パロアルトネットワークスは1月16日、記者説明会を開催し、パロアルトネットワークスの脅威インテリジェンス専門チーム「Unit 42」の日本チームが始動・サービス開始すると発表した。

パロアルトネットワークスのリサーチ部門として活動をスタートした専門チーム「Unit 42」とは

Unit 42は、パロアルトネットワークスのリサーチ部門として活動をスタートした専門チーム。200名以上の脅威研究者が在籍し、10年以上に及ぶマルウェア分析と脆弱性研究での実績を持つ。ファイル分析数は1日6000万件に及ぶ。パロアルトネットワークス製品のユーザー8万5000社を中心にテレメトリ情報を収集・分析しており、1日5000億件のイベントをエンドポイント、ネットワーク、クラウドで検出する。年間500件以上のインシデントレスポンス契約件数を持ち、MDR（Managed Detection and Response）や脅威ハンティングなども提供する。

Unit 42 プリンシパルコンサルタント 佐々木 健介氏は、Unit 42のサービスと強みについて、こう説明した。

「2020年からグローバルでコンサルティングサービスも展開している。サービスは大きく、セキュリティインシデントが起こる前に体制整備やセキュリティギャップを埋める支援するプロアクティブサービス、顧客と一緒にセキュリティアラートを見てセキュリティ対策を支援するマネージドサービス、サイバー侵害に対処し再発防止や中長期的な強化案を提案するインシデントレスポンスサービスがある。われわれの強みは、優れたリサーチ力にある。脅威を分析し、企業にとって重要なリスクを見逃さないよう顧客と一緒にリスク低減の投資やそのリターンを検討し、セキュリティ対策を講じていく」（佐々木氏）

生成AIによって攻撃のスケールも拡大

Unit 42ではインシデントレスポンスに関するグローバルレポートを毎年刊行している。 佐々木氏は2025年のレポートをもとに、脅威のトレンドとして、ランサムウェア攻撃の傾向や攻撃の特徴、クラウドやAIを悪用するサイバー攻撃の事例などを解説した。

「サイバー攻撃によってビジネスに影響が生じた割合は86%にも及ぶ。攻撃はより速くなっており、生成AIによって攻撃のスケールも拡大している。また、SaaSを中心にクラウドの専門知識を使った攻撃者が増加している。新たなトレンドとしては、5つ挙げられる。1つめは、攻撃者は従来のランサムウェアや恐喝に加え、意図的に業務を妨害することを目的とした攻撃を仕掛けるようになったこと。2つめは、ソフトウェア・サプライチェーンとクラウドへの攻撃が頻度、巧妙さとともに増していること。3つめは、自動化と合理化されたハッカーツールキットによって侵入スピードが増していること。4つめは、国家が情報を盗み、国家的イニシアティブの資金源にするための攻撃が増していること。5つめは、AIを悪用した攻撃により、規模と速度が増幅していること。AIにより攻撃チェーンのあらゆる段階で攻撃手順が変わってきている」（佐々木氏）

インシデントレスポンスサービスではランサムウェア攻撃との交渉も

続いて、プリンシパルコンサルタント 田中 啓介氏がUnit 42が提供する3つのコンサルティングサービスについて説明した。

「これまで日本ではインシデントレスポンスサービスを中心にサービスを提供してきた。今回新たに日本チームを組織、増員し、新たに日本チームによるプロアクティブサービスを立ち上げた。また、今後、国内でのマネージドサービスの提供も予定している。これら3つのサービスのベースにあるのは、コンサルティング契約となるUnit 42 Retainerだ。一般にRetainer契約は、侵害が起きたあとのインシデントレスポンスに対応するものが多いが、Unit 42のRetainer契約では、コンサルティングや、事前のインシデントレスポンス、デジタルフォレンジック、机上演習によるサイバーリスク軽減、クラウドセキュリティアセスメント、パープルチーム演習などによって、侵害が起きないような対策を講じられることが特徴だ」(田中氏)

Unit 42 Retainerは、プリペイドのクレジットを事前に一括購入し、それらをインシデントレスポンスなどの各種サービスに割り振るかたちで利用する仕組みだ。サービスは「セキュリティ コンサルティング &アドバイザリーサービス」と呼ばれ、「準備体制」「テストと評価」「検出と監視」「インシデントレスポンスと復旧」「セキュリティ戦略と変革」という5つのカテゴリーで構成される。戦略策定からインシデントからの復旧までを一貫してサポートできる。

このうち、インシデントレスポンスサービスでは、サービスの対象とする範囲、深刻度、性質を判断したうえで、専門家がツールを用いて証拠の収集、検出、分析を行い、IoC（侵害の痕跡）、TTP（侵害の戦術、技法、手順）、てかがりを特定。脅威の封じ込めや悪意のある活動に対する24・365での監視、詳細な調査レポートの提供などを行う。

「ランサムウェア攻撃者との交渉も行う。交渉により、暗号化されたデータの復号鍵の取得を目指したり、攻撃者が盗んだと主張する情報の収集を進めたりする。また、交渉により、データ公開を遅らせたり、必要に応じて身代金を支払うことでデータ公開を防止したりする」(田中氏)

また、クラウドセキュリティアセスメントは、脅威情報に基づくアプローチでクラウドセキュリティを改善するサービスだ。パロアルトネットワークスのPrisma Cloudを用いて、クラウド環境からデータを収集し、事業と関連性が特に高い脅威について調査結果を評価。また、脅威の排除に向けてアクションの優先度設定や計画の最適化を行う。

パープルチーム演習は、レッドチームとブルーチーム双方の特徴を持ったチームを組成し、サイバー攻撃演習を行うもの。Unit 42のレッド チームが事前準備したテスト用ホスト上で攻撃を模擬し、Unit 42ブルーチームとクライアントのSOCがセキュリティダッシュボードを用いて攻撃の検出や監視を共同で行う。修復と検出に関する改善やレビューを継続的に実施することも可能だ。

「有事の際の支援と、有事が起きないための支援サービスを、Unit 42 Retainer契約で提供していく。これまでも部分的に提供していたが、今回、日本チームの体制を整えた。日本の顧客にも本格的に提供していく」（田中氏）