ソリューション概要

RSA® FRAUDACTIONTM

CYBER INTELLIGENCE

ソリューション概要

目次

RSA FraudActionのサイバー インテリジェンス運用チームについて..........................................1

RSA FraudAction Cyber Intelligence.....................................................................................1

サービス レベルの比較.......................................................................................................................2

RSA FraudAction Cyber Intelligenceレベル 1：一般的なサイバー インテリジェンス.......2

RSA FraudAction Cyber Intelligenceレベル 2：ターゲットを絞ったサイバー インテリジェンス...5

RSA FraudAction Cyber Intelligenceレベル 3：高度なオペレーション...........................10

RSA Fraudactionについて...........................................................................................................10

1

ソリューション概要

RSA FRAUDACTIONのサイバー インテリジェンス運用チームについてRSA FraudActionのサイバー インテリジェンス運用チームは、サイバー犯罪者が犯罪サービスやツールの販売、購入、知識の交換を目的に集まるアンダーグラウンドのフォーラム、IRCチャット ルーム、OSINT（オープン ウェブ）などのコミュニケーション チャネルを監視する専属アナリストで組織されています。

RSA FraudActionのアナリストは、熟練したスキル、多言語に通じる専門知識、長期にわたるアンダーグラウンドでの活動を通じ、信頼される「古参」メンバーとしてさまざまなフォーラムと接触を持っています。RSA FraudActionのアナリストは、中国語、ロシア語、フランス語、アラビア語、スペイン語、ポルトガル語をはじめとする、さまざまな言語のフォーラムを対象に活動しています。

それぞれのフォーラムは、規模、トラフィック ボリューム、信用度が異なります。アナリストが監視するフォーラムは、多くの場合、入会金とシニア メンバーによる「身元保証」が必要な非公開のフォーラムです。RSAが監視する専門的なフォーラムには、新規ユーザーを受け付けていないものもあるため、サイバー犯罪者によって安全な情報交換のプラットフォームと見なされています。

RSA FRAUDACTION CYBER INTELLIGENCERSA FraudAction Cyber Intelligenceは、3つのサービス レベルがあり、レベルによって内容の深さと対象範囲が変わります。

レベル1：一般的なサイバー インテリジェンス 主にフィードベースの自動化されたインテリジェンスの利用に関心のある企業向けに設計されています。

レベル2：ターゲットを絞ったサイバー インテリジェンス ディープWebにある情報源へのプロアクティブな、人手による追加調査を必要とする企業に最適です。

レベル3：高度なサイバー インテリジェンス オペレーション レベル1とレベル2のすべてに加えて、アドホックなオン デマンドの調査が含まれます。

2

ソリューション概要

サービス レベルの比較 レベル1 レベル2 レベル3

脅威レポート √ √ √

IPフィード √ √ √

Eメール フィード √ √ √E-コマースのアイテム ドロップ √ √ √銀行のミュール アカウント √ √ √

不正利用されたクレジット カード √ √

クレジット カード ストア プレビュー √ √

セキュリティ侵害を受けた認証情報 √ √

ブランド固有のサイバー インテリジェンス √ √

エンタープライズ ブラックリスト：悪意のあるURL √ √

オン デマンド調査 √

RSA FRAUDACTION CYBER INTELLIGENCEレベル 1：一般的なサイバー インテリジェンスレベル1は、サイバー インテリジェンスをフィードベースで自動的に入手することに関心のある企業向けのサービスです。フィード提供のフォームは複数あり、各種のバックエンド アプライアンス/システムに統合できます。インテリジェンスの内容は、ほとんどは一般的なもので、新たなサイバー犯罪の脅威やトレンドに関するインサイトを提供する脅威レポートへの無料アクセスを含みます。次に、提供する情報とその内容を示します。

