お問い合わせ
お知らせ

OpenCTIとCriminal IPの脅威インテリジェンス連携

Criminal IPが、オープンソースのサイバー脅威インテリジェンスプラットフォームであるOpenCTIと連携しました。

Criminal IPが、オープンソースのサイバー脅威インテリジェンスプラットフォームであるOpenCTIと連携しました。

OpenCTIは、グラフベースのモデルを活用してサイバー脅威データを構造化し、保存・分析するオープンソースのサイバー脅威インテリジェンスプラットフォームです。インディケーター、脆弱性、脅威アクター、攻撃キャンペーンなどの多様な脅威情報を一つの知識基盤として関連付け、調査、共同作業、インテリジェンス共有を支援します。

今回の連携により、OpenCTIに収集されたIPアドレス、ドメイン、URLのインディケーターを、Criminal IPの脅威インテリジェンスで自動的にエンリッチできます。

Criminal IP Connectorは、リスクレベル、インフラ情報、脆弱性、振る舞いベースのシグナル、フィッシング分析結果を、OpenCTIのデータモデルに対応したエンティティ(個別に識別・管理されるデータ上の対象)と関係情報として構造化します。これにより、アナリストは個別のインディケーターを単なるレピュテーション情報として確認するだけでなく、関連インフラや脅威情報をOpenCTIのナレッジグラフ上であわせて分析できます。

OpenCTIインディケーターの脅威コンテキスト拡張

OpenCTI上で、IPアドレスに対するCriminal IPのエンリッチ結果、リスクレベル、振る舞い情報を確認する画面

Criminal IP Connectorは、IPアドレス、ドメイン、URLに対して、次の情報を付加します。

  • IPアドレスのInboundおよびOutboundリスクレベル
  • 悪性分類および振る舞いベースのシグナル
  • VPN、Proxy、Torなどの匿名化技術の使用情報
  • 外部から観測されたサービスおよび関連CVE
  • Autonomous Systemおよび位置情報
  • ドメインおよびURLのフィッシング分析
  • 認証情報窃取、不審なファイル、なりすまし手法の検知

これらの情報は、単なるタグではなく、OpenCTIのエンティティとその関係性として構造化されます。アナリストは、個別のインディケーターを起点に、関連する脆弱性、Autonomous System、位置情報、接続されたインフラへと調査範囲を広げることができます。

双方向リスクレベルとインフラ関係の分析

Criminal IPは、IPアドレスに対してインバウンドおよびアウトバウンドのリスクレベルを提供します。

インバウンドのリスクレベルは、そのIPアドレスが外部からどの程度攻撃対象となっているかを反映し、アウトバウンドのリスクレベルは、そのIPアドレスから外部に向けて観測される振る舞いを反映します。

これにより、アナリストは単一のレピュテーションスコアだけに依存せず、より細分化された基準で高リスクインディケーターの優先順位を設定できます。

また、Criminal IPのデータは、OpenCTIのナレッジグラフ上で、IPアドレスとAutonomous System、位置情報、観測されたサービス、CVEとの関係として構成されます。

Criminal IPのデータがOpenCTIのエンティティと関係として構造化されて表示される画面

アナリストは、これらの関係を活用して関連インフラを探索し、共通するインフラ構成要素、ホスティングパターン、地域別の集中傾向を分析できます。

サービス露出およびフィッシングインテリジェンス

Criminal IPは、外部から観測されたサービスと既知のCVEを関連付け、潜在的な攻撃対象領域に関する情報を提供します。

アナリストは、特定のIPアドレスが悪性と分類されているかどうかだけでなく、潜在的に悪用可能な状態にあるか、あるいは実際の攻撃に利用されている可能性があるかをあわせて評価できます。

ドメインとURLに対しては、次のようなフィッシング分析を提供します。

  • フィッシング活動の検知
  • 認証情報窃取活動の検知
  • 不審なファイルの検知
  • なりすまし手法の分析
  • フィッシング可能性に基づく信頼度スコア

アナリストは、フィッシングドメインに関連するIPアドレス、Autonomous System、位置情報まであわせて確認することで、関連インフラやキャンペーンのパターンを調査できます。

Criminal IP Connectorの動作方式

連携の流れは次のとおりです。

  1. IPアドレス、ドメイン、URLをOpenCTIに収集
  2. Criminal IP Connectorによる各インディケーターの自動エンリッチ
  3. リスクレベル、インフラ情報、フィッシング分析結果の取得
  4. エンリッチされたデータをOpenCTI上のエンティティおよびリレーションとして構造化
  5. ナレッジグラフを活用した調査および相関分析

主な活用例

SOCトリアージおよびアラート検証

不審なIPアドレスやドメインを、双方向のリスクレベル、インフラ情報、フィッシングインテリジェンスを用いて検証し、高リスクインディケーターの優先順位を設定できます。

脅威ハンティングおよびインフラピボット

CVE、Autonomous System、位置情報などの関係データを活用し、接続されたインフラや関連資産を調査できます。

フィッシングおよびキャンペーン分析

悪性ドメイン、認証情報窃取ページ、関連インフラを分析し、フィッシング活動やキャンペーンのパターンを把握できます。

ナレッジグラフを活用した脅威インテリジェンスの強化

Criminal IPとOpenCTIの連携により、セキュリティチームはIPアドレス、ドメイン、URLを単なるレピュテーションデータではなく、構造化された脅威インテリジェンスとして活用できます。

インディケーターと脆弱性、ネットワーク運営主体、位置情報、関連インフラを関連付けて分析することで、調査、相関分析、脅威の優先順位付けを支援します。

Criminal IPは今後も、さまざまなグローバルセキュリティプラットフォームとの連携を拡大し、脅威インテリジェンスをセキュリティ運用全体で活用できるよう支援していきます。

🔗 連携ソリューションの資料を見る
https://hub.filigran.io/en/cybersecurity-solutions/opencti-integrations/criminal-ip