サイバー脅威主体を理解するための必要な知識(前編)

kazuo

投稿者:ASERT Japan名誉アドバイザー名和 利男

最近、サイバー空間からもたらされる様々な脅威(サイバー脅威)に対して、組織の上層部や各部門の責任者は、ようやく関心を示そうとする様子が伺える。しかし、サイバー空間の基盤技術である「情報通信技術」や、それに基づいて発展してきた「インターネット」の本質を理解しないまま向き合おうしているため、組織の上層部は、現場が求めているものから大きく乖離した方針を打ち出している状況が見られる。

そこで、簡単であるが、インターネットの起源からその発展に至るまでの経緯を前編と後編に分けて紹介したいと思う。

冷戦時代の科学技術の過度な進展から生まれたインターネットの基本的概念

1957年、ソ連が、冷戦相手の米国に先駆けてスプートニク(Спутник)と言われる世界初の人工衛星が打ち上げ、地球を回る軌道に乗せることに成功した。この衛星が、ソ連の弾道ミサイルの打ち上げ用に開発されたこともあり、米国において、スプートニク・クライシス(Sputnik Crisis)と呼ばれる強い衝撃や危機感が発生し、科学技術における米国の劣勢が浮き彫りになった。その対策の1つとして、国防総省高等研究計画局(Defense Advanced Research Projects Agency; 以下DARPA)が発足した。

ところが、1961年、米国のユタ州において3カ所の電話中継基地が爆破されるテロが発生し、国防総省の軍用電話回線が一時完全に停止した。これを受けて、国防総省は電話回線に依存した指揮命令系統の途絶を致命的な欠陥とみなし、核戦争時にも有用な指揮統制系統に関する研究開発を(上述の)DARPAが担当し、1967年、現在のインターネットの起源となるアーパネット(ARPANET)の基本的仕様 を固めた。この基本的仕様は、現在のインターネットにおいて、次のように発展している。

米国に比べて狭い国土の日本では、防衛のための指揮命令系統は、短波無線や多重無線が活用できるため、電話回線に過度に依存することはないが、広大な国土を持つ米国 では、このような「計算機能力を分割利用するための計算機ネットワーク」という別の通信システムを構築する必要があったと言える。

この通信システムは、DARPAの「民間の科学者と技術者の発想を妨げない」という配慮から、民間委託する形で研究開発が進められたが、当初から民間への移行が計画されていたため、完了時に民間に移転された。これが、現在のインターネットの始まりである。 

人間の「欲」で発展したインターネットと情報通信技術

筆者は、民間に移転された後のインターネットと情報通信技術は、一言でいうと、人間の「欲」により発展と普及したといっても過言ではないと捉えている。もちろん、民間の科学者と技術者がインターネットを積極的に利用して、素晴らしい研究成果や新しい技術が生まれるようになったが、インターネットのインフラや情報通信技術が飛躍的に向上したのは、それに対する合理的な必要性があったからである。

インターネットは、自由に様々な情報を流通させることができる環境を与えたが、それに便乗して、ポルノ情報やソフトウェアの違法コピー等も氾濫した。これらの多くは、文字データに比べて極端に大きい写真・動画やプログラムであるため、流布および入手しようとする一部のユーザのデータ通信のトラフィック量が増大し、ネットワークの輻輳状態が発生するようになった。しかし、通信の秘密という制約がある中、すぐに抜本的な解決策を施すことができなく、かつ、通信事業者間のユーザ獲得競争の都合もあり、通信事業者はやむを得ずに通信網増大を行うことになった。一方、営利目的でコンテンツを提供する個人や事業者は、通信回線の細いネットワークへの対応のための圧縮技術や、知的財産を保護するための暗号技術を発展させた。

このようなインターネットと情報通信技術の発展により、ユーザが加速度的に増加した。そして、インターネット上で完結するビジネスとして、低コストで高収益を得る成功モデルが出現するや否や、様々なニーズに応えるインターネットや情報通信技術を利活用したサービスや製品が次々に提供されるようになった。これらが、様々な事業分野において「業務の合理化・効率化」に役立つツールとして、積極的に利活用されるようになっていったのである。

