米大統領選の話題が続く中、サイバー・セキュリティの関係者にとって興味深いニュースが飛び込んできました。米民主党に関係する個人および団体を狙ったサイバー攻撃が増加しているというのです。米国政府は、選挙の結果に影響を与えようと画策するロシア政府が背後にいると見なし、報復を検討していると伝えられています。CIAの当局者によると、クレムリンへの意趣返しとして、水面下でのサイバー攻撃の実施が議論されているとのことです。

このニュースは各方面の注目を集めていますが、ニュース自体は決して意外な内容ではありません。英国は2013年の時点で、サイバー攻撃のための能力を保持していることを認めています。当時のフィリップ・ハモンド国防大臣自身が、「攻撃能力を含め、包括的な軍事的サイバー能力の開発を進めている」と述べているのです。この動きの背景には、「サイバー攻撃に対処するには、もはや防衛能力だけでは不十分であり、攻撃能力も欠かせない」という判断があります。ハモンド国防大臣が発表した計画には、コンピュータの専門家数百名を軍の予備兵として雇用する案も含まれています。その中でも特に注目すべきは、サイバー空間を陸・海・空・宇宙に並ぶ主要な軍事活動領域に位置付けている点です。

英国だけではありません。オーストラリアの通信電子局は、サイバー空間における同国政府の攻撃および防衛能力を強化するための計画を発表しています。マルコム・ターンブル同国首相は、今年初め、政府のサイバー・セキュリティ戦略を発表する場において、同国は「サイバー攻撃能力」を有していると認めています。この両国の動きは、決して例外的なものではありません。サイバー攻撃能力の強化に向かう流れは、世界的に一般的な傾向です。では、このような動きから、民間企業が学べることは何かあるでしょうか。

自社の対サイバー攻撃能力に満足していない企業は増える一方です。このような企業は、サイバー・セキュリティにおいて主導権を握ろうとし始めています。「積極的防衛」や「反撃」と呼ばれる対策は、攻撃者の活動を妨害するだけの穏当な方法から、より過激な対策に至るまで多岐にわたりますが、最も積極的な手段としては、敵の攻撃インフラストラクチャの閉鎖、敵のインフラストラクチャへのマルウェア感染、窃取されたデータの回収・消去などが挙げられます。

忘れてならないのは、これらが非合法な活動である点です(仮にそうでなくても、非合法であるべきです)。攻撃者が一般ユーザのコンピュータを乗っ取って攻撃を仕掛けていた場合には、そのユーザに被害が及ぶ可能性があるという倫理的な問題も生じます。また、多くの民間企業よりもはるかに優れた技術力を持つ国家レベルの攻撃者が敵である場合、手痛い報復を受けるケースも考えられるでしょう。

そのような手段に頼らなくても、民間企業が参考にできる対策もあります。例えば、ネットワーク内における攻撃者の活動を分析すれば、将来的な攻撃への対策強化に有効なツール、技術、手順を見極めることができます。また、セキュリティが不十分なシステム(ハニーポット)を用意して攻撃者を引き寄せ、攻撃を受けた時点でフォレンジック調査を実施し、攻撃者の狙いを特定するという方法もあります。

とはいえ、攻撃者の素性の特定に躍起になるべきではありません。役に立つのは事実ですが、その情報の収集にむやみに力を注ぐのは得策とはいえないと、一部の識者は指摘しています。フォレンジック調査による攻撃者のプロファイリングは、あくまでも攻撃の目的と手口の把握に必要な範囲にとどめるべきです。目的と手口が分かれば、それに基づいて防御体制を変更し、セキュリティを強化できます。

特に重要な知的財産は、ネットワークから切り離された場所に保存するという対策もあります。重要な文書については複数のバージョンを用意し、そのうち1つの文書にだけ正しい情報を記載しておくという方法も有効です。このようにしておけば、万一文書を窃取されても、どのバージョンが正しいのか攻撃者には判別できないことになります。

事後の対応策としては、法的措置や政府を通じた外交ルートでの対処という手段があります。実際、バングラデシュの中央銀行は今年、窃取された1,500万ドルもの資金をこの方法で取り戻すことに成功しています。

セキュリティ・コミュニティが業界の英知を結集し有効活用すれば、単なる「サイバー自警団」として活動するよりも、効果的に問題に対処できるはずです。私たちには、それぞれ果たすべき役割があります。捜査当局と連携し、状況に応じて防御体制を適応的に変更し続ける。これが、今日私たちが直面するセキュリティ脅威から組織を守る、最も効果的なアプローチなのです。


(LinkedIn: Tony Jarvis, "Offensive security: friend or foe?" URL: https://www.linkedin.com/pulse/offensive-security-friend-foe-tony-jarvis)