米司法省は2018年9月と10月、外国人ハッカーを訴追したことを発表しました(図1)。9月に訴追されたのは、北朝鮮政府が背後にいるといわれているハッカー集団「ラザルス」のメンバーと思われるパク・ジンヒョク氏です。「朝鮮エキスポ」という国営企業にプログラマーとして勤務しています。ラザルスといえば、ランサムウエア「WannaCry」を使った攻撃、米ソニー・ピクチャーズエンタテインメントやバングラデシュ中央銀行へのサイバー攻撃に関わっていたとされるグループです。
一方、10月に訴追されたのは、ロシア連邦軍参謀本部情報総局(GRU▼)の情報部員7人です。世界アンチ・ドーピング機関(WADA▼)の弱体化を狙ったサイバー攻撃などが容疑です。ハッカー集団「ファンシーベアー▼」との関係も指摘されています。
こうした米国の動きは珍しくありません。2014年には中国の将校5人を訴追しました。5人は、中国人民解放軍でサイバー攻撃を担当する61398部隊に所属していたとされています。
様々なサイバー攻撃において、「誰が攻撃したか」を特定することを「アトリビューション」といいます。「敵を知り己を知れば百戦危うからず」(敵と味方を熟知していれば100回戦っても負けない)という言葉を引用し、アトリビューションの結果がセキュリティ対策を考える上で重要だと主張する人がいます。しかし、攻撃者が誰であるかは多くの人にとって重要ではないと筆者は思っています。より重要なのは、攻撃の手口を知るために役立つ「IoC▼」や「インジケーター」と呼ばれる攻撃の指標です。今回は、アトリビューションとIoCを取り上げます。
状況証拠で犯人探し
図1で示した発表内容は、多くの報道機関で取り上げられました。目にした方は多かったでしょう。
しかしながらこういったタイプのサイバー攻撃で、確かな証拠に基づいて犯人が特定されることはほとんどありません。多くは、状況証拠による推測止まりです。報道機関がアトリビューションをよく取り上げるのは、「犯人探し」の推理小説のようで興味を引くからかもしれません。
状況証拠とは、攻撃に関する様々な情報を指します(図2)。メールを使ったサイバー攻撃では、攻撃メールの件名や文面の特徴、送信時間などが該当します。攻撃に使ったプログラムが見つかっているときは、プログラムの動きやコードに含まれる特徴的な文字列、使われたツールの種類などを状況証拠にします。
例えば、メールの件名や文面の特徴から攻撃元の国や地域を絞ります。送信時間からは、「送信件数が多いのは、日本時間の10時から13時と14時から18時だから、日本とマイナス1時間の時差がある国だろう」といった推測をします。プログラムの特徴を統計データと照合することで、過去のサイバー攻撃との関連性を見つけることもあります。
こういった推測によって、攻撃者を特定します。推測なので、アトリビューションの担当者によって、結果が全く異なる場合もあります。
攻撃者像から手口を推測
では組織のセキュリティ担当者は、推測で特定した攻撃者像をどのように役立てるのでしょうか。
例えば、攻撃者に関係すると思われる過去の攻撃の手口を調べて、今後の攻撃を推測します。そして、その攻撃を防ぐ対策を重点的に取ります。つまり、推測した攻撃者から次の攻撃を推測して、対策を考えるわけです。このやり方は、効果的とはいえないでしょう。
攻撃者が、アトリビューションを混乱させるために偽装している可能性もあります。例えば有名なハッカー集団がよく利用するツールで攻撃用プログラムを作って攻撃し、その集団による攻撃だと誤解させるのです。
ただアトリビューション自体は、無意味ではありません。前述した米司法省の発表は、米国の外交カードになるかもしれません。調査能力の高さを示し、けん制する目的だったとも考えられます。外交目的では、アトリビューションは有用と考えることができます。
