コンテンツにスキップ

ダークウェブインテリジェンス🔗

ダークウェブインテリジェンスページでは、お客様の設定済みドメインに基づいて収集したすべての漏洩データを調査できます。IDR概要で説明されているように、アクティブなIDに対してのみ検出結果を生成しますが、お客様のドメインに関連する過去のデータも収集・保持しています。

ダークウェブインテリジェンス

ダークウェブインテリジェンスページへのアクセス🔗

Taegis Menuからダークウェブインテリジェンスページにアクセスすると、テーブルはデフォルトでアクティブな漏洩ステータスおよびアクティブなIDステータスでフィルタリングされます。

または、IDリスク体制の概要にある認証情報漏洩ウィジェット内のメトリクスを選択することもできます。クリックしたメトリクスに応じて、以下のフィルターが適用された状態でダークウェブインテリジェンスページに遷移します。

  • Sourcesアクティブな漏洩ステータスでフィルタリングされたダークウェブインテリジェンスページに遷移します。
  • Plaintext Passwords:パスワードタイプがプレーンテキストかつアクティブな漏洩ステータスでフィルタリングされたページに遷移します。
  • Hashed Passwords:パスワードタイプがハッシュかつアクティブな漏洩ステータスでフィルタリングされたページに遷移します。
  • Emailsアクティブな漏洩ステータスでフィルタリングされたページに遷移します。
  • Unique Passwordsアクティブな漏洩ステータスでフィルタリングされたページに遷移します。
  • Admin Emails:管理者アカウントかつアクティブな漏洩ステータスでフィルタリングされたページに遷移します。

注意

EmailsおよびUnique Passwordsは、基礎データの全体的なメトリクスであり、これらには個別のフィルターはありません。

ダークウェブインテリジェンスのメトリクス🔗

ページ上部のメトリクスは、認証情報漏洩ウィジェットに含まれるものと同じです。表示されるメトリクスはアクティブな漏洩に関するものです。

ダークウェブインテリジェンスのメトリクス

漏洩がアクティブと見なされるのは、以下のシナリオです。

  • 設定済みIDプロバイダー内にアクティブなIDが存在し、関連アカウントのlast_password_change時刻が最初の漏洩日より前である場合。

注意

漏洩レコードに一致するIDが存在しない場合、これらは非アクティブと見なされます。これらのレコードは、削除済みや使用されていない古いユーザーやアカウントに関連していることが多いです。

メトリクスの定義🔗

  • Sources — お客様のドメインに関するデータが確認されたアクティブな一意の漏洩ソース数。
  • Plaintext Passwords — 漏洩データ内でプレーンテキストパスワードが特定されたアクティブな漏洩数。
  • Hashed Passwords — 漏洩データ内でハッシュパスワードが発見されたアクティブな漏洩数。
  • Emails — 漏洩データ内で確認されたアクティブな一意のメールアカウント数。
  • Admin Emails — 漏洩データ内で確認されたアクティブ管理者アカウント数。
  • Unique Passwords — 漏洩データ内で確認されたアクティブな一意のパスワード数。

漏洩データの調査🔗

リンクされたユーザー情報や漏洩レコードに関する情報を含む複数のフィルターを組み合わせてデータを調査できます。また、データを並べ替えるために利用できる複数のタイムスタンプがあります。

  • Publish Date — レコードがデータセットで最初に発見された日
  • Leaked Date — レコードが公開された日
  • Breach Date — 侵害が発生した日(必ずしも利用可能とは限りません)

注意

同じユーザーに対する複数のレコードが1つの漏洩に存在する場合があります。これは、データがGenericな漏洩ソース(例:combolists)内で特定された場合や、ユーザーがデータセット内に複数回出現した場合に発生します。そのため、同じ漏洩ソース内で同一ユーザーの複数レコードが表示されることがあります。

漏洩ステータス🔗

ダークウェブインテリジェンスページの漏洩には、主に2つのステータス(アクティブ非アクティブ)があります。

アクティブ🔗

一致するIDが存在し、関連IDのlast_password_change時刻が最初の漏洩日より前である場合、漏洩はアクティブと見なされます。

非アクティブ🔗

以下のいずれかの場合、漏洩は非アクティブとマークされます。

  • 設定済みIDプロバイダー内に関連付け可能な一致するIDが存在しない。
  • last_password_change時刻が漏洩日より後である。
  • アカウントのパスワードが最近変更された。
  • アカウントが無効化または削除された。
  • 関連する発見事項が解決または却下された。

