSリクエストは、ほとんどの場合正当ではありません。内部DNSを回避し、代わりに外部DNSサーバーを使用するデバイスを検出します。これは匿名化ツールの使用を示している可能性がありますが、組織のネットワークセキュリティポリシーと設定に違反している可能性もあります。
VPN接続の監視
よく知られた消費者向けVPNプロバイダー(例:NordVPN、ExpressVPN、ProtonVPN)への接続を検出します。非標準のVPNポート(OpenVPN:1194、L2TP:1701)に対するアラートを設定します。OpenVPN、IPSec、またはWireGuardを介してルーティングされるトラフィック、およびこれらのサービスに関連するカスタムSSL/TLS証明書の使用にフラグを立て、現在のポリシーと慣行で許可されているかどうかを判断します。
「不可能移動」や地理位置情報などの異常の監視
ユーザーまたはデバイスからのIP地理位置情報データを使用して、「不可能移動」のインスタンスを特定します(例:ユーザーがオフィスにいるにもかかわらず、遠隔の国からのログイン)。組織の通常の運用範囲外の疑わしい地域や国からの接続を検出します。正当なビジネスアプリケーションが特定できないトラフィックを探します。
侵入の可能性を示すラテラルムーブメントのフラグ付け
外部エンドポイントに到達する前に複数のシステム間をホップする内部トラフィックにフラグを立てます。内部デバイス間の異常な活動、特にSOCKSプロキシ/トンネルのような予期せぬプロトコルを使用している場合に監視します。
マルウェアとコマンド&コントロール(C2)ビーコンの検出
ネットワークトラフィックから抽出されたファイルをYaraを使用して分析します。マルウェアや疑わしいバイナリを探します。「チェックイン」活動のパターンについてログを確認します。これらは、5分ごとや1時間ごとなど、定期的な間隔で発生する場合があります。
脅威インテリジェンスの追加
脅威インテリジェンスフィードを追加することで、既知のダークウェブ活動を関連付けます。ハッシュ、IP、C2ドメインなどの侵害指標(IOC)にフラグを立てるためにフィードを統合します。組織に関するチャットや環境からのデータ漏洩についてダークウェブを監視するために、サードパーティの脅威インテリジェンスサービスを雇うことを検討してください。外部の認証情報監視により、疑わしいまたは侵害された場所からのログイン試行を追跡します。
結論
適切に調整されたNDRソリューションは、組織のダークウェブ活動検出能力を大幅に向上させ、全体的なサイバーセキュリティ体制を強化します。CorelightのOpen NDRプラットフォームは、統合された多層検出、ファイル分析、高度なプロトコル監視、および包括的な長期ネットワークメタデータ収集を特徴としています。