RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

Day 72 脅威プロファイリング - Step 3: MOMからIPRへ Threat Profiling - Step 3:From MOM to IPR

»

脅威プロファイリング - Step 3: MOMからIPR

前提知識: 脅威モデリングの基礎知識(必要に応じて Day 68 からお読みください)

少しずつ、専門的で分かりにくくなってきたかもしれません。それでも、どうか一緒にこの旅を続けてほしい。伝えたい本質は、最初から変わっていません。

やみくもに守っても、意味はない。

大切なのは、何を守るのかを見極め、どう守るかを戦略的に考えること。

そのためには、自分たちを知り、相手を知り、そして、ひとりではなく、仲間とともに立つことが必要です。

古くから語られてきたように、「己を知り、敵を知る」だけでは足りません。信じ合える仲間をつくり、ともに戦う覚悟があって、はじめて守りは力になります。

このブログは、もしかするとこれからの日本のサイバーセキュリティをともに育てていく仲間に向けた、モールス信号なのかもしれません。

分かりにくい。読みにくい。途中で立ち止まりたくなる。

それでも、ここに流れているメッセージは、ただ一つです。

共に守ろう。

この先も、あなたと一緒に。

u5292553157_httpss.mj.runo5kULFJotC0_Use_this_image_and_modif_42fd37b3-412e-42b8-84fd-e942bcc58879_2.pngMOMだけでは不十分な理由

これまでに、私たちは 2つのことを行ってきました。

Step 1(Day 70)
誰が攻撃者なのかを特定しました。

Step 2(Day 71)
その攻撃者が、この資産を「攻撃する価値がある」と見なすのかMOM を使って問い直しました。

  • Motive(動機)
     なぜ、彼らは行動するのか

  • Opportunity(機会)
     いつ、どのような条件で行動できるのか

  • Means(手段)
     どのように実行するのか
     -そしてこの「手段」は、AIによってますます増幅されています

MOMは、攻撃者の頭の中で何が起きているのかを理解するための枠組みです。

しかし、ここで 1つの重要な問い が残ります。

この脅威は、本当に私たちが気にするべきものなのか。

それとも、理論上は成り立つが、現実にはほとんど起こらない「ノイズ」なのか。

この問いに答えるのが、IRP です。

MOMが
「攻撃者は、やる気があるか?」
を問うものだとすれば、

IRPは
「それは、現実に起こり得るのか?」
を見極めるための道具です。

次は、その判断をどう下すのかを見ていきましょう。Step 3では、攻撃者の思考を防御の優先順位に変換します。

変換の対応関係

MOM(攻撃者の視点) から IPR(防御者の視点) へ:

  • Motive(動機)Intent(意図) -- 彼らは何を達成しようとしているか?
  • Opportunity(機会)Precedence(前例) -- これは実際に以前発生したことがあるか?
  • Means(手段)Resources(資源) -- 彼らはどれだけ投資できるか?

MOMは攻撃を説明します。
IPRは何を防御すべきか、そしていくら費やすべきかを教えてくれます。

IPRの説明

1. Intent(意図) - 彼らはどのような結果を求めているか?

Motive(動機) は攻撃者がなぜ行動するかを説明します。
Intent(意図) は彼らが達成しようとしている結果を定義します。

異なる意図には全く異なる防御が必要です。

一般的な意図のタイプ

①データ窃取

目標: 認証情報、個人データ、知的財産の窃取

防御: 暗号化、アクセス制御、データ損失防止

AIの影響: 自動化された発見と大規模抽出 (Kalejaiye, 2024)

サービス妨害

目標: システムをオフラインにする

防御: 冗長性、レート制限、DDoS保護、

③長期監視

目標: 隠れたまま観察し続ける

防御: 異常検知、詳細なログ分析

④ 金銭的搾取

目標: 金銭の窃取または身代金要求

防御: 取引監視、オフラインバックアップ

AIの影響: ディープフェイク詐欺 (CNN Business, 2024; Bateman, 2022)、自動化されたランサムウェア交渉

評判の損傷

目標: 信頼を破壊する

防御: インシデント対応の準備、透明性

⑥ AIモデルの窃取または汚染(新興)

目標: AIシステムの窃取または破壊

防御: モデルアクセス制御、データ検証

重要なポイント:

暗号化はデータ窃取に対して有効です。
バックアップはランサムウェアに対して有効です。
どちらも評判攻撃には役立ちません。

意図によって、どの制御が重要かがわかります。

参考: Clarkeの25の状況的犯罪予防技法 (Clarke, 1995; Cornish & Clarke, 2003)

2. Precedence(前例) - これは実際に以前発生したことがあるか?

Opportunity(機会) は、次の問いかけをすることで Precedence(前例) になります。

この攻撃パターンは現実世界で既に成功したことがあるか?

