XARVIS

AI基盤のサイバー犯罪ビックデータ分析プラットフォームXARVIS(ザ―ビス)はダークウェブ/ディープウェブ/テレグラムの全てのグローバル情報を統合的に把握し検索が可能なモニタリングソリューションです。

製品紹介
XARVIS AI Brief
  • XARVIS AI Brief
  • XARVIS紹介
  • 主な機能
  • DarkCHAT
  • 活用事例
XARVIS AI Brief
フィンランド: グローバル通信会社のデータ漏洩
2024.07.09

フィンランドエスポーに本社を置く通信会社Nが、2024年7月にデータ漏洩を経験しました。この漏洩は脅威行為者888によってBreachForumsで発表されました。この事件により、7,622行の従業員詳細が露出し、個人情報や職業関連情報が含まれています。漏洩されたデータには、名前、職位、連絡先などのさまざまな従業員情報が含まれています。

該当レポートは、リアルタイムでダークウェブを監視するXARVISで毎日検出されたデータのうち、主要な脅威情報に基づいて自動抽出するAIレポートです。
詳細データを確認したい場合は、製品デモを申請してください。

XARVIS

XARVISは、ダークウェブ、テレグラムなどの匿名チャンネルを含む、幅広いディープ・ダークウェブのモニタリングおよびデータ収集ソリューションです。
統合されたウェブモニタリングによって収集されたデータを提供し、特定のサイバー事件のケースと関連する犯罪者に関する情報を収集できます。
また、洗練されたNLPシステムと深い分析により、意味あるインテリジェンスを導き出すことができます。

ダークウェブモニタリングの重要性
XARVISの活用方法
ダークウェブ検索 [Search Engine]

データが散在しているダークウェブを検索できるXARVISのメイン機能で、Googleと類似の検索環境を構築しています。

脅威データリアルタイム収集
リアルタイムで何千ものテレグラムハッキングチャンネルとハッキングフォーラムを監視し、脅威情報を収集します。
収集された膨大な非構造化データから有効な識別子を分類してサーバーに蓄積し、ユーザーは収集されたインテリジェンスを多様に活用して特定の脅威を追跡できます。

グローバルイシューの監視[Search Engine]
グローバルイシューとなるトピックを監視します。 ダークウェブユーザーはダークウェブでグローバルイシューについての見解を明らかにしており、さらに敵対国の主要政府機関、企業のデータを窃取し、ダークウェブハッキングフォーラムまたはテレグラムチャンネルで販売および共有する動きを見せています。 XARVISは、何千ものテレグラムハッキングチャンネルとハッキングフォーラでのグローバルイシューに関連する投稿をリアルタイムで追跡できます。

サーバーアクセス権限の販売監視[Search Engine / Darkweb Trend]
ダークウェブハッキングフォーラムでは、政府機関や企業のデータだけでなく、内部サーバーにアクセスできるアクセス権限(VPN、RDP、Citrixなど)も販売されています。 特定のサーバーへのアクセス権限に関連するキーワードをXARVISに登録すると、リアルタイムで関連データの販売・共有についてお知らせを受け取ることができます。アクセス権限が悪用された場合、内部サーバーの無効化や、ランサムウェア攻撃を行う可能性があります。

テレグラム検索 [Telegram BETA]

ユーザーは、様々なテレグラムチャンネルから収集されたメッセージ、画像、文書を探索できます。
XARVISプラットフォームに統合されたテレグラムチャネルは、ハッキング、麻薬、マルウェア、ハクティビスト活動などに分類されます。

脅威アクターの追跡 [Graph Analyzer]

ダークウェブやテレグラムで活動している一部のハッカーは、特定の国や産業を集中的に攻撃する傾向があります。
ユーザーは彼らが投稿したダークウェブ/テレグラムの投稿をXARVISの「Dark Spider」機能を使って確認することができ、さらにハッカーが残した足跡(ビットコインアドレス、テレグラムID、メールアドレスなど)を追跡して組み合わせることでユーザーを特定できます。

脅威ドメインの監視 [New Threats]

XARVISはダークウェブドメインをリアルタイムで収集し、独自開発した言語モデル「DarkBERT」を活用して収集したドメインの性質(Hacking、Drug、Armsなど)を自動的に分類します。
収集したデータはXARVISに積載されており、ユーザーはドメインの性質フィルタリングを活用し監視が必要なドメインをリアルタイムで確認できます。

DarkCHAT

DarkCHATは、ダークウェブモニタリングソリューションであるXARVISにインストールされたダークウェブコンテンツに特化した生成型AIモデルです。 DarkCHATは、ダークウェブコンテンツに特化した世界初のAI言語モデルDarkBERTに基づいています。
DarkCHATを使用すると、次のような効果が得られます。

1. 犯罪の検出と予防

ダークウェブは違法活動が頻繁に発生する場所ですが、主に構造化されていないコンテンツで構成されています。
ダークウェブに特化したAI言語モデルは、これをより簡単に分析して検出するのに役立ちます。

2. 関心のあるトピックに関する脅威インテリジェンスの獲得

1. 収集したデータに基づいて新しいインテリジェンスを導き出すことができます。
2. 単一のステートメントで目的のデータに簡単にアクセスできます。
3. 目的のデータに関連するS2Wが発行する脅威分析レポートに簡単にアクセスできます。
4. 自動的にユーザープロファイリングを実行します。 これにより、脅威アクターが主に対象とする国と産業を識別できます。
5. 特定の国や産業に関連する脅威情報を取得できます。
6. 脅威要素が使用するビットコインアドレスとそのアドレスが属するソース(取引所に関する情報など)を確認できます。