脅威レポートタイプ： 一般 — サイバー攻撃や不正行為の業界アラート内容： RSAチームは、熟練した専門技術と、10年近くにわたる不正

行為や不正行為者のアンダーグラウンドでのつながりに関する知識を活用し、さまざまなサイバー犯罪コミュニティを長期的に監視しています。

頻度： アドホック形式： PDF

暗号化： 暗号化ZIP、PGP

提供方法： Eメール

高度

ターゲット

一般

3

ソリューション概要

カテゴリー： RSA FraudActionのお客様に、不正行為のトレンド、新しい詐欺の手口、アンダーグラウンドで提供されている新しいサイバー犯罪用のツールやサービスなどのサイバー インテリジェンスに関する脅威レポートをお届けします。脅威レポートは、企業を狙った攻撃を試みるサイバー犯罪者が発見、あるいは現在悪用している新しい脆弱性をお客様に知らせます。

IPフィードタイプ： 一般内容： サイバー犯罪や不正行為者が公開したリストから抽出した、

不正トラフィックをルーティングする可能性が高いIPアドレス頻度： 毎日形式： CSV、XLS、EDS

暗号化： 暗号化ZIP、PGP

提供方法： Eメール、SFTP

カテゴリー： フィードでは、次のようなIPカテゴリーに関するIP情報を提供します。 – プロキシ/SOCKS — プロキシは、World Wide Web上のコンテンツへのアクセスを促進し、個人の匿名性を提供するために使用されます。このカテゴリーのIPアドレスは、アンダーグラウンドの不正行為者が発見、流通しており、不正行為の発信源を隠匿するために使用されます。

– オープン ソース プロキシ — 無料のプロキシを提供するウェブサイトで公開されているIPアドレスです。合法的なサービスではありますが、しばしば不正行為者が不正行為の発信源を隠す方法としても使用されています。

– RDP — 不正行為者は、トロイの木馬に感染させてハッキングし、RDP（リモート デスクトップ プロトコル）を使用してリモート接続を行います。このカテゴリーで提供されるのはIPアドレスとポート番号などPCシステムの位置情報で、アンダーグラウンドではログイン パスワードとともに公開、掲示されています。

– Torノード — Torは、オンラインの匿名化を可能にするフリー ソフトウェアです。このカテゴリーでは、Torの出口ノードのIPアドレスを共有するオープン ソースのリソースから収集されたIPアドレス情報を提供します。合法的なサービスではありますが、しばしば不正行為者が不正行為の発信源を隠す方法として使用されています。

お客様は、特定のカテゴリーのみを選択して情報を受け取ることもできます。

4

ソリューション概要

推奨事項： お客様への推奨事項は次のとおりです。1. 不正行為者や悪意のある活動での使用が確認されているマシンなどで使用されている可能性があるため、すべてのカテゴリーのIPアドレスについて、外部からの通信を監視してください。

2. 特にRDPカテゴリーのIPアドレスについては、感染したシステムが企業ネットワーク内に存在する可能性があるため、発信される通信も監視してください。

Eメール フィードタイプ： 一般内容： アンダーグラウンド フォーラムとオープン ソース フォーラム両方で共

有されているか、またはトロイの木馬のログから収集されたメール アドレス。これらは不正行為者が入手し、不正行為に利用される可能性があります。

頻度： 毎日形式： CSV、XLS、EDS

暗号化： 暗号化ZIP、PGP

提供方法： Eメール、SFTP

カテゴリー： このフィードでは、次のカテゴリーについてメール アドレスの情報を提供します。

– ハッカー/不正行為者が、他のフォーラム メンバー データベースまたはオンラインCCショップのユーザー データベースをハッキングして収集し、アンダーグラウンドで公開しているメール アドレスのリスト

– Pastebin.comなどのオープン ソースのパブリック テキスト共有サイトで公開されているリスト

– ハクティビストによるデータベースの漏洩 – 他人からメール アドレスを窃取する不正行為者（「リッパー」）が投稿するアンダーグラウンド フォーラムから収集されたリスト

– スパム メール アドレス — スパム キャンペーンに使用する目的で不正行為者が仲間に共有するメール アドレス。このようなメール アドレスは、フィッシングや「スピアフィッシング」Eメールの標的にされる可能性が高くなります。

