サイバー脅威主体を理解するための必要な知識(後編)
投稿者:ASERT Japan名誉アドバイザー名和 利男
前編において、サイバー脅威を理解するための必要な知識として、インターネットの起源から現在までの形態や利用の劇的変化の実情や、世界各国の社会的出来事からインターネットを介して必然的かつ発展的に発生した事象を眺めつつ、現在のサイバー空間における攻撃側と防御側の関係性に着目した考察を行なった。後編では、サイバー空間の脅威主体を理解するための要件や手法の例を紹介したいと思う。
最近、筆者のところに「最近のサイバー脅威に関するリサーチやレクチャー等」の依頼が増えている。この背景には、発生回避が難しくなってきたサイバー攻撃による被害が甚大化しつつあるにもかかわらず、サイバー空間でどのような脅威が発生及び進行しているかがよく見えないという課題が見られる。特に、このような依頼の多くは、経営トップによる積極的な実情理解を目的としたものである。筆者は、インターネットやIT(情報技術)にあまり詳しくない経営トップに理解していただくべく、できる限り分かりやすい図解等を用いながらお伝えするようにしているが、さまざまな試行錯誤の中で、相手のセキュリティ啓発の向上や本質的理解の獲得を得ていただけるようになってきた。この前提に、筆者なりに得ることのできた「サイバー脅威のメカニズムの解明に必要な要件や手法」があったと感じている。以下、その一部を紹介する。
筆者は、2007年頃から、サイバー攻撃のメカニズムの解明に注力している。解明がされるまでには、時として非常に根気のいる断片的情報の整理・統合をひたすら繰り返すリサーチや分析作業を伴う。また、全ての情報が不特定多数のインターネットユーザがアクセス可能なインターネット空間に存在しているわけではなく、特定のコミュニティ内のみで流通している情報の中に有意義なものが多く存在している。 そのため、そのようなコミュニティに積極的に参加する或いは特定領域における情報流通のハブとなっている人物(主に、国外のエキスパート等)との継続的なやり取りや連携活動を密にするようしなければならい。特に、最近のSNS(ソーシャル・ネットワーキング・サービス)の発展に伴い、特定領域に限定されるクローズな情報が急増しているため、「情報流通のハブとなっている人物」からより深い信頼を得なければ、有意義な情報を得ることが難しくなってきている。
このような状況変化の中で、筆者の実務経験で得られた「最近のサイバー脅威の攻撃メカニズムを解明するための必要な要件や手法」をお伝えすると、次のようになる。
サイバー脅威に関する情報を取り扱うチームをつくり 、メンバー間で連携して活動すること。もし単独で行う場合は、高い信頼と経験を持つパートナーを作り、連携して活動すること。
単独で情報収集活動を行い続けるとなると当初の目的意識等が希薄になる傾向がある。特に、攻撃者コミュニティに対するリサーチでは「ミイラ取りがミイラになる」可能性を否定できない。倫理観と目的意識を維持できる環境を作ることが重要となる。
コンピュータシステム全般(特にソフトウェア、ハードウェア)、インターネット及び内部ネットワーク、各レイヤー層におけるセキュリティ対策、脆弱性、不正プログラム(マルウェア等)、コンピュータ・フォレンジック等に関する技術的及び管理的な基本的知識を獲得し、かつ使いこなせるリテラシーを維持すること。
実的に、一人の人間が、それぞれの領域の専門性をすべて持つことは非常に難しい。そのため、独力によるサーバの構築及び運用、通信パケットの流れを意識して直接コントロールする設定変更等、さらにはプログラム開発等の実際の経験を得ておくことにより、不明な点があったとしても「何を調べればよいか」の見通しをつけることができるようになれば必要なことができるようになる。
さまざまな分野及び領域(外交、安全保障、危機管理、政策、経済、法制度、エネルギー業界、業界、営業、総務、開発、計測制御 等)における実情理解及びその動向把握 をしておくこと。
それぞれの分野及び領域において、情報通信技術やインターネットの深い関わりや高い依存関係が発生しているものがある。その領域に深く関与している関係者が、自らの情報セキュリティリテラシーにより気づいたところで、セキュリティ対策を講じることがあるが、手遅れの状況になっている場面に出会うことがある。さらに、そのような段階から情報セキュリティの専門家がその領域の実情を理解する時間も必要になるため、攻撃のメカニズムを把握するまでに相当な時間を要してしまう。
オープンソースインテリジェンスに関する基本的知識を習得すること。
インターネット検索で “Open Source Intelligence” で探すと、参考となる情報や文献を数多く見つけることができる。このブログで仔細にお伝えすることは難しいが、一般的なインターネット検索技術のほかに、さまざまな公知情報の収集及び分析手法が存在していることに気づくはずである。
有識者コミュニティに積極的に参加し、連携活動に関与すること。
限られたメンバー或いはチームによる情報の収集及び分析では、一定の限界がある。それを補完する目的で、有識者コミュニティに積極的に参加することが必要になる。しかしながら、有識者コミュニティに参加したからといって、すぐに有益な情報が入ってくるわけではない。共通課題に関する解決活動をして初めて、付随的な形で情報を得ることが多い。場合によっては、互いに Win-Win の関係になることが求められる場合がある。
攻撃者が残す様々な断片的情報を追求し、その意図や全体像を把握する努力をする。
攻撃者は不完全な人間である。ヒューマンエラーや不完全な成果物(挙動失敗する不正コード等)を残してしまう場合がある。それを的確に理解するには、高いレベルの技術や経験が必要になることがあるが、公知になっているSNSやブログ等の情報の中から見出す或いは十分な確度をもって推測することができる。
最後に、このブログにおいて、このような攻撃メカニズムの解明に必要となる実務上の要件をお伝えした理由は、最近の攻撃者コミュニティ内で流通している「攻撃対象に関する情報」の精度が、我々の想像する以上のレベルであり、攻撃側の情報収集能力や応用能力は日を追うごとに向上している状況がみられるからである。
一方、(誠に残念ながら)防御側の方は、やっと経営層レベルが実情理解の必要性を感じ、ごく一部でその努力を始めた段階であるため、最近のサイバー脅威に対して適切に意思決定するに足りる知見や理解が得られているとは言い難い。また、攻撃側をよく把握し、そして、彼らが動的に変化させる攻撃に対して、適切に対峙していこうとする姿勢は、未だ見られない。
攻防両側の現状を鑑みる限り、攻撃側にとって優位な状況がまだまだ続くと言わざるを得ない。筆者は、この状況をできるだけ早く改善したいと強く思っている。本ブログで示したが何かしらの形で読者の皆様にお役に立てるものになれば大変幸いである。