過去数か月の間に米国では、大規模なサイバー攻撃が次々と発生しており、SolarWindsのサプライチェーン攻撃や、Microsoft Exchangeを狙ったHAFNIUM攻撃、さらには、米国の重要インフラを麻痺させた、DarkSideによる前例のないランサムウェア攻撃に見舞われていました。我々は今、セキュリティの将来を再度自問すべき時期を迎えています。そしてさらに重要なことは、このタイミングで米国政府は、過去のセキュリティ対策がなぜ失敗したのかを振り返って反省し、将来、類似の攻撃を受けたときに取るべき対策を考える必要があります。

一国家としての米国の状況を脅威の検知という観点で見るとその評価は散々です。通常、米国では、すでに被害が発生してそこから長い時間が経ってから初めてサイバー攻撃に気付くケースが普通になっています。しかも、脅威の検知に加え、脅威への対応では、米国政府とほとんどの組織が、もっと不備を抱えており、概して、過去の教訓を状況の改善につなげることや、次に攻撃を受けたときの対応で生かすことができていません。

しかし幸いなことに、状況は変わりつつあるように見えます。自身の政権では、国家主導のサイバー攻撃を黙認しないとの姿勢を、バイデン大統領は明確にしており、攻撃の背後にいる国家には責任を取らせるとの立場を明らかにしています。そして、米国は、さまざまな形態での対応を選択するものと見られ、バイデン政権は、ロシアや中国の諜報資産の公開、経済制裁の発動、サイバー攻撃に関与した疑いのあるロシア国籍者、中国国籍者、工作員に対する逮捕状、召喚状の発行、ロシアや中国の外交官の国外追放、相手の攻撃に比例した軍事対応などの措置を必要に応じて実施する可能性があります。また、これらの措置を組み合わせて実施することも考えられます。どの選択肢でもエスカレーションの可能性があり、どのような対応を選択するのかが非常に重要になります。

問題は、これらの対策の一部が手ぬるく、状況を変える効果を期待できないことであり、また、一部の対応では国家全体が制裁の対象となるため、攻撃に関与しておらず、制裁に対して無力な一般の市民が巻き添えになるという公正さを欠いた側面を持つことです。ここでは、サイバー攻撃は重大な事態を招くとのメッセージを明確に伝えられるバランスの取れた対応策を見出すことが、目指す目標になっています。

適切な厳しい対応を実施する

攻撃が国家主導であることが重要な意味を持つのはなぜでしょうか。それは、サイバー攻撃に対する対応では、攻撃者や攻撃者の目的に応じて対応の内容が変わるためです。サイバー犯罪者は犯罪者にほかなりません。そのため、警察当局や、サイバーセキュリティ業界はこれらの犯罪者を捕らえ、起訴し続けることになります。ただし、最近の傾向としては、サイバー犯罪と国家主導のサイバー攻撃の境界があいまいになり続けています。これは、多くの攻撃者が犯罪活動にもAPT攻撃にもわずかずつ手を出し、両方に関与しているためです。

最近の攻撃は、国家の後ろ盾を受けた犯罪者が国家の保護の下で起訴を逃れながら実行する、国家主導の攻撃です。これらのことを裏付ける確固たる証拠が存在します。DarkSideに関する弊社の調査では、このグループがロシアや旧ソビエト圏の国から活動を行っている実態が明らかになっています。米国の対応では、長期的にはどのような効果を期待できるでしょうか。

サイバー諜報活動やサイバー犯罪は、政府関係機関とセキュリティ業界の両者に関係する問題になっています。深刻な影響を及ぼす攻撃にはどのように対処すべきでしょうか。攻撃を防ぎ、攻撃者優位の状況を逆転するためには、戦略のどの部分を強化する必要があるのでしょうか。

ここ最近発生したサイバー攻撃はそのどれもが、これまでにない規模の攻撃でした。米国の複数の機関や、民間の中規模、大規模のさまざまな企業がハッカーの侵入を受け、侵害の被害にあっています。新型コロナウイルスの感染収束後の回復に向け、取り組みを進めていた米国経済には、大きな混乱が生じました。

容疑者引き渡しの法律の整備に向けて各国がグローバルレベルで協力すれば、サイバー犯罪やサイバー諜報活動をより効果的に起訴できるようになります。これを実現できる可能性は大いにあります。また、より効果の高いアクションとしては、ランサムウェア攻撃の広がりを食い止めるために、サイバー犯罪者への身代金の支払いを政府が法的に禁じるなどの措置があります。

次の大規模な攻撃に備える

DarkSideによる攻撃や、SolarWindsのサプライチェーン攻撃Microsoft Exchangeを狙ったHAFNIUM攻撃の首謀者に確実に報いを受けさせることは重要です。しかし、おそらくもっと大事なことは、その後になすべきことでしょう。重要性の高いインフラや国家のセキュリティに攻撃が与える影響は深刻です。これまでのような被害を回避するために可能な限り手を尽くすうえで、国家として、あるいはサイバーセキュリティ業界として、今後どのように対処していくべきでしょうか。

サイバーインフラストラクチャの保護は、物理インフラストラクチャの保護と同じく重要です。金融システムであれ、医療システムであれ、飛行場の管制塔であれ、ホームオートメーションであれ、防衛システムであれ、その運用において、我々はインターネットに大きく依存しているのです。

DarkSideによる攻撃や、SolarWindsのサプライチェーン攻撃や、Microsoft Exchangeを狙ったHAFNIUM攻撃が再度発生した場合、以前の攻撃で役に立たなかった同じサイバーセキュリティソリューションのままでは、攻撃を防ぐことはできません。これまでのソリューションは1年近くの間に、数万の組織でこれらの攻撃を完全に見逃しています。我々は、サイバーセキュリティの在り方を変革しなければなりません。

たとえば、このような攻撃の首謀者を追跡し、起訴する場合、今後、米国政府には、絶対に譲れない一線を設け、あらゆるリソースを出し惜しみせず利用することが求められます。逮捕されることや、攻撃を仕掛けた報いを受けることを気にかけず、他国の攻撃者が活動を続ける状況を黙っているわけにはいきません。

依然として攻撃者が優位な立場にあるのは間違いありません。しかし状況を変えることは可能です。セキュリティ業界の企業は長年にわたり、顧客、パートナー、そして競合他社とも協力し合い、団結してきました。サイバーセキュリティの戦場では、そのような戦い方が求められるからです。この連携においては、お互いのアプローチが異なっていたとしても、メリットが得られれば何の問題もありません。バイデン政権の発言や行動に合わせ、官民が一体となれば、脅威に対抗でき、将来の大規模な攻撃を防ぐことが可能です。

ホワイトペーパー「攻撃に対抗する力を取り戻す」

高度標的型攻撃(APT攻撃)の脅威はあらゆる人々に広がってきています。しかしながら、脅威インテリジェンスを活用し、敵を知ることにより、先手を打って脅威ハンティングを行うことで、高度標的型攻撃(APT攻撃)を撲滅し、攻撃に対抗する力を取り戻すことができます。本書を通じて、高度標的型攻撃(APT攻撃)に立ち向かう秘策を知ることができます。 https://www.cybereason.co.jp/product-documents/input/?post_id=618 ホワイトペーパー「攻撃に対抗する力を取り戻す」