第412号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 専務理事/上級分析官)
題:「サイバー脅威主体の認識及び理解の必要性」
被害を発生させたサイバー攻撃の原因究明のプロセスにおいて、デジタル・フォレンジックの手法や技術を利用した調査を行うことが当たり前のようになってきている。
これまでの調査結果の蓄積及び比較検討を重ねてきた結果、徐々にではあるが、サイバー脅威主体の推定に必要な情報を得ることができるようになってきた。分かりやすい比較可能な例として、次の2つを紹介する。
1つ目は、事業分野や組織規模の大小を問わず、インターネットに露出しているシステムに対して「場当たり的に攻撃を仕掛けている攻撃主体」である。この攻撃は、相変わらず増加の一途を辿っているが、その攻撃主体はスクリプトキディ(インターネット上で公開されている操作が簡単な攻撃ツールを利用して、興味本位の不正アクセスを試みる幼稚なハッカーもどき)であることが多い。その推定理由は、次のとおりである。
・攻撃手法や手口が、広く知られ、かつ利用されているものである。(ネットで検索して入手できるレベルの攻撃ツールであると推定される。)
・攻撃プロセスにおいて、成功したところより失敗したところが多い。(攻撃プロセスの手戻りが散見される。)
・侵入に成功したシステム内に存在していた脆弱箇所を見過ごしている。(或いは、悪用可能な脆弱箇所にアプローチした痕跡はあるが、その悪用をしていない。悪用すれば攻撃に成功するはずであるが、他の難易度の高いところで攻撃に失敗している。)
このような攻撃に対しては、公的機関や情報セキュリティ専門団体から推奨されている基本的なセキュリティ対策を施していれば、そのほとんどの攻撃を回避或いは抑止することができる。しかし、基本的なセキュリティ対策を怠っていたため、このような低レベルの攻撃を許してしまう組織が未だに多く存在している。
2つ目は、何かしらの背景や理由によるものと考えられる「強い意図を持ち高度な技術を有する攻撃主体」である。この推定理由は、次のとおりである。
・複数発生する攻撃において、何かしらの共通性があると容易に類推できる。
・特有(独特)な手法・手口による攻撃が、同じ事業分野の組織で発生している。(同じ攻撃手法・手口が使い回されている。)
・既存のセキュテリィ対策を回避或いは無効化する技術が積極的に利用されている。
・攻撃技術が比較的新しい、或いは改良が加えられている。
・攻撃プロセスにおいて、失敗がほとんど見られない。
・攻撃対象の中心部を把握しようとした痕跡がある、或いは攻撃プロセス自体が周到に準備された印象が見られる。
このような攻撃が、ここ数年急増しており、各所で甚大な被害を発生させている。その発生事実の一部は、一般報道で伝えられているとおりである。現時点において、このような攻撃に対する有用な対策の一つとして、特定のサイバー攻撃の属性(アトリビューション)情報を見出し、同様な攻撃を受ける可能性のある組織に対して迅速かつ共有していく仕組みの導入が一部で始まっている。本コラムでこれらの仕組みに関する詳しい記述はしないため、インターネット検索でSTIX/TAXII、TPP(Tactics, Techniques, Procedures)、CTI(Cyber Threat Intelligence)で見つけることができる記事を参考にしていただきたい。
サイバー攻撃対処策の立案や準備を行う上では、想定するサイバー脅威を見積もる必要がある。
しかし、現在入手できる脅威見積もりに役立つ情報の多くは、やや難解なセキュリティ用語を多用した表現で説明されているため、(セキュリティ概念にあまり明るくない)ITシステムの発注や設計の担当者にとっては、理解しにくいものとなっている。そのため、十分な脅威見積もりができるとは言いがたい。一方、組織内におけるセキュテリィ対策にかける予算には限りがある。
さらに、自組織でサイバーセキュティ対策を強化するにあたっての大きな障害は、それを担当する者が行う「周囲からの理解獲得」である。しかし、与えられた所掌業務に明確なセキュリティ対策のタスクが与えられていない、或いはセキュリティの必要性を強く感じる要素の少ない環境にいる「上層部や関係部門」に対して、十分な理解をしていただくことは至難の業である。(一部の現場担当者は、ほぼ不可能に近いと諦めモードになっている。)
筆者の経験であるが、サイバー脅威の見積もりにあたり、多種多様で難解な「技術」より、攻撃主体である「人間」による行動理解に基づく考察を提供することで、上層部や関係部門からの理解の獲得がし易くなっている。
ご興味を持たれた方は、このようなサイバー脅威主体の認識及び理解に、ぜひともチャレンジしていただきたい。
【著作権は、名和氏に属します】
