「昨年発生した、米民主党全国委員会(DNC)に対するハッキングの背後には、ロシアがいる」。このように主張する報告書が各メディアで大々的に取り上げられています。その対象は、米国土安全保障省が米連邦捜査局(FBI)と共同発表した分析レポートです。同レポートがこのハッキング活動へのロシアの関与を具体的に証明しているわけではありませんが、ロシアの複数の情報機関が米国のさまざまな組織に攻撃を仕掛けた技術的な痕跡が見つかっていると主張しています。これらの攻撃は現在も継続中であり、レポートでは一連の活動を「グリズリー・ステップ(Grizzly Steppe)」と名付けています。この問題を重視したオバマ米大統領(当時)は、米大統領選の最中に行われたサイバー攻撃に対する報復措置の一環として、ロシアの外交官35人に国外退去を命じました。

しかし、共同分析レポートが示した内容が証拠に値するかといえば、それはいささか根拠薄弱です。いわく、「マルウェアの内部にロシア語の文字列が見つかった」、「マルウェア開発にキリル文字のキーボードが使用されている」、「マルウェアの開発に使われたコンパイラによるタイムスタンプは、モスクワやサンクトペテルブルクで使用されているタイムゾーンの標準的な勤務時間帯にあたる」、「ロシアの住所とつながりのあるIPアドレスが確認された」等々。

いずれの情報も、攻撃の実行者を正確に特定できる明白な証拠とはいえません。その理由は、どれも容易に改ざん可能な情報であるからです。実際、今日の攻撃グループの多くは、攻撃手法に手を加えて、別のグループや別の地域からの攻撃に見せかけようとしています。このような細工が容易である点、さらに攻撃グループの技術レベルの高さを考え合わせると、どのような精度であれ、攻撃者の特定は極めて困難であるといわざるを得ないのが実情なのです。

2014年に発生した、Sony Pictures Entertainmentに対するハッキングでも、当時のオバマ政権がすぐさま、北朝鮮が実行者と名指しする非難声明を出すという今回と同じような展開をたどりました。その裏付けとして多数の証拠も公開されましたが、納得できないと疑念を抱く人々は依然として存在しています。この先、どのような証拠が公開されようとも、DNCに対するハッキングの真犯人について見解が1つに収束することはおそらくありません。

ハッキングが人々の関心を引くのは、この不確実さが一因なのでしょう。そして、事態の進展につれ、この問題がまた新たな話題を提供してくれることは間違いありません。しかし、ここで一歩引いて、証拠がもたらすメリットを考えてみましょう。技術的な証拠に基づく分析、特に状況証拠に基づく分析は、攻撃の実行プロセスの解明という目的であれば、意味があります。しかし、このような証拠には、今取りざたされている政治的な報復の正当性を裏付けるだけの説得力はありません。もちろん、より有力な証拠を握っているCIAやNSAが、あえて非公開にしている可能性は十分にあります。証拠を開示すれば、その証拠の入手に使った手法も明らかになる可能性があるため、彼らが証拠の開示に乗り気でないとしても無理はありません。

組織にとって重要なのは、このようなセキュリティ・インシデントの動向をメディアで把握しつつ、自らのセキュリティに目を向けることです。政治的な見出しに気を取られ、足下をおろそかにしないよう注意してください。脅威情報、セキュリティ侵害の痕跡、攻撃者のツール、戦術、手順(TTP:Tools, Tactics and Procedures)など目を引く言葉につい惑わされ、このような情報を配信するサービスを利用して、セキュリティ対策の強化を図るというのはありがちなパターンです。しかし、実際のサービス利用者に対し、こうした情報をどのように活用して最新動向に対応しているかと尋ねてみると、期待に反して説得力のある答えはあまり返ってきません。

このようなサービスを情報収集目的で利用している場合でも、他の情報との照合が欠かせない、数ある情報の1つとして利用する姿勢を忘れてはなりません。例えば、あるIPアドレスやドメインがブラックリストに記載されていても、攻撃者がすでに破棄し、別の正規の組織が利用しているといったケースもあるからです。また、業種や地域の異なる組織で見つかったサイバー攻撃に関する情報を自組織に当てはめる場合には、自組織の特徴に照らして、その情報源が妥当かどうかを確認する必要があります。

攻撃者の特定は、複雑極まる作業です。サイバー攻撃の技術的な痕跡は基本的に偽装可能であり、本当の証拠はすでに隠滅されている可能性があります。たとえば、ファイルのハッシュやIPアドレスはいとも簡単に改変できます。また、高度な攻撃者がネットワークに侵入した場合、目的の達成に加えて、侵入の痕跡を消したり、他のグループの仕業に見せかけるための偽装工作を行うケースは珍しくありません。つまり、証拠や犯人の特定にこだわりすぎてもあまり意味がなく、それよりももっと本質的な取り組み、すなわち攻撃者をネットワークに侵入させない対策に注力するべきなのです。


(LinkedIn: Tony Jarvis, "The burden of proof" URL: https://www.linkedin.com/pulse/burden-proof-tony-jarvis)