犯罪学には有名な法則があります:

一度攻撃を受けると、ターゲットリストに永久に残る (Farrell & Pease, 1993)。

なぜか?

  • 攻撃者はあなたの弱点を知っている
  • あなたの組織は既に彼らのデータベースに入っている
  • あなたは投資収益率を証明している
前例レベル(高・中・低)

高い前例 (年間100件以上のインシデント) → 今すぐ行動 (30〜90日)
例: 医療機関へのランサムウェア(2024年に500件以上のインシデント; Verizon DBIR, 2025)

中程度の前例 (10〜99件のインシデント) → 監視と防御のパイロット実施 (6〜12ヶ月)
例: 中規模製造業へのサプライチェーン攻撃 (Mandiant, 2021)

低い前例 (10件未満のインシデント) → 研究と小規模実験 (12〜24ヶ月)
例: 本番環境でのAIモデル汚染

前例は時間とともに変化します。昨日まで稀だったものが一夜にして一般的になる可能性があります。

データソース: MITRE ATT&CK(四半期ごと)、Verizon DBIR(年次)、CISAアラート(必要に応じて)、脅威インテリジェンスフィード(CrowdStrike、Mandiant)、ISAC/ISAOレポート。

3. Resources(資源) - 攻撃者はどれだけ投資できるか?

Means(手段) は攻撃がどのように発生するかを説明します。
Resources(資源) は攻撃者がどれだけ費やせるか 。 時間、金銭、スキル を説明します (Bruijne et al., 2017; Ganin et al., 2020)。

3つの資源階層

Tier 1 低資源 (無料から数十万円まで)

スクリプトキディ、日和見的犯罪者が該当します。無料ツールと自動化を使用します (Kaspersky, 2020)。

防御: パッチ適用、MFA、基本的な監視
コスト: ユーザーあたり月額数千円程度
結果: より簡単なターゲットに移動する

Tier 2 中資源 (およそ数百万円から数千万円規模)

ランサムウェアギャング、プロの犯罪者が該当します。有料アクセス、カスタムマルウェアを使用します (Mavroeidis et al., 2021)。

防御: SOC、セグメンテーション、脅威ハンティング
コスト: ユーザーあたり月額数万円規模
例:Colonial Pipelineへの攻撃では、攻撃者はおよそ 750万円〜1,500万円 の費用をかけ、約6億6,000万円 を手に入れた。(1ドル=約150円換算)

Tier 3 高資源 (数億円規模以上)

国家、エリートAPTが該当します (Mavroeidis et al., 2021)。ゼロデイ、サプライチェーン攻撃を使用します (Mandiant, 2021)。

防御哲学: 侵害を前提とし、回復力を構築する (NIST SP 800-207, 2020)
コスト: ユーザーあたり月額数万円以上
例:SolarWinds侵害。ロシアの対外情報機関(SVR)は、18か月以上をかけ、
約1,500万〜7,500万円を投入した。( 1ドル=約150円換算)

防御投資: 現実に合わせる

防御支出は前例と攻撃者の資源の組み合わせで決まります。

高い「前例」「資源」の脅威:

低資源の場合、基本的な衛生管理(ユーザーあたり約1,500円〜7,500円前後)で約90%を阻止できます。中資源の場合、強力な運用防御(ユーザーあたり約1万5,000円〜3万円前後)が必要です。高資源の場合、高度な検知と回復力(ユーザーあたり少なくとも7〜8万円以上)が必要です。(1ドル=約150円換算)

中程度および低い「前例」「資源」の脅威:

脅威に応じて、私たちは規模を落とします。監視だけにとどめる。小さく試す。あるいは、あえて何もしない

「無視する?」そう聞くと、不安になるのは当然です。

すべてを守らなければならないのではないか。
守れるはずなのに、なぜ守らないのか。

その思いは、とても人間的です。そして同時に、それが私たちを内側からむしばんでいく原因でもあります。

現実は厳しい。すべてを守ることはできない。

だからこそ必要なのは、恐怖や理想に引きずられることではなく、
現実を直視し、選び取ること。

何を守り、
何を見送り、
どこに力を集中させるのか。

戦略的に守るということは、 万能を手放し、それでも守ると覚悟することです。

無力さを直視し、それでも逃げずに守ると決めることです。

万能を手放した先にしか、本当の防御はありません。

それは諦めではありません。それは、守るための覚悟です。

IPR 判断の目安(クイックチップ)

