サイバー犯罪インテリジェンス
このセクションでは、サイバー犯罪捜査におけるインテリジェンスライフサイクルを網羅し、脅威プロファイリング、ペルソナ管理、アンダーグラウンドの情報源からの安全なデータ収集のための構造化された手法に重点を置きます。受講者は、断片化されたデータを実用的なインテリジェンスに変換し、捜査や戦略的意思決定を支援する方法を学びます。
取り上げられるトピック
- インテリジェンスの基礎と構造化分析
- サイバー犯罪のための情報収集計画
- サイバー攻撃プロファイリングフレームワーク
- OPSECと多層防御
- ペルソナとソックパペット管理
ラボ
- VMの設定とOPSECのテスト
- 侵害データによるアクターの追跡
- 長期的ソックパペットの管理
- Maltegoによるリンク分析
- 安全な暗号ウォレットの作成
概要
第1セクションでは、安全かつ倫理的かつ効果的なサイバー犯罪捜査を実施するための重要な基礎を提供します。受講者はサイバー犯罪インテリジェンスサイクルの概要を学び、優先インテリジェンス要件(PIR)の定義、防御可能な収集計画の策定、捜査開始前のリスク評価方法を学びます。
情報とインテリジェンスの違い、生データを完成インテリジェンス(FINTEL)に変換する方法、そしてサイバー犯罪キャンペーン分析にフレームワークを適用する方法について考察します。また、ベンダーのインテリジェンスプラットフォームの評価方法、侵害データの解釈方法、敵対者に関するデジタル文書の構築方法についても解説します。
特に重点を置くのは運用セキュリティ(OPSEC)です。受講者は、捜査中に捜査対象とならないよう、VPNの使用、ブラウザフィンガープリンティング、ネットワーク難読化、ペルソナ設計、ソックパペットの作成など、独自のデジタル技術をモデル化します。AlphaBayやFractal IDなどのケーススタディを含む、実際のOPSECの失敗事例を分析し、得られた教訓を補強します。
ハンズオンラボでは、調査用ワークステーションの設定、オンラインペルソナの構築、侵害データを用いたパスワードピボットの実行、Maltegoを用いたソーシャルおよびインフラストラクチャのリンク分析など、受講者ひとりひとりのスキルを段階的に習得します。また、受講者は将来の管理下における購入やアンダーグラウンドでの活動を支援するための暗号通貨ウォレットを作成し、セクション5の最終演習の土台を築きます。
このセクションでは、受講者が安全にインテリジェンス情報を収集するだけでなく、構造的、合法的、そして目的を持って収集を行い、ハイリスクな環境において組織や機関を支援できる準備を整えます。
トピックスの詳細
- インテリジェンスの基礎と構造化分析
- 収集計画とサイバー犯罪の要件
- 業界フレームワークを用いたサイバー攻撃プロファイリング
- 運用セキュリティ:多層防御モデリング
- ペルソナ開発とソックパペット管理
- アトリビューションツール:パスワードピボット、ウォレット分析、フォーラム
ラボの詳細
- 調査用VMを設定し、OPSECツールをテストする
- 侵害データとパスワードピボットを使用してアクターを追跡する
- 長期的なソックパペットアカウントを安全に作成・維持する
- Maltegoとデジタルドシエを使用して視覚的なリンク分析を実行する
- アンダーグラウンドでの使用を目的とした暗号通貨ウォレットを作成し、保護する
暗号通貨調査
このセクションでは、ブロックチェーン分析とアトリビューション技術を用いて、違法な暗号通貨活動を追跡する方法を学習します。実際のケーススタディを通して、受講者はロンダリングの手口を追跡し、ウォレットをクラスタリングし、OSINTとオフチェーンデータを用いて取引を脅威アクターに結び付け、調査と資産回収を支援する方法を学びます。
取り上げられるトピック
- ブロックチェーン追跡の基礎
- UTXOとアカウントモデルの比較
- ウォレットのクラスタリングとヒューリスティック
- 難読化:ミキサー、コインジョイン、ホッピング
- OSINTとKYCによるアトリビューション
ラボ
- Genesis BlockとUTXOの学習
- Twitterの暗号通貨詐欺ウォレットの分析
- Bulletproof Hostの暗号通貨フローの追跡
- Bitfinexのロンダリングパターンの追跡
- Colonial Pipelineの身代金の痕跡の追跡
概要