– セキュリティ侵害を受けたメール アドレス — パスワードとともに公開されている正規のメール アドレス。IDの窃取や企業ネットワークへのアクセスを目的として不正行為者が悪用する可能性が高いものです。

お客様は、特定のカテゴリーのみを選択して情報を受け取ることもできます。

推奨事項： お客様は、ユーザー ベースでこれらのメール アドレスを検索し、該当するメール アドレスに関連付けられたアカウントのリスク レベルを企業のセキュリティ ポリシーに従って引き上げることが推奨されます。

5

ソリューション概要

Eコマースのアイテム ドロップタイプ： 一般内容： 「リシッピング詐欺」で使用される物理的な郵送先住所。盗

んだクレジット カードで購入したアイテムをこの住所で受け取り、そこから共犯者に転送します。Eコマースで不正行為を行う犯罪者は、通常、郵送先住所に一致するように請求先住所の変更（COB: change of biling）も行います。

頻度： アドホック

形式： CSV、XLS、EDS

暗号化： 暗号化ZIP、PGP

提供方法： Eメール、SFTP

推奨事項： お客様への推奨事項は次のとおりです。1. ドロップ用の住所、特にクレジット カードの請求先住所が郵送先住所に一致するように変更されているとフィードが示す場合、その住所に関連する取引はフラグを付けて監視してください。

2. これらの住所の銀行口座やクレジット カードは、不正行為で使用される可能性があるものとして監視する必要があります。

銀行のミュール アカウントタイプ： 一般内容： 不正なアカウントから入金するために使用される銀行口座頻度： アドホック形式： CSV、XLS、EDS

暗号化： 暗号化ZIP、PGP

提供方法： Eメール、SFTP

推奨事項： これらの銀行口座は資金の転送目的で不正利用されている可能性があるため、これらの口座に対して行われる送金トランザクションをブロックまたは監視することが推奨されます。

RSA FRAUDACTION CYBER INTELLIGENCEレベル 2：ターゲットを絞ったサイバー インテリジェンスディープWebにある情報源へのプロアクティブな、人手による追加調査を必要とする企業に最適なレベルです。レベル2では、レベル1のすべての提供物（上記を参照）に加えて、ターゲットを絞った（お客様のブランドに直接関連した）脅威についてのフィードをお届けします。加えて、お客様のブランドに関連したサイバー インテリジェンスについて、当社のアナリストがディープWebの情報源をプロアクティブに探索し、調査します。

6

ソリューション概要

不正利用されたクレジット カードタイプ： ターゲット — お客様のBIN番号に基づくお客様固有のサイ

バー インテリジェンス内容： アンダーグラウンドやオープン ソースで発見された、不正利用

されたクレジット/デビット カードの番号。頻度： アドホック形式： CSV、XLS、EDS

暗号化： 暗号化ZIP、PGP

提供方法： Eメール、SFTP

推奨事項： お客様への推奨事項は次のとおりです。1. 提供されたカード情報の妥当性を確認してください。2. 情報提供されたクレジット/デビット カードは、不正行為者がアクセスできる状態にあるため、ただちにブロックする必要があります。カードの情報が不正行為に使用される可能性があります。

クレジット カード ストア プレビュータイプ： ターゲット — お客様のBIN番号に基づくお客様固有のサイ

バー インテリジェンス概要： アンダーグラウンドでは、自動化されたクレジット カード ストア

を通じて、クレジット/デビット カードのデータが不正行為者に販売されています。ストアでは、まず不正行為者が、セキュリティ侵害を受けたカードの部分的な情報（6桁のBIN、カード保有者の名前と住所）を掲載するクレジット カードの「カタログ」を閲覧します。不正行為者がカードを購入すると、ストアは完全なクレジット カード情報を開示します。提供するデータは、ストアから収集できる状態のものです（つまり、カードを購入せずに確認できる部分的な情報）。

内容： 既知および新規のアンダーグラウンドのオンライン ストアで発見された、カードの部分的な情報。自動化されたパーサが、このようなストアから新しいカードのプレビューを定期的にダウンロードし、フィードでお客様に配信します。

