全2627文字

 警察庁は2021年4月、宇宙航空研究開発機構(JAXA)などが2016年から2017年に受けたサイバー攻撃を実行したグループ(攻撃者)について言及した。海外では国や警察がサイバー攻撃の攻撃者を特定し公表する実績は多くあるが、日本では初めて。日本でも「アトリビューション」が始まったのだ。

 サイバー攻撃の攻撃者(グループ)を特定することをアトリビューション、その情報を公表することをパブリックアトリビューションという。

 アトリビューションの効果と方法、日本が今後アトリビューションを実施する上で必要なものについて説明する。

攻撃者の特定より「背後特定」が重要

 サイバー攻撃を受ければ、国や企業は被害に遭う。被害を小さくするための手法の1つとして、アトリビューションが注目されている。攻撃者を特定し公表されれば、事例によって攻撃者の手口が広まって類似被害が小さくできると考えられている。

 ただ、攻撃者は頻繁に変化し、生まれては消えることを繰り返す。攻撃者を公表し手口が広まっても、次の攻撃は別の攻撃者によって実行される可能性がある。攻撃者そのものを突き止めても、被害を抑える効果は限定的だろう。

 攻撃者の特定より背後にいる国や支援する組織を特定するほうが重要だと考えている。背後の組織を公表すれば、攻撃者への資金や何らかの支援を止め、活動を停止できるのではないだろうか。

アクセスの痕跡から攻撃者を推測する

 攻撃者は攻撃実現のために、標的のシステムに何らかのアクセスを行う。アトリビューションでは、そのアクセスに関係するデバイスや実施方法、人物像、特定の個人やグループを特定する。

 悪意があるかどうかにかかわらず、システムへのアクセスには何らかの痕跡が残る。アトリビューションの分析者は、痕跡から攻撃かどうかの判断を行う。攻撃だった場合は、過去の事例などの情報から攻撃者を推測し、攻撃者がよく利用するツールや攻撃パターンがそのシステムにも適用されたかどうかを検証する。こうした仮説検証を繰り返して攻撃者を特定していく。

 この作業の自動化は難しく、数週間から数カ月かかることが一般的だ。数時間で完了することもあるが、特定にかかる時間は推測に利用する情報に大きく左右される。

アトリビューションで収集する情報

 アトリビューションでは、攻撃者の癖や、サイバー攻撃に利用されたインフラストラクチャー、マルウエアといった情報を収集し分析する。

 攻撃者がサイバー攻撃の実施時に意識・無意識にかかわらず行われる癖や習慣は、アトリビューションにおいて非常に重要な情報である。よく利用するツールや攻撃パターンとその癖を関連付けて攻撃者像を明確にする。

 サイバー攻撃に利用されるインフラストラクチャーにはさまざまなものがある。攻撃者が購入やレンタルしたもの、商用クラウドサービスの無料トライアルを利用したものなどだ。攻撃者はインフラストラクチャーに攻撃システムを構築すると手放すことを嫌う傾向が強い。このため、インフラストラクチャーが攻撃者の特定に役立つ。

 一方で、数時間で再構築できるシステムを作ってすぐ手放すケースもある。このケースはアトリビューションによる特定を防ぐためで、攻撃中にインフラストラクチャーを定期的に変更する攻撃者もいる。

 マルウエアもまた攻撃者の特定に役立つ。利用したマルウエアによるキーロガーや画面キャプチャー、音声録音、リモートからの操作などをアクセスの痕跡から見つける。