第2セクションでは、サイバー犯罪者が不正な利益の移動、ロンダリング、隠蔽に利用するブロックチェーン基盤の金融システムを深く掘り下げます。受講者は、オンチェーンとオフチェーンの分析を組み合わせた手法で、暗号通貨取引のマッピングとデコード、ロンダリングパターンの特定、そしてウォレットを現実世界の脅威アクターに紐付ける方法を学びます。
ブロックチェーンの基礎から始め、受講者はUTXOベースモデル(ビットコイン)とアカウントベースモデル(イーサリアム)の両方を理解し、正確な取引分析を実現します。端数処理、入出力パターン、既知のエンティティクラスタリングといったヒューリスティックを用いて、ウォレットクラスタリングと小銭分析を行い、複雑なロンダリングスキームにおける資金の追跡を行います。これらの手法は、ランサムウェアや情報窃盗犯の捜査において特に重要であり、支払いの追跡はアクターの特定や資産回収につながる可能性があります。
このセクションでは、ミキサー、コインジョイン、チェーンホッピング、ピールチェーンについても紹介し、犯罪者が取引を隠蔽しようとする方法と、捜査官が追跡できる方法を探ります。Bitfinexハッキング、DarkSideランサムウェア、詐欺キャンペーンなどのケーススタディは、これらの概念を実践的に理解するのに役立ちます。
受講者はChainalysis Reactorなどのツールを用いて高度なクラスタリングとエクスポージャー分析を行うとともに、KYC記録、制裁対象指定、OSINTを用いてオンチェーンデータを拡充する方法を学びます。ブロックチェーンデータをFININT(インシデント対応、戦略的意思決定、法的措置に役立つ金融インテリジェンス)に変換することに重点が置かれています。
各ラボでは、サイバー犯罪取引の追跡、ロンダリング行為のプロファイリング、犯罪組織に関連するインフラの解明など、実践的で現実的な演習を提供します。このセクションを修了すると、受講者は自信を持って違法な暗号通貨の流れを追跡し、帰属をサポートし、金銭目的のサイバー犯罪の摘発を支援できるようになります。
トピックの詳細
- ブロックチェーンと暗号通貨の追跡の基礎
- UTXOとアカウントベースモデル(ビットコイン、イーサリアム)
- ウォレットのクラスタリング、変更分析、トランザクションヒューリスティック
- 追跡難読化手法:ミキサー、コインジョイン、チェーンホッピング、ピールチェーン
- OSINT、KYC、制裁データ、ウォレットフィンガープリンティングを用いたアトリビューション
- 実際のランサムウェアおよびサイバー犯罪キャンペーンにおけるロンダリング戦術の分析
- ブロックチェーンFININT:トランザクションデータを戦略的および戦術的インテリジェンスへ変換
ラボの詳細
- ビットコインのジェネシスブロックと基礎トランザクションモデル(UTXO)を調査
- ヒューリスティックスとウォレットフィンガープリンティングを用いて、注目を集めたTwitterの仮想通貨詐欺を分析
- 仮想通貨取引を追跡し、防弾ホスティングプロバイダープロファイルの作成
- 高度なブロックチェーン分析を用いて、Bitfinexハッキング事件のロンダリング手法の追跡
- Colonial Pipelineランサムウェアの支払いを追跡し、DarkSide関連会社の調査
サイバー犯罪のアンダーグラウンド
このセクションでは、受講者は表層ウェブ、深層ウェブ、ダークウェブ環境にわたるサイバー犯罪コミュニティを安全に移動し、調査する方法を学びます。フォーラム、リークサイト、メッセージングプラットフォーム、そしてインフラがどのように機能的なアンダーグラウンドエコノミーを形成し、攻撃者がアクセス、データ、そして機能を売買し、収益化するためにどのように相互作用しているかを明らかにします。
取り上げられるトピック
- プロフィールフォーラム、マーケット、アプリ
- サイバー犯罪者の役割とグループの理解
- プロファイリングによるインフラの調査
- 様々なソースにわたる被害者の特定
- ATT&CKとDiamondによる脅威のマッピング
ラボ
- フォーラム、市場、リークサイトの特定
- OSINTによるインフラのピボット
- フォーラムから攻撃者リストの作成
- ATT&CKとOSINTによるツールのマッピング
- 実際のランサムウェアキャンペーンの調査
概要