頻度： アドホック形式： CSV、XLS、EDS

クレジット カード プレビュー フィードのExcelスプレッドシートには、2列の記載があります。1つは6桁のBINの後に10個の「0」が続く列で、もう1つはBINとそれに関連するさまざまな情報（カード保有者の名前や住所、発行会社）の列です。

暗号化： 暗号化ZIP、PGP

7

ソリューション概要

提供方法： Eメール、SFTP

推奨事項： 多くの場合、カード発行会社は部分的な情報を使用して、セキュリティ侵害を受けたカードの完全な情報をトレースできます。早い段階でのカードのトレースは、不正行為を未然に防ぐ対策の一環となります。セキュリティ侵害を受けたカードのプレビューを確認し、抽出されたデータを使用して完全な情報をトレースすることが推奨されます。そのため、次の項目の実行をお勧めします。1. カードが本当に「フレッシュ」（まだ不正行為に使用されていない）かどうかを確認します。

2. セキュリティ侵害を受けたカードをブロックする、または取引を注意深く監視します。

3. ポリシーに従って、影響を受けたカードの保有者に通知します。

4. すべてまたは大部分のカードに共通する因子（これらのカード保有者に共通する統計的特徴があるかなど）を調査します。このような情報を駆使することでトレースできる場合があります。

セキュリティ侵害を受けた認証情報タイプ： ターゲット — お客様のログインURLに基づくインテリジェンス

内容： RSA FraudActionでは、業務の一環として継続的にトロイの木馬で使用されているドロップ サーバーを監視しています。トロイの木馬によって収集されたすべてのデータと、それに関連付けられる顧客データをレポートします。

頻度： アドホック形式： CSV、XML

ドロップ サイトから収集したrawデータを解析し、読み取り可能なフィールド（パラメーター）を出力します。特定のフィールド（エンド ユーザーによる入力を要求するWebサイトのカスタム ログイン フィールドなど）を解析する要望がある場合、HTMLフォームに表示されるフィールド名を指定すると、当社のシステムがその解析を試みます。

暗号化： 暗号化ZIP、PGP

提供方法： Eメール、FAダッシュボード ポータル

8

ソリューション概要

推奨事項： 次の2つの方法を使用して、侵害されたエンド ユーザーを特定します。1. rawデータから実際のログイン認証情報のセットを検索する方法。rawデータからこのデータを特定する方法は、使用されたトロイの木馬ファミリーの具体的な特性によって異なります。

2. 盗まれたデータをIPとともにペアリングし、Webサイト（ログイン ページ）への受信トラフィックと相互参照する方法。

提供されるこれらの情報を使用して、トロイの木馬に感染して影響を受けているエンド ユーザーのアカウントをトレースすることが推奨されます。一般的には、これらのアカウントで行われる送金を注意深く監視して、ミュール アカウントの特定や、お客様のポリシーに従ったブロックを試みることをお勧めします。

ブランド固有のサイバー インテリジェンスタイプ： ターゲット

内容： RSAチームは、サイバー犯罪者の通信チャネルを継続的に監視して、お客様のブランドに固有の侵害されたデータややり取りを抽出します。アラートには、現金引き出しの手口、不正使用された企業Eメール アカウント、お客様の銀行で利用されているミュール アカウントなどが含まれます。

頻度： アドホック形式： 発見事項によって異なる（PDFまたはCSV/XLS）暗号化： 暗号化ZIP、PGP

提供方法： Eメール、SFTP

推奨事項： アラートには推奨事項が含まれます（該当する場合）。

9

ソリューション概要

エンタープライズ ブラックリスト：悪意のあるURL

タイプ： 一般内容： 悪意のあるオンライン活動に関与し、お客様のインフラストラ

クチャにとってリスクとなる可能性のあるURL。このフィードは、ネットワーク トラフィックのブロック、フィルタリング、調査に使用します。フィードには、リスク レベルの評価をサポートするために、脅威に関する次のような詳細なインサイトが含まれます。• レポートにあるURLごとに「Liveness」テストを実施して、ステータスの確認とレポートを可能にしています。

