サイバー攻撃は攻撃側と防御側の「いたちごっこ」と言われています。攻撃と防御を延々と繰り返すことを表している言葉ですが、防御策の1つとして「アトリビューション」があります。これはサイバー攻撃の攻撃者を特定するという意味です。
今回はサイバー攻撃におけるアトリビューションの重要性や用いられる情報、さらに日本におけるアトリビューションの状況など徹底解説します。
サイバー攻撃のアトリビューションとは
サイバー攻撃のアトリビューションとは、サイバー攻撃の攻撃者を特定することです。もともとアトリビューションは「帰属」や「特定」を意味する言葉ですが、サイバー攻撃におけるアトリビューションでは、攻撃者の特定だけでなく、サイバー攻撃に使われた手法や目的までも明らかにすることもあります。
アトリビューションが重要な理由
サイバー攻撃のアトリビューションが重要な理由として以下の2点があげられます。
非対称戦は防御が困難だから
サイバー攻撃は防御が困難な非対称戦の特徴を持ちます。非対称戦とはもともとゲリラ戦やテロのことを指す言葉です。戦争の形態を表す言葉であり、特に交戦者の間で軍事力や戦略、戦術が大きく異なる戦争のことを表しています。
インターネットで公開されている不正なツールなどを使うと、コンピュータやセキュリティにあまり詳しくない個人でも簡単にサイバー攻撃を仕掛けることが可能です。つまりサイバー攻撃を戦争と捉えた場合、国家や軍人ではなく一般の個人が交戦相手となりうるのです。
このような個人によるサイバー攻撃は抑止力が低く、コントロールも困難です。一般のユーザがちょっとした遊びのつもりでツールを使った結果、大規模な攻撃になってしまうこともあるからです。
このようにサイバー攻撃は、攻撃は容易ですが、防御が難しいという特徴があります。特に非対称戦ではこの傾向が顕著です。サイバー攻撃はどんどん高度化しており、場合によっては攻撃されてもそれに気づかないケースもあります。
攻撃者の意図や規模に関わらず、脅威となりえるサイバー攻撃には防御しなくてなりません。アトリビューションが重要な理由はそこにあります。
国際的関係に影響するから
サイバー攻撃は個人によるものばかりではありません。サイバー攻撃が国家主導で仕掛けられているケースもあります。国家がどの程度サイバー攻撃に関わっているのかについてはケースによりますが、敵国に対してサイバー攻撃を仕掛けることで、国家レベルの機密情報の窃取などのスパイ行為や、情報資産の破壊など様々な影響が発生します。
国家レベルでのサイバー攻撃は、攻撃国と被害国の国際的関係に影響を与えます。そしてアトリビューションによって攻撃国を特定しなければ、攻撃国を非難することもできず、さらに将来のサイバー攻撃を抑止することも困難です。
サイバー空間の特徴
インターネットのようなサイバー空間には、以下で紹介するような特徴があります。アトリビューションの必要性はここで紹介するサイバー空間の特徴によるものです。
匿名性が高い
サイバー空間には高い匿名性があります。インターネットに接続されているコンピュータには全てIPアドレスが設定されていますが、これはネットワークに接続しているコンピュータを識別する符号に過ぎず、個人を直接特定するものではありません。これは本人の特定が難しいだけでなく、なりすましも容易であることを表しています。
サイバー攻撃が発生した時、この匿名性の高さを克服して攻撃者を特定するためにも、アトリビューションは必要不可欠です。
証拠の改ざんが可能
サイバー空間で使われている情報はデジタルデータです。つまり形や大きさがある物体ではありません。そのためデータの改ざんや消去などが簡単に編集できます。インターネットの通信はプロバイダなどの他のコンピュータをいくつも経由しており、それぞれのコンピュータには通信ログとして通信内容が記録されています。しかしデジタルデータとして保存されているため、その証拠は容易に改ざん可能です。
デジタルデータの改ざんや盗聴を防止する技術としてSSLなどの暗号化が普及していますが、全てのインターネット通信で実装されているわけではありません。また一度データを改ざんされてしまうと、元の情報に戻すことは困難です。
地理・時間的な制約がない
サイバー空間には地理的・時間的な制約がありません。365日24時間、世界中で稼働している壮大な情報通信空間と言ってよいでしょう。情報は光の速度でやり取りされますし、物理的な距離を感じることもないため、遠く離れた場所のコンピュータに対しても、容易にサイバー攻撃を仕掛けることが可能です。
被害が不特定多数に拡大しやすい
サイバー攻撃はターゲットを特定して実行される攻撃と、ターゲットを絞らず不特定多数に対して実行される攻撃に分類できます。特にDDoS攻撃のような攻撃は、不特定多数の踏み台となったコンピュータを利用して、特定のターゲットに対して攻撃を仕掛けます。この時、踏み台となったコンピュータはサイバー攻撃の被害者でもあり加害者でもあります。
