2017年2月15日水曜日

「脅威インテリジェンス」とは何か? ~進化するサイバー攻撃への対処~

ここまで進んだサイバー攻撃への対処
米国はロシアと中国の攻撃をなぜ特定できたのか
横山恭三
kyozou Yokoyama)元空将補、在ベルギー防衛駐在官、情報本部情報官、作戦情報隊司令現在、ディフェンス リサーチ センター研究委員、防衛基盤整備協会客員主任研究員、昭和2313日生まれ
米首都ワシントンのホワイトハウス〔AFPBB News

米国は、大統領選を標的にしたロシアによるサイバー攻撃について、ウラジーミル・プーチン大統領の指示によるものであったと公表した。
 米国は、どのようにしてプーチン大統領を特定することができたのであろうか。よほどの確証がなければ、外国の元首を名指しすることはできない。米国はネットワークを通じてロシアの関連機関または要人のコンピューターをハッキングして、「プーチン大統領の署名のある指示書」を窃取したのであろうか。あるいは相手組織に潜入したスパイが重要な「諜報」をもたらしたのであろうか。
 筆者は、今回の件は、最近注目されている「脅威インテリジェンス(Threat Intelligence)」の成果であると見ている。
脅威インテリジェンス
事実、米国は「サイバー脅威インテリジェンス統合センター(Cyber Threat Intelligence Integration CenterCTIIC)」を設置するなど「脅威インテリジェンス」機能に係る体制整備を進めている。
 「脅威インテリジェンス」とは、サイバー脅威に対処するための計画作成の意思決定プロセスに不可欠な情報のことを言う。
(筆者注:米国の定義では、インテリジェンスは、インテリジェンス組織、インテリジェンス活動およびその活動により得られた情報を意味する。ここでは情報を意味している*1
 そして、この「脅威インテリジェンス」は、インテリジェンス機関を含む関連政府機関が収集したサイバー脅威に係る情報を統合・分析して生成される。
 ちなみに、CTIICは、「外国のサイバー脅威に係る情報または米国の国益に影響を及ぼすサイバーインシデントに係る情報の融合されたオールソース分析の成果を(政策担当者に)提供する*2」ことに責任を有している。
 「脅威インテリジェンス」が登場し、重視される背景には、サイバー空間の攻防における攻撃側と防御側の間に生じている大きな格差が挙げられる。
 つまり、攻撃側は正体および企図を秘匿できるためリスクが極めて小さく、時間的・地理的な制約がない状態で安価かつ容易に攻撃できる。
*1 intelligence The product resulting from the collection, processing, integration, evaluation, analysis, and interpretation of available information concerning foreign nations, hostile or potentially hostile forces or elements, or areas of actual or potential operations. The term is also applied to the activity which results in the product and to the organizations engaged in such activity.Joint Publication 1-02 15June2015
*2The CTIIC shall provide integrated all-source analysis of intelligence related to foreign cyber threats or related to cyber incidents affecting U.S. national interests;Presidential Memorandum Establishment of the Cyber Threat Intelligence Integration Center
 一方、防御側は常続的な監視を強いられるとともに攻撃ウイルスが出現してからアンチウイルスソフトを開発するなど非常に高価かつ困難なものになる。すなわち攻撃側が圧倒的に有利であるというサイバー空間の特徴がある。
 それにより、おびただしいサイバー攻撃を単にネットワーク上で防止・阻止するのには能力的・資源的な限界があることが徐々に明らかになってきた。
 そこで、米国などは伝統的なインテリジェンス(筆者注:伝統的なインテリジェンスには謀略・諜報・宣伝などがあるが、ここでは諜報のことを意味している)をサイバー脅威に適用し、脅威認識を改善し、潜在的攻撃への対応力を強化しようとしているのである。
 日々高度化・複雑化するサイバー攻撃に対して適切かつ効果的に対応するためには「脅威インテリジェンス」機能の整備が必須である。
中国人5人を特定した米国
既に、「脅威インテリジェンス」が成果を上げた事例がある。
 米司法省は、2014519日、商業利益のために、米国の企業および労働者団体に対するサイバースパイ活動を行った5人の中国軍のハッカーを起訴した。5人の氏名のみならず顔写真も公表した。
 米国はなぜ、5人の中国軍人を特定することができたのか。
 サイバー攻撃は、インターネットという迷路のような環境で生起するために、実行者の追跡と特定が困難である。
 その中で最もシンプルな特定方法は、攻撃者のIPアドレスから攻撃元を絞り込む方法である。この技術はIPトレースバックと呼ばれる。
 しかし、完全なトレースバック技術をもってしても、組織またはハンドルネームに到達できても、個人に到達するとは不可能に近い。
 個人に到達するには、当該組織の発信・受信するすべての電子メールや音声通信を傍受するほか、当該建物に出入りするすべての者を監視する、または相手組織に潜入したスパイを活用するなどの伝統的なインテリジェンス活動を組み合わせなければ困難である。
 そして、20159月の米中首脳会談において、米国は、「脅威インテリジェンス」により把握した証拠を中国に突きつけることにより、米企業の知的財産をサイバー攻撃で窃取しないという合意を取りつけることに成功したと推測される。
 ところで、我が国の「脅威インテリジェンス」機能に係る体制はどの程度整備されているであろうか。
諜報活動を忌避してきた日本
結論を言えば皆無である。なぜなら、我が国では戦後、諜報活動が禁忌されてきたからである。
 諜報活動とは、「相手国にスパイを派遣し、スパイ自らまたは相手国で勧誘した工作員を通じて、相手国の国家機密および軍事上の秘密、または先端技術などの企業秘密を不法に取得する活動(筆者作成)」である。
 我が国では海外において邦人がテロなどに巻き込まれるたびに、対外情報体制強化が議論されてきた(筆者注:諜報は対外情報機能に必須の要素である)。
2005年に外務省に設置された「対外情報機能強化に関する懇談会」は、政府に英国の秘密情報機関(Secret Intelligence ServiceSIS)(MI6とも言われる)のような「特殊な対外情報活動を行う固有の機関」の創設を提言している。
 インテリジェンスにはその運用を誤ると危険な側面もあるが、それでも各国の指導者はインテリジェンスの有用性を認め、インテリジェンス機関を国家の行政機能の1つとして保持している。そして、諜報活動を公然・非公然に行っていることは世界の常識である。
 政府は、「脅威インテリジェンス」機能に係る体制を強化するため、早急にMI6のような対外情報機関を創設すべきである。