• 可能な場合にはクラス分けを行い、マルウェアのタイプや名前、影響を受けた既知のオペレーティング システム（表示例Trojan:Win32/Kovter）などの記載が含まれます。

• 可能な場合はハッシュ値を提供し、MD5ハッシュのほかssdeepが含まれます。

さまざまな利用形態をサポートするため、2つのレポート オプションを用意しています。1. 差分 — 前回のフィードの提供後に発見された、オンラインとオフラインの新しいURLのみをレポートします。

2. 累積 — 過去120日間に発見されたURLをレポートします。このオプションを選択すると、既知のオンラインのURL

を記載したファイルと、過去7日間にオフラインになったURLを記載したファイルの2つが取得できます。

頻度： 毎日形式： CSV、XLS

暗号化： 暗号化ZIP、PGP

提供方法： Eメール（差分のみ）、SFTP

推奨事項： ブラックリストを効果的に使用するために、次のベスト プラクティスが推奨されます。レポートを、発信および着信のインターネット トラフィックを監視する内部システムにインポートします。その後、悪意のあるホストや、疑いのあるURLに関連したホストとの間の入出力トラフィックを特定、ブロック、フラグ付けするルールを設定します。悪意のあるホストやURLと通信しているデバイスが特定された場合、マルウェア感染の可能性があるため、必要に応じて調査や修復を行います。必要に応じてクラス分けを活用して、問題のマルウェアの特定とリスクの評価を行います。

10

ソリューション概要

RSA FRAUDACTION CYBER INTELLIGENCEレベル 3：高度なオペレーションレベル3では、お客様のブランドおよび事業活動に関連する脅威の状況に関する総合的、包括的なインサイトを、高度な調査能力を活用して提供します。レベル1と2のすべての提供物に加え、アドホックなオン デマンドの調査を提供します。オン デマンド調査タイプ： ターゲット — お客様からのリクエストに基づく内容： オン デマンド調査では、サイバー犯罪の調査をオン デマンドで

リクエストできます。ディープWebに対する可視性を持つ当社では、IPアドレス、攻撃者のハンドル ネーム、特定の匿名の操作、特定のマルウェアやフィッシング キットなど、外部の不正利用の兆候を捉え、お客様を支援することができます。当社の経験豊富な調査チームは、独自のテクノロジーを活用しながら、さらなるサイバー インテリジェンスを収集すべくさまざまなデータ

ソースを探索しています。形式： PDF

暗号化： 暗号化ZIP、PGP

提供方法： Eメール推奨事項： 調査レポートには推奨事項が含まれます（該当する場合）。

RSA FRAUDACTIONについてRSA FraudActionは、企業に24時間365日の保護を提供します。フィッシング、マルウェア、危険なモバイル アプリケーション、危険なソーシャル メディア ビジネス プロファイルなど、ビジネスに影響を及ぼすサイバー攻撃を遮断する外部の脅威管理サービスです。RSA FraudActionサービスでは、RSA AFCC（RSA不正対策指令センター）に所属する100人を超えるアナリストが、毎日数百万もの潜在的な脅威を分析しています。その結果、百万件を超えるサイバー攻撃の遮断を実現しています。詳細については、FAS.

Inquiries@RSA.comまでお問い合わせください。

RSAについてRSAは、最も重要な資産である情報資産をサイバー犯罪の脅威から保護するために不可欠なセキュリティ機能を世界中の30,000社以上のお客様に提供しています。数々のアワードを受賞したRSAの製品を導入することで、高度な攻撃の検出、調査、対処のほか、IDの確認および管理を効果的に実施し、最終的に知的財産の窃取、不正行為、サイバー犯罪を軽減することができます。詳細については、rsa.com/ja-jpをご覧ください。

RSAおよびRSAのロゴは、Dell Technologiesの登録商標または商標です。© Copyright 2017 Dell Technologies. All rights reserved.（不許複製・禁無断転載） Published in the USA. 11/17、ソリューション概要、H16790-J

RSAは、この資料に記載される情報が、発行日時点で正確であるとみなしています。予告なく変更されることがあります。