急ぐべきとき、待つべきとき、見送るとき。

IPRは、その境界線を教えてくれます。

意図が高く、先例も多い
→ 今すぐ動く

意図は高いが、先例は少ない
→ 見張り、試す

意図が低い
→ 優先度を下げる

先例がほとんどない
→ 知として蓄える

大切な注意点

大きな攻撃者を想定するあまり、守りを必要以上に重くしすぎないでください。

多くの場合、基本的な管理や日常の対策だけで、かなりの攻撃は防げます。

高度で複雑な仕組みを先に作るより、まずは当たり前のことを、きちんと、続けること。それだけで、多くの攻撃者は別の標的へ向かいます。

過剰な防御は、安心を与えるようでいて、現場を疲れさせてしまうこともあります。

大切なのは、ちょうどよい守りを、長く続けること。

守りは、重さではなく、現実に合っているかどうかなのです。

また、多くの場合、攻撃者は経済的にとても現実的です。あなたを攻撃するための手間や費用が、得られる価値を下回ると判断すれば、行動に移ります。

だからこそ、守りによって「割に合わない相手」になることは、とても有効です。

ただし、すべての攻撃者が同じではありません。

国家が関与する攻撃や、信念にもとづいて動く人たちの場合、お金の損得よりも、政治的な目的が優先されることがあります。そのときは、通常の経済的な考え方だけでは説明できません。

相手が誰なのか。
何を目的にしているのか。

それを見極めることが、
守りの出発点になります。

やってみてください

最も重要なシステムについて:

  • 上位2つの脅威アクターを特定 (Day 70から)
  • それぞれのMOMを分析 (Day 71から)
  • IPRに変換:
    1. Intent(意図): 6つのカテゴリーのうちどれか?
    2. Precedence(前例): 高/中/低の文書化されたインシデント?
    3. Resources(資源): Tier 1/2/3?
  • 防御が現実と一致しているか確認

そのギャップがあなたの真のリスクです。

次のステップに進みましょう。
簡単ではありません。
けれど、ここからが本質です。

もう少しだけ、一緒に進んでください。

――――

Threat Profiling - Step 3:From MOM to IPR

Prerequisite: Basic familiarity with threat modeling (start with Day 68 if needed)

Why MOM Alone Is Not Enough

u5292553157_httpss.mj.runo5kULFJotC0_Use_this_image_and_modif_42fd37b3-412e-42b8-84fd-e942bcc58879_2.pngSo far, we've done two things:

  • Step 1 (Day 70): Identified who the attacker is
  • Step 2 (Day 71): Asked whether that attacker sees this asset as worth attacking, using MOM
    • Motive -- why they act
    • Opportunity -- when and how they can act
    • Means -- how they execute, increasingly amplified by AI

MOM helps us understand how attackers think.

But one critical question remains:

Should I actually care about this threat -- or is it just theoretical noise?

That's what IPR answers.

In Step 3, we translate attacker thinking into defense priorities.

The Translation

MOM (Attacker View)

IPR (Defender View)

Motive

Intent (What are they trying to achieve?)

Opportunity

Precedence (Has this actually happened before?)

Means

Resources (How much can they invest?)

MOM explains attacks.
IPR tells us what to defend -- and how much to spend.

IPR Explained

  1. Intent -- What Outcome Do They Want?

Motive explains why an attacker acts.
Intent defines the result they are trying to achieve.

Different intents require completely different defenses.

Common Intent Types

  • Data theft
    Goal: Steal credentials, personal data, IP
    Defense: Encryption, access control, data loss prevention
    AI effect: Automated discovery and large-scale extraction (Kalejaiye, 2024)
  • Service disruption
    Goal: Take systems offline
    Defense: Redundancy, rate limiting, DDoS protection
  • Long-term surveillance
    Goal: Stay hidden and observe
    Defense: Anomaly detection, deep log analysis
  • Financial exploitation
    Goal: Steal money or demand ransom
    Defense: Transaction monitoring, offline backups
    AI effect: Deepfake fraud (CNN Business, 2024; Bateman, 2022), automated ransomware negotiation
  • Reputation damage
    Goal: Destroy trust
    Defense: Incident response readiness, transparency
  • AI model theft or poisoning (emerging)
    Goal: Steal or corrupt AI systems
    Defense: Model access controls, data validation

Key point:
Encryption helps against data theft.
Backups help against ransomware.
Neither helps against reputation attacks.