またマルウェアを添付したメールを不特定多数に送信するサイバー攻撃もよく知られています。近年話題になったランサムウェアは、感染したパソコンの情報を勝手に暗号化して、復元させるために身代金を要求する攻撃です。このような攻撃は金銭が目的であるため、攻撃を成功させるために不特定多数のユーザが標的となります。
このようにデジタルデータはネットワーク回線を通じて簡単に送受信されるため、不特定多数の被害者が発生するサイバー攻撃が止むことはありません。
アトリビューションに用いられる情報
アトリビューションに使われる情報はインディケータと呼ばれています。サイバーセキュリティの世界では、このインディケータの共有が進んでいますが、具体的にはどのような情報なのでしょうか。ここでは、通信先に関する情報、攻撃手段に関する情報、攻撃者の振る舞いに関する情報の3つに分けて説明します。
通信先に関する情報
通信先に関する情報で最も重要なものがIPアドレスです。情報の発信元となったコンピュータのIPアドレスはサイバー攻撃に使われたWebサーバ、ファイアウォール、メールサーバなどに記録されています。コンピュータに割り当てられるIPアドレスにはある程度のルールがあるため、IPアドレスからコンピュータの存在する地域をある程度特定することが可能です。
攻撃手段に関する情報
サイバー攻撃の攻撃手段からも様々な情報が得られます。例えばコンピュータに感染したマルウェアのハッシュ値を調べることで、既知のマルウェアであるかどうかなど調査可能です。
またマルウェアが添付されていたメールからもインディケータとしての情報が得られます。例えばメールの件名や送信者、添付ファイルなどは重要な情報です。これらの情報は攻撃者が自由に設定できるため、攻撃者の特徴を知るための手がかりとなります。
攻撃者の振る舞いに関する情報
攻撃者の振る舞いに関する情報とは、攻撃者がどのような目的でサイバー攻撃をしかけたのか、サイバー攻撃でどのような情報を得たのか、サイバー攻撃の攻撃者のスキルや使用言語などサイバー攻撃のプロファイリングにより得られた攻撃者の振る舞いに関するインディケータです。また攻撃者が作成したメールやマルウェアの作成日時から攻撃者の所在地などの推定も可能です。
日本でのアトリビューションの状況
日本におけるアトリビューションはどのような状況になっているのでしょうか。きっかけとなったのが日本年金機構に対するサイバー攻撃です。
日本年金機構の情報漏洩事件
2015年5月に日本年金機構に対する標的型攻撃により、年金情報管理システムから個人情報が流出する事故が発生しました。2015年8月に日本政府の内閣サイバーセキュリティセンターはこの事故に関する詳細な報告書を発表しました。
このような報告書の公開は、調査機関としての能力を露呈することにもなり、サイバー攻撃の攻撃者にとっても、有益な情報となりえます。しかし内閣サイバーセキュリティセンターは事態の重大さと、可能な限りの事態解明のために情報開示を行ったと説明しました。
アトリビューションに関する情報の公開は一長一短です。サイバー攻撃を受けた際に、攻撃に気づかないのは論外ですが、攻撃にあったことを公表してしまうと、攻撃者に次の一手を与えるきっかけにもなりかねません。アトリビューションを公開するかどうかについては、慎重な判断が求められるのです。
近年の状況
サイバー攻撃におけるアトリビューションの取得は重要な課題ですが、次に行われるべきは、そのアトリビューションを含めたサイバー攻撃に関する情報の共有です。しかし現状ではサイバー攻撃の情報の共有に対しては慎重な態度を示す組織は少なくありません。
サイバー攻撃の情報を共有することは、自組織がサイバー攻撃を受けたことを他者に知られてしまう要因となります。攻撃者は当然このような被害者側の事情をも利用して攻撃を仕掛けてきます。サイバー攻撃に対応するためには、攻撃者にとって有益な情報となりえないように工夫し、そして被害者の秘匿性を保てるようにアトリビューションの情報を加工した上で、積極的に情報を共有することが重要です。
まとめ
サイバー攻撃のアトリビューションに関しては、防御側における積極的な活用と共有が必要ですが、扱い方によっては、同時に攻撃者側でもサイバー攻撃を成功させるための情報として使われてしまう危険性があります。
防御方法を公開するということは、攻撃者にとって攻撃方法を教えるのと同じとも言えるのです。特にサイバー攻撃の特定の手法に関する情報の公開にはセンシティブになる必要があります。
アトリビューションを効果的に活用するためには、防御側で攻撃者にヒントを与えないように情報を適切に保護する手段の確立が必要となってきます。