XARVIS活用事例
Use Case 1
Use Case 2
Use Case 3
Use Case 4
Use Case 5
Use Case 6
Use Case 7
ダークウェブ検索

XARVISは、S2WのAIチームが開発したダークウェブに特化した言語モデル「DarkBERT」を活用して、分野別の脅威情報を分類して提供します。
ハッキングフォーラムにアップロードされた投稿がターゲットとする国や産業を自動的に分析し、国別/産業別のモニタリングが容易になる期待効果があります。 S2Wの人工知能は脅威の程度の水位を計算し、最も危険なコンテンツ順に表示します。

特定の国を選択すると、その国の業界固有の被害の割合を確認でき、国をターゲットとしたトップ5のユーザーと周辺国との被害頻度を確認できます。

テレグラム検索 (beta)

サイバー犯罪は、ダークウェブを超えてテレグラムチャンネル内でも広く行われています。
テレグラム検索機能は、S2Wが収集している様々な犯罪関連テレグラムチャンネルをキーワードベースで検索できるように新たに追加された機能です。

XARVISプラットフォームに統合されたテレグラムチャネルは、通常、ハッキング、麻薬、マルウェア、ハクティビスト活動などに分類されます。

テレグラム検索ボックスで薬物関連の隠語を検索すると、そのキーワードを含む実際のチャットログを確認できます。
これにより、薬物が違法に取引されているテレグラムチャネルと販売ユーザーを特定できます。
これをXARVISのビットコインアドレスなどの他のデータと分析して売人を追跡できます。

* 本機能はBeta版で公開日程は未定。
今後、公開時に機能の追加および削除がある可能性があり、Betaバージョンの配布は24年中に行われる予定

* 本機能はBeta版で公開日程は未定。
今後、公開時に機能の追加および削除がある可能性があり、Betaバージョンの配布は24年中に行われる予定

脅威アクター追跡 #1

XARVISのクロス分析ツールを使用して、脅威アクターを追跡できます。
XARVISは脅威アクターの固有の識別子をリアルタイムで収集し、ユーザーは収集された複数のデータをクロス分析に活用できます。

2022年、グローバルハッキングフォーラム「Breached」でインドネシアを継続的にターゲットにしていたユーザー「Lost_Key」の活動が捉えられました。
XARVISはそのユーザーの仮想通貨アドレスとテレグラムアドレスを収集し、収集された仮想通貨アドレスは世界的な仮想通貨取引所「Binance」所有であることを確認しました。

これにより、XARVISのクロス分析ツールを活用して、調査機関は脅威アクターの身元を特定できます。

脅威アクター追跡 #2

XARVISの脅威分析ツールは、ダークウェブとテレグラムにて複数のIDを活用して活動しているユーザーを追跡できます。

XARVISは、2022年にシンガポールを継続的にターゲットにしていたユーザー「okito」の活動ログをキャプチャしました。 このユーザーは、グローバルハッキングフォーラム「Breached」で活動していたユーザーで、数十以上の投稿に本人のテレグラムアドレスを残しました。

テレグラムアドレス追跡の結果、同じテレグラムアドレスが「ttyper」によって作成された投稿に投稿されていることがわかり、「ttyper」はハッキングフォーラムでアクセスが禁止された形跡を発見しました。

これにより、ハッキングフォーラムで複数のIDを使い回し、使用しているユーザーを継続的に追跡できます。

新規脅威ドメインの特定

XARVISは、日平均約150の新しいダークウェブドメインを収集しています。
S2WのAIチームが開発した言語モデル「DarkBERT」を活用して、収集したドメインを「麻薬」、「金融」、「ハッキング」、「武器販売」などに自動分類しています。

特定の権利を持つ機関は、この機能を介して定期的に脅威サイトを監視できます。
例えば、薬物捜査局は、新規に生成された薬物取引サイト等の情報を取得し、その中で収集されるデータを活用することができます。

グローバルイシューの監視

XARVISでは、ダークウェブでイシューになっているグローバルイシューを監視できます。

ロシアとウクライナの戦争が始まった後、ダークウェブではその戦争についての意見が分かれ、両国の主要な政府機関や企業、市民の個人情報を流通する投稿が頻繁に捉えられました。

同じ脈絡で、イスラエル - パレスチナ戦争の勃発後もロシア‐ウクライナ戦争と同様の傾向が発見されました。

このように、XARVISは特定のトピックを集中的に監視し、関連する違法な取引や有害なコンテンツを確認することができます。

サーバーアクセス権限の販売監視

XARVISでは、特定のキーワードを入力して、特定の国・企業の内部ネットワークアクセス権限の販売と需要状況を監視できます。

1つの例として、韓国の特定の機関の内部サーバーにアクセス可能なアカウント情報の販売に関する投稿がダークウェブにアップされると、その投稿を検知して通知を送信します。
このように漏洩したアカウントはハッカーに悪用され、内部サーバーの無力化やランサムウェア攻撃を実行することができます。

このような状況に迅速に対処し、被害の広がりを防ぐために、定期的なアカウント流出の監視と検出は不可欠です。