残念ながら、この役立つツールとしてのインターネットと情報通信技術は、一部の悪意のあるユーザが行う経済的な利得目的の行為、いわゆる犯罪行為にも活用されるようになっていった。これが、サイバー犯罪である。これに対処するためのセキュリティ技術も、様々な形で発展していった。

強い思想や主義主張を持つコミュニティーによるサイバー空間を利用したデモや暴動

ここ数年、多くの国々で経済低迷による若年層の困窮が目立ってきている。そして、彼らの不満や怒りが、政府や特定事業分野に対して向けられるようになってきた。

記憶に新しいものでは、2010年から2011年にかけてアラブ世界で発生した「アラブの春」と呼ばれる大規模な反政デモや抗議活動がある。特に、2010年12月にチュニジアで発生した反政府デモは、大卒でも就職難が続く若者を中心に、職の権利、発言の自由、大統領近辺の腐敗の罰則を求めてながら、高い失業率に抗議するデモとして全国各地に展開された。この活動を支えたのが、インターネットおよび情報通信技術で実現した携帯電話、ツィッター(Twitter)、フェイスブック(Facebook)などでつながるソーシャルネットワークである。活動発起に関する情報が瞬時に伝わり、前例のない大規模なデモが継続して行われる基盤の1つとなった。

2011年9月、米国において「オキュパイ・ウォール・ストリート」(ウォール街を占拠せよ)と呼ばれる抗議活動が行われた。これもリーマンショック以降の米国において、新卒の若者の就職口がなく、有効な打開策を講じられない政府に対する不満が、「アラブの春」と同様なソーシャルネットワークにより、多くの若者がデモの呼びかけに賛同していった。

2012年9月、日中間の領土に対する認識の違いに端を発して、中国における大規模な反日活動が、中国国内のソーシャルネットワークを通じて呼びかけられたが、 多くの中国専門家は、今回の反日活動(一部暴動)を、困窮する中国の若年層の不満のはけ口として容認されていたと分析した。特に、柳条湖事件(満州事変)の発生日である9月18日前後には、中国から日本に対するサイバー攻撃が発生した。

同時期、イスラム圏諸国では、米国のイスラム教を揶揄したとされる映画を発端としたデモ活動が頻発した。これもソーシャルネットワークで呼びかけられたものであった。しかし、このデモ活動の実態は、アラブの春による政権崩壊後、社会的混乱で経済活動が依然として低迷している状況と一向に改善しない生活に対する市民の不満が、「反米デモ」に便乗した形で意思表明したものである。これにイスラム過激派が紛れ込み、扇動していると指摘されている。

最近では、2014年のFIFAワールドカップに対するブラジル政府からの巨額支出が、現在のブラジルの深刻な財政難の原因の一つであるとし、2015年7月頃から、リオ・オリンピック2016に反対を示唆するメッセージがSNS上で流れ始めた。2016年1月、Twitter上で、リオ・オリンピックへの反対を強く主張するイメージが投稿され、2月から、OpOlympicHackingのハッシュタグをベースに活発な議論が始まり、一部のネットユーザーが攻撃キャンペーンを開始した。2016年2月、Petronect(リオデジャネイロの電力会社)、Petrobas(国営石油公社ペトロブラスのビジネスベンダーのためのポータルサイト)、Accenture(アイルランドベースのコンサルティング会社)へのシステム侵入が成功して窃取した情報として、社員の1,100名以上の名前、ユーザ名、パスワード、メールアドレスが、有名投稿サイトに掲載された。その後、攻撃者を名乗る者が、それぞれのサイトへのSQLが成功したというメッセージを流した。これに触発された他の攻撃者が、パトスデミナス市のシステムに侵入したと主張し、内部から窃取したとする情報を同じ有名投稿サイトに掲載した。

