第194号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 情報分析部 部長 上級分析官)
題:「サイバー脅威の攻撃メカニズムの解明に必要な要件」
年が明けてから、私のところに「最近のサイバー脅威に関するリサーチや講演等」の依頼が急増している。この背景には、まだ記憶に新しい昨年2011年のソニーグループ、三菱重工、そして立法機関や行政機関に対するサイバー攻撃による影響があると思われるが、例年と大きく異なるのは、その依頼の多くが経営トップによる積極的な実情理解を目的としていることが多くなってきていることである。その依頼に応える形で、できる限り分かりやすい図解等を用いながらお伝えしているところであるが、本コラムにおいては、別角度からの質問として目立つ「サイバー攻撃のメカニズムの解明に必要な要件」について、お伝えしたいと思う。
私は、2007年頃から、サイバー攻撃のメカニズムの解明に注力している。解明がされるまでには、時として非常に根気のいる断片的情報の統合・整理をひたすら繰り返すリサーチや分析作業を伴うことが多い。また、全ての情報が不特定多数のインターネットユーザがアクセス可能なインターネット空間に存在しているわけではなく、特定のコミュニティ内のみで流通している情報の中に有意義なものが多く存在している。そのため、そのようなコミュニティに積極的に参加する或いは特定領域における情報流通のハブとなっている人物(主に、国外のエキスパート等)との継続的なやり取りや連携活動を密にしていかなければならない。特に、最近のSNS(ソーシャルネットワークサービス)の発展に伴い、特定領域に限定されるクローズな情報が急増しているため、「情報流通のハブとなっている人物」からより大きな信頼を得なければ、有意義な情報を得ることが難しくなってきている。
このような状況変化の中で、私及び私のチーム(CDI-CIRT )での実務経験に基づいた、最近のサイバー脅威の攻撃メカニズムを解明するための必要要件をお伝えすると、次のようになる。
サイバー脅威に関する情報を取り扱うチームをつくり、メンバー間で連携して活動すること。もし単独で行う場合は、高い信頼と経験を持つパートナーを作り、連携して活動すること。
単独で情報収集活動を行い続けるとなると当初の目的意識等が希薄になる傾向がある。特に、攻撃者コミュニティに対するリサーチでは「ミイラ取りがミイラになる」可能性を否定できない。倫理観と目的意識を維持できる環境を作ることが重要となる。
コンピュータシステム全般(特にソフトウェア、ハードウェア)、インターネット及び内部ネットワーク、各レイヤー層におけるセキュリティ対策、脆弱性、不正プログラム(マルウェア等)、コンピュータ・フォレンジック等に関する技術的及び管理的な基本的知識を把握し、かつ使いこなせるリテラシーを保持すること。
現実的に、一人の人間が、それぞれの領域の専門性をすべて持つことは非常に難しい。そのため、独力によるサーバの構築及び運用、通信パケットの流れを意識して直接コントロールする設定変更等、さらにはプログラム開発等の実際の経験を得ておくことにより、不明な点があったとしても「何を調べればよいか」の見通しをつけることができるようになれば必要なことができるようになる。
他の分野及び領域(外交、安全保障、危機管理、政策、経済、法制度、エネルギー業界、営業、総務、開発、計測制御 等)における実情理解及びその動向把握をしておくこと。
それぞれの分野及び領域において、情報通信技術やインターネットの深い関わりや高い依存関係が発生しているものがある。その領域に深く関与している関係者が、自らの情報セキュリティリテラシーにより気づいたところで、セキュリティ対策を講じることがあるが、手遅れになっている状況に出会うことがある。さらに、そのような段階から情報セキュリティの専門家がその領域の実情を理解する時間も必要になるため、攻撃のメカニズムを把握するまでに相当な時間がかかってしまうことがある。
オープンソースインテリジェンスに関する基本的知識を習得すること。
インターネット検索で “Open Source Intelligence” で探すと、参考となる情報や文献を数多く見つけることができる。本コラムで仔細にお伝えすることは難しいが、一般的なインターネット検索技術のほかに、さまざまな公知情報の収集及び分析手法が存在していることに気づくはずである。
有識者コミュニティに積極的に参加し、連携活動に関与すること。
限られたメンバー或いはチームによる情報の収集及び分析では、一定の限界がある。それを補完する目的で、有識者コミュニティに積極的に参加することが必要になる。しかしながら、有識者コミュニティに参加したからといって、すぐに有益な情報が入ってくるわけではない。共通課題に関する解決活動をして初めて、付随的な形で情報を得ることが多い。場合によっては、互いに Win-Win の関係になることが求められる場合がある。
攻撃者が残す様々な断片的情報を追求し、その意図や全体像を把握する努力をする。
攻撃者は不完全な人間である。ヒューマンエラーや不完全な成果物(不正コード等)を残してしまう場合がある。それを的確に理解するには、高いレベルの技術や経験が必要になることがあるが、公知になっているSNSやブログ等の情報の中から見出す或いは十分な確度をもって推測することができる場合がある。
最後に、私がこのコラムにおいて、このような攻撃メカニズムの解明に必要となる実務上の要件をお伝えした理由は、最近の攻撃者コミュニティ内で流通している「攻撃対象に関する情報」の精度が、我々の想像する以上のレベルであり、攻撃側の情報収集能力や応用能力は日を追うごとに向上している状況があるからである。
一方、誠に残念ながら、防御側の方は、やっと経営層レベルが実情理解の努力を始めたところであり、最近のサイバー脅威に対して適切に意思決定するために必要な知見や理解が得られているとは言い難い。また、攻撃側をよく把握し、そして、彼らが動的に変化させる攻撃に対して、適切に対峙していこうとする姿勢がほとんど見られない。
攻防両側の現状を鑑みる限り、攻撃側にとって優位な状況がまだまだ続くと言わざるを得ない。私は、この状況をできるだけ早く改善したいと強く思っている。本コラムの内容が何かしらの形で読者の皆様にお役に立てるものになれば大変幸いである。
CDI-CIRT のサイト⇒ www.cirt.jp、
FIRSTにおける CDI-CIRTサイト⇒ www.first.org/members/teams/cdi-cirt
【著作権は名和氏に属します】