第3セクションでは、サイバー犯罪者が協力し、取引を行い、ビジネスを行う運用環境を深く掘り下げます。アクセス、マルウェア、認証情報、違法サービスの売買に利用されるフォーラム、マーケットプレイス、恐喝サイト、暗号化メッセージングアプリ、インフラノードなどを安全に探索・調査する方法を学びます。
このセクションでは、アンダーグラウンドコミュニティのプロファイリング、フォーラム構造の理解、モデレーターの特定、そしてアクターとプラットフォーム間の重複箇所の特定方法を学習します。ランサムウェアグループがアフィリエートを募集する方法、初期アクセスブローカーがネットワークアクセスを収益化する方法、そしてインフォスティーラーのログとマーケットプレイス取引が脅威アクターと被害者の両方を危険にさらす仕組みを考察します。
サイバー犯罪者が、堅牢なVPSプロバイダー、レジストラ、ミキサーなどのサービスを用いてインフラをホストする方法を調査し、財務的および技術的な足跡を追跡します。 Shodan、URLscan、Maltegoなどのツールを用いて、ドメインやIPアドレスから攻撃者の攻撃基盤プロファイルを構築し、IOC(侵入痕跡)と公開および商用プラットフォームの攻撃キャンペーンデータを相関させます。
脅威アクターに関するデジタル文書を作成することで、受講者は、フォーラム、マーケット、リークサイト全体で固有のシグネチャを形成するユーザー名、暗号通貨ウォレット、行動パターンを特定する方法を学びます。また、攻撃者のソーシャルネットワークを研究し、アンダーグラウンドの攻撃者が使用する信頼関係、保証行動、評判システムを特定します。
ランサムウェアの被害者についての研究は重要な焦点であり、受講者は恐喝ブログ、情報窃盗ログ、認証情報マーケットを通じて被害者データを追跡します。MITRE ATT&CKやDiamond Modelなどのフレームワークは、受講者が攻撃者の行動と攻撃キャンペーンの進化を分類、評価、予測する上で役立ちます。
このセクションの終わりまでに、受講者は犯罪経済をマッピングし、長期にわたって敵を追跡し、インフラストラクチャと被害者のデータを正確に分析できるようになります。これは、サイバー犯罪捜査官やインテリジェンスアナリストにとって重要なスキルです。
トピックの詳細
- フォーラム、マーケットプレイス、ランサムウェア漏洩サイト、メッセージングアプリのプロファイリング
- 初期アクセスブローカー、ランサムウェアアフィリエイト、マルウェア開発者、サイバー犯罪フォーラムメンバーの役割の理解
- プロファイリング手法を用いたサイバー犯罪インフラの調査
- マーケット、恐喝サイト、情報窃盗ログにおける被害者の特定
- MITRE ATT&CKやダイヤモンドモデルなどのフレームワークを用いた機能のマッピング
- 識別子(ユーザー名、パスワード、メールアドレス、ウォレット)と行動パターンの解明
- アンダーグラウンドで提供されるマルウェア、フィッシング、エクスプロイトサービスのプロファイリング
- ランサムウェアの被害者の研究とキャンペーン活動の調査とマッピング
- 敵対者の手口、犯罪エコシステム、インフラ再利用の理解
ラボの詳細
- サイバー犯罪フォーラム、マーケットプレイス、リークサイトを特定し、列挙する
- OSINTツールを使用して敵対者のインフラストラクチャを調査し、方向転換する
- フォーラムの活動からデジタル文書を作成し、アンダーグラウンドのアクターのプロファイリングを実施する
- ATT&CKとオープンソースインテリジェンスを使用して、機能とマルウェアサービスをマッピングする
- 実際の事例を通じて、ランサムウェアキャンペーン、被害者、および露出状況を調査する
潜入捜査
このセクションでは、ゲート型犯罪コミュニティへの潜入方法、信頼できるペルソナの構築方法、そして脅威アクターから直接ヒューマンインテリジェンス(HUMINT)を収集する方法を学びます。ソーシャルエンジニアリングによる敵対者の誘い出しから、ダークウェブコンテンツの大規模なスクレイピングまで、手動と自動の両方のデータ収集方法を探求します。
取り上げられるトピック
- HUMINT:特定、評価、プロファイリング
- 捜査におけるソーシャルエンジニアリング
- ダークウェブスクレイピングの自動化
- Kibanaによるトレンド分析
- 脅威アクターのアトリビューションと妨害
ラボ
- アクセス用のソックパペットの作成
- フォーラムルールと主要アクターのマッピング
