This post is also available in: English (英語)

Unit 42は、パロアルトネットワークスのグローバルな脅威インテリジェンス チームです。 脅威インテリジェンスは無償で共有されるべきで、公益のためにあらゆる人にとって入手可能なものにするべきであると私たちは考えています。 Unit 42は、攻撃者、マルウェア ファミリ、および攻撃活動に関する高品質で詳細な調査報告を提供します。 アナリストは、攻撃者の活動を特定し、記録します。その後、攻撃者が組織のセキュリティを侵害するために用いるさまざまなツール、テクニック、手順などに関する洞察を提供するプレイブックを共有します。

私たちは調査結果を無償で共有しているため、防御者はどこからでもワールドクラスの脅威インテリジェンスにアクセスすることができます。 Unit 42は、サイバー脅威の権威として有名で、世界中の企業や政府機関から頻繁に問い合わせを受けています。

Unit 42の責任者は、パロアルトネットワークスのCSOであるRick Howardと、パロアルトネットワークスの脅威インテリジェンス担当VPであるRyan Olsonです。

私たちのミッション

私たちのミッションは、攻撃者の詳細情報を調べてプレイブックに記録することと、プレイブックをシステム、人員、組織と迅速に共有し、これに基づきサイバー攻撃を防止できるようにすることです。

「Unit 42」の意味

ダグラス アダムスの『銀河ヒッチハイクガイド(The Hitchhikers Guide to the Galaxy)』では、42という数字は「生命、宇宙、そして万物についての究極の疑問」の答えとされています。 当社のCSOはSFの大ファンで、「パロアルトネットワークス脅威インテリジェンス チーム」と言うのが面倒になったときに、省略形としてUnit 42という名前を使い始めて、それが定着したのです。 Unit 42は究極の疑問の答えとまではいきませんが、この業界が今日直面している難問を解決するべく努めています。

Unit 42の仕組み

当チームは、CIR (Critical Intelligence Requirement)の形式で当社の上層部から出される指示で始まる伝統的なインテリジェンス サイクルに従っています。 こうしたCIRは、パロアルトネットワークスおよび当社の顧客に対する脅威についての具体的な疑問に答えるために必要なデータをアナリストが特定する上で役立ちます。 Unit 42はそのデータを社内、社外の両方から収集し、詳細な脅威分析プロセスを実施します。このプロセスには受信データを相関させるための自動システムも含まれますが、一方で、熟練した人の手による分析でデータを解釈し、パターンを特定し、仮説を立て、データ セット全体に対して評価することも含まれます。 これを行うことにより、当チームは脅威の背景を見極め、今後の攻撃に対する最善の防御策の決定に役立てることができます。

チームは、完成したインテリジェンス製品をホワイト ペーパー、「攻撃者プレイブック」、およびブログの投稿(unit42.paloaltonetworks.com)の形で公開します。 Unit 42は、攻撃の検出および防止の分野で長年に渡る経験を持つパロアルトネットワークスのエンジニアリングおよびクリティカル レスポンス チームの支援を受けています。

Unit 42の調査で重視する点

私たちの調査では、犯罪者、スパイ、テロリスト、政治的ハッカー、軍関係者などがミッションを達成するために攻撃の順序をどのように組み立てるかを重視しています。 Unit 42のアナリストは、未知の脅威を捕捉し、収集するだけでなく、コード分析によってマルウェアの完全なリバースエンジニアリングも行う専門家です。 Unit 42は、以下を含む脅威や攻撃活動について重要な調査を実施してきたため、国際的に認知されています。

Unit 42のレポート作成頻度は?

新規のリサーチおよび解説をブログで毎週公開しているほか、特定の敵や攻撃についてより詳細な説明が必要な場合は、さらに正式なレポートも発行します。

Unit 42の「攻撃者プレイブック」

「攻撃者プレイブック」は、1組以上の攻撃者に関する実用的なインテリジェンスを含むカスタム製品です。同書には、攻撃の開始および終了日時、戦術、テクニック、および国際的なMITRE ATT&CK標準で定義されている手順(手口)が記載されます。 攻撃者が被害者のネットワークに対してこれらの手口を実行すると、セキュリティ侵害の痕跡が残ります。その後、ネットワークの防御者は、これらの痕跡をもとに、攻撃者を検出することができます。 防御者は、これらの手口や後に見つかるセキュリティ侵害の痕跡に関する情報に基づき、特定の攻撃者向けの防御策や検出制御機能を開発することが可能になります。

ネットワーク防御者のコミュニティは、プレイブックを利用すれば、自動化によってインテリジェンスのパラダイムを転換させることができます。 人手を用いてデータを分析し、防御策や検出制御機能を開発する(インテリジェンスを利用して手動で仕上げを行う)代わりに、情報を整理して機械で読み取れるようにし、各攻撃者に対して防御策や検出制御機能を自動的に展開する(インテリジェンスを利用して自動的に仕上げを行う)ことが可能になります。 「攻撃者プレイブック」はこちらから閲覧できます

私たちが違う点

この業界では、いくつかの優れた調査チームが、大量の新しい資料を毎週発表しています。 私たちはそれらすべてに目を通しており、知見をコミュニティと共有するために多くの時間と労力を費やしている彼らを大変リスペクトしています。

しかしながら、これらのブログやレポートの多くは、攻撃の技術的な側面を主に取り上げており、攻撃が行われる文脈については解説していません。 私たちの目標は、この文脈を可能な限り提供すること、つまり、攻撃の基本情報だけでなく、誰がなぜ攻撃を行っているかについても説明することです。 これを実現するのが、Unit 42の質が高い詳細な調査と「攻撃者プレイブック」です。 以上の脅威インテリジェンス リソースを利用すれば、経営幹部、現場の技術者、その他の主要関係者は、脅威を可視化し、今まで以上にビジネスを脅威から守ることが可能になります。

Unit 42のパートナーシップ

私たちはサイバー脅威アライアンスなどと正式なパートナーシップを結んでいるだけでなく、チーム メンバーと業界の仲間たちとの間で非公式の関係も構築しています。 どのようなインテリジェンス オペレーションでも、攻撃や攻撃活動の全体像の完成度をさらに高めるためには、コラボレーションとデータ共有が不可欠であると私たちは考えています。

サイバー脅威アライアンス

非営利団体のサイバー脅威アライアンスは、サイバーセキュリティ分野の企業や組織の間で高品質のサイバーセキュリティ情報をほぼリアルタイムで共有可能にすることで、世界のデジタル エコシステムのサイバーセキュリティを向上させることを目指しています。

パロアルトネットワークスは、サイバー脅威アライアンスの他のメンバーとの協力を通じ、脅威インテリジェンスの情報を数分以内に世界に向けて公開できるようにり組んでいます。 詳細はこちら

Unit 42への参加

パロアルトネットワークスの採用情報のページ をご覧ください。Unit 42で募集中の職種があれば、掲載されます。

Cybersecurity Canon

Cybersecurity Canonは、企業、政府機関、学界などのあらゆるサイバーセキュリティ関係者にとっての必読書のリストをまとめたものです。その内容は、いつまでも古びることなく、コミュニティの一面を正確かつ的確に表す、最高品質の書籍ばかりです。これらの必読書を読まなければ、一人前のサイバーセキュリティ専門家になることはできないでしょう。 Cybersecurity Canonの殿堂入り書籍リストなどの詳細については、こちらをご覧ください