AI ベースの脅威インテリジェンス・プラットフォーム Criminal IP は、OpenCTIとの連携を開始しました。 今回の連携により、OpenCTIユーザーは、個別に情報を検索することなく、既存のCTIワークフロー内でCriminal IPの脅威インテリジェンスを直接活用できるようになります。 IOCを単体で管理するだけでなく、関連するインフラ情報やリスク情報など、脅威のコンテキストを含めて分析できる点が本連携の特長です。これにより、セキュリティチームによる調査や判断の効率化を図り、より実用的なCTI運用を支援します。 ■ 脅威インテリジェンスは「コンテキスト」があって初めて価値を持つ サイバー脅威インテリジェンス(CTI)において、インジケーター単体だけでは、十分な判断材料にならないケースが少なくありません。Criminal IP と OpenCTI の連携により、セキュリティチームは IP アドレス・ドメイン・URL といった個別のインジケーターを、OpenCTI のナレッジグラフ内で構造化された実用的なインテリジェンスへと変換できます。 本連携では Criminal IP のレピュテーションスコア、インフラ情報、脆弱性データ、行動シグナル、フィッシング分析結果がインジケーターへ自動付与されます。エンリッチされた情報は OpenCTI のエンティティと関係として構造化されるため、 関連インフラの調査や、高リスクインジケーターの優先順位付けをより効率的に行うことができます。 ■ 主な連携機能 OpenCTI 内で IP アドレスに対する Criminal IP のエンリッチメント結果を表示し、リスクスコアと行動指標を確認できる画面 単純なレピュテーションを超えたコンテキストベースのリスクスコアリング Criminal IP は、インバウンドおよびアウトバウンドの 2 つの観点からリスクスコアを提供します。これにより、特定の IP アドレスがどのように攻撃対象となっているか、また外部に対してどのような挙動を示しているかを多角的に把握できます。従来の単一スコアによるレピュテーション評価と比較して、より詳細な判断材料を提供するため、アナリストは高リスクインフラをより正確に識別し、優先的に対応すべきインジケーターを判断しやすくなります。 Criminal IP の IP インテリジェンスが OpenCTI のエンティティとして構造化され、インジケーター、ネットワーク所有者、地理情報を横断的に分析できる画面 グラフ上で可視化される高度なインフラ分析情報 Criminal IP のエンリッチメントは、単にインジケーターへタグを付与するだけではありません。脆弱性(CVE)、Autonomous System(ISP)、地理情報などを含む OpenCTI のエンティティと関係を構造化します。これにより、アナリストはグラフ上でインフラを横断的に分析し、共通する構成要素や関連インフラを把握することが可能になります。 公開サービスと脆弱性の相関分析 観測されたサービス情報を既知の CVE と関連付けることで、本連携は潜在的な攻撃対象領域に関する即時の洞察を提供します。アナリストは、対象 IP が単に悪性であるかどうかだけでなく、実際に悪用可能な状態にあるか、また攻撃で利用されている可能性があるかを迅速に評価できます。 高精度な脅威ラベリングと行動シグナル 自動生成されるラベルには、VPN、プロキシ、Tor などの匿名化技術、ホスティング特性、悪性分類といった複数のデータポイントが反映されます。この多層的なラベリングにより、「悪性/正常」といった二分法にとどまらない、より豊富な脅威コンテキストを提供します。 高度なドメイン分析とフィッシング検知 ドメインに対しては、Criminal IP が URL 全体を分析し、フィッシング活動、認証情報の窃取、不審なファイル、なりすまし手法などを検知します。また、信頼度スコアはフィッシングの可能性と直接結び付けられており、アナリストはリスクを定量的に評価できます。 インフラストラクチャーマッピングと分析支援 本連携では、インジケーターをネットワーク所有者(Autonomous System)、物理的な位置情報、解決された IP インフラと関連付けます。これにより、セキュリティチームは複数のインジケーターにまたがるホスティング傾向、地域的な集中、インフラパターンを把握できます。 ■ 連携の仕組み IP アドレス、ドメイン、URL などのインジケーターが OpenCTI に取り込まれる Criminal IP コネクターが各インジケーターに対し、レピュテーションスコア、インフラ情報、脆弱性情報、行動シグナル、