漏洩詳細の表示🔗

ソースフィールドを選択すると、漏洩パネルが開き、漏洩の詳細や利用可能な場合はリンクされたIDに関する情報が表示されます。

漏洩詳細

アクションの実行🔗

ID関連の対応アクションが設定されている場合、テーブルまたは漏洩詳細からリンクされたIDに対して対応アクションを実行できます。

  1. アクションを選択します。
  2. 実行したい対応アクションを選択します。
  3. 指示に従って進めます。

注意

一致するIDが見つからない場合、アクションボタンは無効になります。

よくある質問🔗

漏洩した認証情報のチェック頻度はどのくらいですか?

常時監視および漏洩結果の収集を行っています。アクティブな漏洩が特定された場合、通常15分以内に発見事項が作成されます。

アカウント侵害の発見事項はどのように生成されますか?

これらが対応可能なものであることを保証するため、収集・分析しているデータを相関・検証するための複数の処理ステップを実施しています。

  1. 設定済みIDプロバイダー内にアクティブなIDが存在することを確認します。
  2. 利用可能な過去データに基づき、プレーンテキストパスワードまたはハッシュが最初に漏洩した時期を特定します。これは、新たに公開されたcombolistに過去の侵害データが含まれていることが多いため重要です。
  3. プレーンテキストパスワード値の場合、Microsoft Entra IDのグローバルパスワード複雑性要件と比較し、無効な値を除外します。
  4. 最後に、パスワードのfirst_leaked_dateとIDのlast_password_change_timeを比較します。漏洩がlast_password_change_time以降に初めて発生した場合、発見事項を生成します。

注意

アカウント侵害の発見事項はアクティブなIDに対してのみ生成されます。ただし、ダークウェブインテリジェンスページでは生データを引き続き確認できます。

アカウント侵害の発見事項のリスクレベルはどのように決定されますか?

発見事項を生成すべきと判断した場合、関連アカウントにMFAが有効かどうか、その強度を確認します。以下は、ユーザータイプ、漏洩タイプ、MFA構成に基づくリスクレベルです。

アカウントタイプ パスワードタイプ MFAなし MFA有効 フィッシング耐性MFA有効
管理者アカウント プレーンテキスト 重大
管理者アカウント ハッシュ
非管理者アカウント プレーンテキスト
非管理者アカウント ハッシュ
ハッシュやパスワードを収集・保存していますか?

いいえ、プレーンテキストパスワードやハッシュ値は一切保存していません。また、IDプロバイダーからこれらを取得することもできません。データのスキャン・収集時には、観測された値にカスタムハッシュを適用し、レコードをプレーンテキストまたはハッシュパスワードとして分類します。これにより、パスワードの一意性を判定し、基礎となるパスワード値を保持せずにメトリクスを算出できます。

漏洩した認証情報の監視対象ドメイン数に制限はありますか?

Entra IDインテグレーションで特定されたドメインから任意の数を選択できます。

ダークウェブインテリジェンス監視で使用されるデータは何ですか?

使用しているデータセットは過去6年間に遡り、さまざまなダークウェブマーケットプレイス(例:Russian Marketplace、Genesis market)、TORサイト、公開・非公開のTelegramチャンネル、stealerログファイルを含みます。

VIP監視はどのように機能しますか?

VIP監視のためにユーザーを設定すると、過去1年間に漏洩した追加のユーザー属性についてダークウェブおよびオープンウェブを監視します。単一の漏洩で複数のフィールドが露出している場合、以下のようにVIP露出の発見事項を作成します。

発見事項 露出フィールド
MFAバイパスリスクを伴うVIP認証情報露出 メールアドレス、パスワード、電話番号
多層攻撃リスクを伴うVIP認証情報露出 メールアドレス、パスワード、電話番号、生年月日
リカバリーバイパスリスクを伴うVIP認証情報露出 メールアドレス、パスワード、生年月日

注意

VIP監視は個人向けID監視ソリューションの代替を目的としたものではありません。これらのサービスは通常、機微なPII監視や個人情報が発見された際の通知を含みます。VIP監視は、ビジネス関連の漏洩や、個人メール・電話番号・SNSアカウントを標的とした攻撃、バイパスタイプの攻撃を可能にする可能性のあるキャンペーンの特定に焦点を当てています。