ここから本文です

米民主党全国委員会をハッキングした「ロシアハッカー」の手口

THE ZERO/ONE 7/11(月) 11:50配信

「アトリビューション(attribution)」という言葉がある。一般的には「帰属」や「属性」、あるいは何らかの理由付けをすることだが、ITセキュリティにおいては、サイバー攻撃の犯人が誰かを特定すること、という意味で用いられる。しかしほとんどの場合、正しいアトリビューションは容易なことではない。実際のところ大規模なサイバー犯罪では、100%疑いなく犯人がわかるということは、まずほとんどあり得ないと言ってもいい。例えば、2014年末のソニー・ピクチャーズエンタテインメントへの攻撃では北朝鮮が犯人と名指しされたが、それについての疑問も噴出した。

サイバー攻撃の犯人を特定するのは難しい

アトリビューションには困難が伴うのは、攻撃がネットだけで完結している場合、証拠を消したり偽装したりすることは容易だからだ。例えば攻撃者のIPアドレスそれ自体にはほとんど意味がないということは、皆さんもよくご存じだろう。よほどの間抜けでないかぎり、自分のアイデンティティに直接結びつくIPアドレスのマシンから攻撃を行う犯罪者はいない。赤の他人のPCを踏み台としたり、乗っ取ったPCのネットワーク(ボットネット)を操ったり、そこからさらに第三者のPCを経由して攻撃するのが普通だ。

メールの文面やプログラムの変数名・コメントなどから国籍を推定するというのもあまり信頼できない。自分でその文なりコードなりを書いたのではなく他人の作ったものを利用しているだけかもしれないし、わざと別の国籍を装うことも考えられる。覆面のコンビニ強盗が「カネ、カネ、キンコ」などと片言の日本語で脅したからといって外国人とはかぎらないのと同じだ。また、どのような種類の情報を狙ったかによって犯人の目的を推測することも一助にはなるが、これもやはり犯人が目くらましとして全く必要のない情報も盗んだりしたという可能性は否定し得ない。この他に、プログラムがコンパイルされた時間やマルウェアが指示を受けていた時間などから国(タイムゾーン)を推測する方法などもあるが、これも絶対ではない。もちろん、どれも他の証拠と照らし合わせた上で推理を補強する要素にはなり得るが、確定的な根拠と言うにはほど遠いだろう。

ボットに指令を出したり情報を受け取ったりするコマンド&コントロール(C&C)サーバーや、C&Cサーバー同士あるいは上位のサーバーと通信するためなどのネットワークインフラストラクチャも、アトリビューションのための重要な要素だ。このネットワークから指令を出している攻撃者までのつながりが解明できれば話は早いのだが、実際にはそこまで判明することはまずない。しかし、例えば同じインフラストラクチャを利用していれば同一グループかあるいは何らかの関係を持つグループ、などといった推測が可能となる。もっとも、他者のC&Cサーバーを乗っ取って利用していた例などもあるので、これもまた100%確実ではない。結局のところアトリビューションは、さまざまな情報を組み合わせて最も確度の高い答えを導き出す、という作業になる。

直接誰が犯人を示すものではないが、AとBが同じ人物(グループ)なのかどうかを知るために重要なのが「手口」だ。チェスや将棋で指し手の個性が出るように、スポーツチームにはチームごとに異なる戦術があるように、ハッカーやハッカーグループの攻撃手法にもそれぞれの特色や好みは出てくる。人間がやっている以上当然のことだ。もっとも、チェス・将棋・囲碁で人間が機械に敗れたのと同様、サイバー攻撃もいずれは自動化され、痕跡を残さず特色も見せず、といったことになるのかもしれないが、そのころには防御や調査も自動化されて十分対応できると思いたい。なお余談だが、米国防総省のDARPAはサイバーセキュリティの自動化を競うコンペティション、DARPA Cyber Grand Challengeを開催しており、8月のDEFCON 24で決勝戦が行われることとなっている。

閑話休題。例えばある攻撃と別の攻撃で同じマルウェアが使われたからといって、それだけでは必ずしも同じ犯人とは言えない。アンダーグラウンドで出回っているものを別人が利用したのかもしれないし、盗み取られたものかもしれない。だが、同じ国の同じ業種のターゲットを狙い、同じタイプのマルウェアを同じような手法を使って感染させ、同じやり方でマルウェアに指令を送り、同じ手順でネットワーク調査や侵入の拡大を行い、似たような構成のインフラストラクチャを経由して情報を抜き出す、ということになると、同一犯という可能性はかなり高いと言える。手口を精査することによるプロファイリングは、別々の攻撃における犯人を同定するための最も重要な武器だろう。

1/3ページ

最終更新:7/11(月) 11:50

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

失うことで不完全さの中に美を見出した芸術家
画家のアリッサ・モンクスは、未知のもの、予想しえないもの、そして酷いものにでさえ、美とインスピレーションを見出します。彼女は詩的で個人的な語りで、自身が芸術家として、そして人間として成長する中で、人生、絵の具、キャンバスがどう関わりあってきたかを描きます。 [new]