- Tor経由のスクレイピング、Kibanaでの分析
- ターゲティングフレームワークによるアクターのプロファイリング
- HUMINTを用いた敵対者の評価
概要
第4セクションでは、サイバー犯罪のアンダーグラウンドに安全かつ戦略的に参入し、信頼できるプレゼンスを確立し、敵対者から直接情報を収集するためのスキルを習得します。長期的なソックパペットの構築から自動スクレーパーの導入まで、このセクションでは、人的資源と技術的資源の収集手法を融合させ、真の捜査価値を提供します。
受講者はまず、作戦計画とOPSEC(オペレーションセキュリティ)から始め、アトリビューションリスクの管理方法と法的境界の遵守方法を学びます。サイバー犯罪者のフォーラムやマーケットプレイスがどのように運営されているか、アクセスを得るために何が必要なのか、安全に活動するにはどうすればよいのか、招待制の紹介、参加費、応募プロセスといったゲートキーピングの仕組みをどのように見分けるのかを探求します。
フォーラムやマーケットプレイスに足を踏み入れた後は、溶け込み、エンゲージメントを行い、情報を抽出する方法を学びます。HUMINT(ヒューマンインテリジェンス)の手法は、情報引き出し戦術、エンゲージメント戦略、ペルソナ開発に重点を置いて導入されます。受講者は、海軍法典やMITRE Engageなどのフレームワークを用いて、情報源の特定と評価、配置、アクセス、信頼性、行動の手がかりを評価する練習を行います。
人によるデータ収集と並行して、受講者はウェブスクレイパーを用いたダークウェブデータ収集の自動化、ランサムウェア攻撃、アクセス販売、犯罪組織のパターン分析について学びます。Kibanaを用いて、受講者はサイバー犯罪データセットを視覚化し、キーワードや攻撃者名に基づいてピボット分析を行い、犯人特定や対策を支援する実用的なダッシュボードを作成します。
このセクションの締めくくりは、HUMINT収集を戦略的成果(インフラの摘発、法執行機関による摘発の支援、ランサムウェアの展開の先取りなど)にマッピングすることです。技術的な自動化と人による介入を融合させることで、受講者はアンダーグラウンドへの潜入、調査、そして影響力行使のための包括的なツールキットを習得します。
トピックの詳細
- サイバー犯罪コミュニティにおけるペルソナの作成とアクセス維持
- アンダーグラウンドフォーラム、マーケットプレイス、暗号化チャットのナビゲート
- HUMINT収集:情報源の特定、評価、ターゲティング、プロファイリング
- サイバー犯罪捜査におけるソーシャルエンジニアリングと情報引き出しの手法
- スクレーパーと回避策を用いたダークウェブデータ収集の自動化
- Kibanaにおけるサイバー犯罪動向の可視化と分析
- 脅威アクターとインフラのアトリビューションと阻止戦略
ラボの詳細
- クローズドフォーラムにアクセスするためのソックパペットペルソナの作成と運用をする
- フォーラムへのアクセス要件をマッピングし、影響力のある脅威アクターを特定する
- Torベースのスクレーパーを構築・展開し、Kibanaダッシュボードでデータを分析する
- 構造化されたターゲティングフレームワークを用いてサイバー犯罪者のプロファイリングを行う
- HUMINT手法を適用し、敵対者の洞察を引き出し、信頼性を評価する
キャップストーン演習
FOR589の最終日は、調査開始に焦点を当てたキャップストーン課題です。受講者は、コース全体の様々な要素を統合した、有意義な演習に取り組みます。このキャップストーン課題では、学習した原則とシミュレーションシナリオを通して強化し、新たに習得したスキルの実践を練習します。
概要
受講者は、完全にインタラクティブなサイバー犯罪フォーラムを対象とした模擬調査に取り組みます。フォーラムの投稿やプロフィール、漏洩したプライベートチャットログ、押収されたデータベースを分析します。また、架空のブロックチェーン台帳を使用して、取引を追跡し、脅威アクターや様々な活動を追跡します。また、現実世界のシナリオを模倣したデータセットを用いて、法執行機関の情報要件を満たす方法と、サイバーセキュリティインテリジェンス(CTI)の視点から考察する必要があります。受講者はチームに分かれ、調査で明らかになった内容(実行した手順、収集、処理、分析した内容、そしてその活用方法など)について、調査結果を発表する必要があります。