Intent tells you which controls matter.

Reference: Clarke's 25 situational crime prevention techniques (Clarke, 1995; Cornish & Clarke, 2003).

  1. Precedence -- Has This Actually Happened Before?

Opportunity becomes precedence when we ask:

Has this attack pattern already succeeded in the real world?

There's a well-known rule in criminology:

Once you've been attacked, you stay on the target list (Farrell & Pease, 1993).

Why?

  • Attackers know your weaknesses
  • Your organization is already in their databases
  • You've proven return on investment

Precedence Levels

  • High precedence (100+ incidents/year)
    → Act now (30-90 days)
    Example:Ransomware in healthcare (500+ incidents in 2024; Verizon DBIR, 2025)
  • Medium precedence (10-99 incidents)
    → Monitor and pilot defenses (6-12 months)

Example: Supply chain attacks on mid-sized manufacturing (Mandiant, 2021)

  • Low precedence (<10 incidents)
    → Research and small experiments (12-24 months)

Precedence changes over time.
What was rare yesterday can become common overnight.

Data sources: MITRE ATT&CK (quarterly), Verizon DBIR (annual), CISA Alerts (as-needed), threat intel feeds (CrowdStrike, Mandiant), ISAC/ISAO reports.

  1. Resources -- How Much Can the Attacker Invest?

Means describe how attacks happen.
Resources describe how much attackers can spend -- time, money, skill (Bruijne et al., 2017; Ganin et al., 2020).

Three Resource Tiers

Tier 1 -- Low resources ($0-$5K)

  • Script kiddies, opportunistic criminals
  • Free tools, automation (Kaspersky, 2020)
  • Defense:Patch, MFA, basic monitoring
  • Cost:$10-50 per user/month
  • Result:They move on to easier targets

Tier 2 -- Medium resources ($10K-$500K)

  • Ransomware gangs, professional criminals
  • Paid access, custom malware (Mavroeidis et al., 2021)
  • Defense:SOC, segmentation, threat hunting
  • Cost:$100-200 per user/month
  • Example:Colonial Pipeline attackers spent ~$50K-100K for $4.4M return

Tier 3 -- High resources (Millions+)

  • Nation-states, elite APTs (Mavroeidis et al., 2021)
  • Zero-days, supply-chain attacks (Mandiant, 2021)
  • Defense philosophy:Assume breach, build resilience (NIST SP 800-207, 2020)
  • Cost:$500+ per user/month
  • Example:SolarWinds breach -- Russian SVR spent $10M-50M over 18+ months

Defense Investment: Matching Reality

Your defense spending should match precedence + attacker resources.

High-precedence threats

  • Low resources:
    Basic hygiene ($10-50/user) stops ~90%
  • Medium resources:
    Strong operational defenses ($100-200/user)
  • High resources:
    Advanced detection and resilience ($500+/user)

Medium & low precedence threats

Scale down accordingly:

  • Monitoring only
  • Small pilots
  • Or deliberately ignore

Critical warning:
Do not over-engineer defenses against mass attackers. Basic hygiene already defeats most of them.

The IPR Rule of Thumb

  • High intent + high precedence → Act now
  • High intent + low precedence → Watch and pilot
  • Low intent → Low priority
  • Very low precedence → Research only

Attackers are usually economically rational. If attacking you costs more than it's worth, they move on. However, nation-states and hacktivists aren't always profit-driven. Political motives override economic logic.

To the Next Step

For your most critical system:

  1. Identify top 2 threat actors (from Day 70)
  2. Analyze MOM for each (from Day 71)
  3. Translate to IPR:
    • Intent: Which of the 6 categories?
    • Precedence: High/Medium/Low documented incidents?
    • Resources: Tier 1/2/3?
  4. Check whether your defenses match reality

That gap is your real risk.

Now is the time to move onto the next steps.