今年(2016年)7月には、ベトナムの首都ハノイのイノバイ国際空港とホーチミンのタンソンニャット国際空港で、運行情報を表示する画面内容の改ざんや乗っ取られた音声放送で、ベトナムとフィリピンを中傷するメッセージが流された。また、搭乗手続きを手作業としたために100便以上に影響が発生し、41万人以上の個人情報が流出した。今のところ、因果関係は不明であるが、この1ヶ月前にベトナムの空港で中国人旅行者のパスポート「九段線(中国が主張する南シナ海)」が印刷されるページに、入管職員が卑劣なメッセージを落書きしたとして、中国側が抗議していた。

サイバー攻撃を行う者たちの関係変化による攻撃スタイルの激変

筆者は、サイバー攻撃を行う者達の行動観察と、限られた範囲で調査目的の直接的なコミュニケーションを図っているが、ここ数年、大きな変化が発生していることを確認している。

以前は、攻撃に転用可能なセキュリティー技術や手法に関する議論が大勢を占めており、実際の攻撃は、非常にクローズなコミュニティーのみで行われることが多かった。そのため、攻撃手法のバリエーションは少なく、すぐに対応策が取られることから、継続性は見られなく攻撃対象も極めて局所的であった。また、攻撃の目的に一貫性がなく、技術の誇示として捉えられるものが目立ち、その攻撃者を利用する輩が、たまに現れる程度であった。

しかし最近は、若年層が困窮状況に対する不満解消や抗議活動として、あるいは経済的利得を得ようとして「明確な目的やターゲット」を抱くように なり、急速な情報伝達と円滑な議論ができるソーシャルネットワークを通じて、実際にサイバー攻撃を行うことができる者に伝達や感化させるまでの時間が短くなってきた。結果、実際の攻撃が発生するまでのサイクルが短くなり、サイバー攻撃の実施頻度も高くなってきている。

筆者は、「実際にサイバー攻撃が行うことができる者」が利用する技術や手法の変化に注目している。サイバー攻撃者は、我々と変わらない「人間」であるため、過去の成功体験に引きづられて、同様な攻撃技術や手法を使い回しする傾向にある。そのため、1人のサイバー攻撃者は、「類似したコンピュータシステム」をターゲットにすることが多かった。攻撃目的の達成をするための必要な範囲内で、ターゲットとインターネットでつながるいくつかのコンピューターシステムを併用することもあった。

最近は、ソーシャルネットワークでつながるサイバー攻撃者が群れを形成するようになったためか、「ネットワークでつながる相当数のコンピューター システム全体(特に内部ネットワーク)」がターゲットとなることが多くなり、比較的長い時間をかけ、検知されないよう、様々な攻撃技術や手法を慎重に試行 錯誤しながら仕掛けてくるようになってきている。

インターネットや情報通信技術の積極的な利用により、攻撃対象への入口は非常に豊富にある状態となっている。そのため、「攻撃の入口として利用されたPC」は攻撃の目的達成の1つのプロセスにしか過ぎないため、PC所有者は、攻撃事実に気づくことができない、あるいは、自分自身に被害がないため、積極的に報告しないという現状がある。観点を変えると、攻撃者にとっては非常に都合のよい環境になってきているのである。

このような新しい攻撃スタイルの観測により確認できた攻撃技術や手法の中には、以前には存在しなかったものが散見される。また、その技術的特性や彼らの行動や会話を観察する限り、非常に若い者たちによって手がけられていることが推測できる。彼らの行動は短絡的で身勝手なものが目立つが、攻撃技術や手法は非常に斬新的で、効果が出やすいものが多い。そして、それをうまく誘導し、ある意味コントロールする者が現れ始めてきている。

以前のサイバー攻撃を行う者たちは「発注者と受注者の関係」に喩えることができたが、最近は「一部に言葉巧みに誘導してコントロールする状況もあるが、多くの場合は一体化の関係」になっていると言える。

ところが、防御側では、いまだに情報共有や連携などの必要性が騒がれているだけで、目に見える成果が出ていない。攻撃側は、すでに迅速かつ円滑な情報共有と一体化した連携活動が実現しており、攻撃能力の向上が図られている段階となっているのである。

この攻防双方の状況格差は、拡大する一方である。