--------

References

  1. Abou El Houda, Z. (2024). "Cyber Threat Actors Review: Examining the Tactics and Motivations of Adversaries in the Cyber Landscape." In Cyber Security for Next-Generation Computing Technologies. Taylor & Francis. DOI: 10.1201/9781003404361-5
  2. Ahmad, J., Salman, W., Amin, M., Ali, Z., & Khan, M. A. (2024). "A Survey on Enhanced Approaches for Cyber Security Challenges Based on Deep Fake Technology in Computing Networks." Spectrum of Engineering Sciences, 2(2), 45-67.
  3. Bateman, J. (2022). Deepfakes and Synthetic Media in the Financial System: Assessing Threat Scenarios. Carnegie Endowment for International Peace.
  4. Bodeau, D. J., McCollum, C. D., & Fox, D. B. (2018). Cyber Threat Modeling: Survey, Assessment, and Representative Framework (Technical Report MITRE-18-0036). MITRE Corporation.
  5. Bruijne, M., Eeten, M., Gañán, C. H., & Pieters, W. (2017). Towards a New Cyber Threat Actor Typology. WODC Research Repository.
  6. Chaganti, K. (2024). "Adversarial Attacks on AI-driven Cybersecurity Systems: A Taxonomy and Defense Strategies." TechRxiv Preprints. DOI: 10.36227/techrxiv.173337458.83217089
  7. Clarke, R. V. (1995). "Situational Crime Prevention." Crime and Justice, 19, 91-150. DOI: 10.1086/449230
  8. CNN Business. (2024, February 4). "Finance Worker Pays Out $25 Million After Video Call with Deepfake 'Chief Financial Officer'."
  9. Cohen, L. E., & Felson, M. (1979). "Social Change and Crime Rate Trends: A Routine Activity Approach." American Sociological Review, 44(4), 588-608. DOI: 10.2307/2094589
  10. Cornish, D. B., & Clarke, R. V. (1987). "Understanding Crime Displacement: An Application of Rational Choice Theory." Criminology, 25(4), 933-948. DOI: 10.1111/j.1745-9125.1987.tb00826.x
  11. Cornish, D. B., & Clarke, R. V. (2003). "Opportunities, Precipitators and Criminal Decisions: A Reply to Wortley's Critique of Situational Crime Prevention." Crime Prevention Studies, 16, 41-96.
  12. Farrell, G., & Pease, K. (1993). Once Bitten, Twice Bitten: Repeat Victimisation and its Implications for Crime Prevention. Crime Prevention Unit Paper 46. Home Office, London.
  13. Felson, M., & Clarke, R. V. (1998). Opportunity Makes the Thief: Practical Theory for Crime Prevention. Police Research Series, Paper 98. Home Office, London.
  14. Ganin, A. A., Quach, P., Panwar, M., Collier, Z. A., Keisler, J. M., Marchese, D., & Linkov, I. (2020). "Multicriteria Decision Framework for Cybersecurity Risk Assessment and Management." Risk Analysis, 40(1), 183-199. DOI: 10.1111/risa.12891
  15. Kalejaiye, A. N. (2024). "Adversarial Machine Learning for Robust Cybersecurity: Strengthening Deep Neural Architectures Against Evasion, Poisoning, and Model-Inference Attacks." International Journal of Computer Applications Technology and Research, 13(5), 234-256.
  16. Kaspersky. (2020). "Financial Cyberthreats in 2020." Kaspersky Security Bulletin.
  17. Malatji, M., & Tolah, A. (2024). "Artificial Intelligence (AI) Cybersecurity Dimensions: A Comprehensive Framework for Understanding Adversarial and Offensive AI." AI and Ethics. DOI: 10.1007/s43681-024-00427-4
  18. Mandiant. (2021). "M-Trends 2021: SolarWinds Supply Chain Attack." Mandiant Threat Intelligence Report.
  19. Mavroeidis, V., Hohimer, R., & Casey, T. (2021). "Threat Actor Type Inference and Characterization Within Cyber Threat Intelligence." 2021 13th International Conference on Cyber Conflict (CyCon), 1-18. IEEE. DOI: 10.1109/CyCon51956.2021.9468305
  20. NIST. (2018). "Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1." National Institute of Standards and Technology. DOI: 10.6028/NIST.CSWP.04162018
  21. NIST. (2020). "Zero Trust Architecture." NIST Special Publication 800-207. DOI: 10.6028/NIST.SP.800-207
  22. Syed, S. A. (2025). "Adversarial AI and Cybersecurity: Defending Against AI-Powered Cyber Threats." Iconic Research and Engineering Journals, 8(7), 245-267.
  23. Verizon. (2025). 2025 Data Breach Investigations Report (DBIR).

蓮見祥子 2026/01/09 05:11:15 Comment(0)

コメント

コメントを投稿する