 最後に付け加えるが、現下の不透明さ・不確実性が増す世界情勢に対応するためにも対外情報機能に係る体制の強化は、喫緊の課題であることは言うまでもない。

《維新嵐》対米自立を主張する保守派の論客のみなさんにいいたいのは、我が国がアメリカから「自立」した独立国家をめざすなら、アメリカなみの「情報戦略」覇権国にならないといけない、ということである。覇権国、国連の常任理事国である条件は核兵器だけではない。独立した諜報機関をもち、ヒューミントによる情報収集、解析、国家戦略への応用ができてはじめて「まともな国家」といえるのです。「最大の武器」は核兵器にあらず。「インテリジェンスである」という認識を日本人は忘れているように思う。インテリジェンスは、敵対国同士を戦争させることも、隣国との武力戦争を抑止することもできる。国家はインテリジェンス機関の充実と国家戦略を確立しておくべきであろう。

実用的な脅威インテリジェンス

【ランサムウェアの脅威】
ITPRO SUCCESS~サイバーセキュリティはこちらはおすすめ

身代金はビットコインで払え FBIもお手上げのPCウィルス
史上最高の成功を収めるランサムウェア

土方細秩子 (ジャーナリスト)
20160222日(Monhttp://wedge.ismedia.jp/articles/-/6169
 ランサムウェア、と呼ばれるコンピュータウィルスが欧米で猛威をふるっている。ランサム、脅迫、と名付けられるだけあって、このウィルスは感染するとPC画面上に「時間以内にこの金額を振り込まないとPCネットワーク上のすべてのファイルを消去する」というメッセージをポップアップさせる。つまりPCの内容を人質にとった脅迫行為を行うのだ。
最善策は身代金を払うこと
 FBIがランサムウェア対策について質問され「最善の策は身代金を支払うこと」と答えた、というのがあり、警察でもお手上げのようだ。
 最初にオーストラリアで見つかり、企業などを相手取って「身代金」要求を繰り返してきたが、それが欧米全体に広がりつつある。通常は10万円程度のBitcoin(ビットコイン)での支払いを要求し、それに応じると解除コードが送られてくる。被害としてはそれほど高額ではないため、支払ってしまう企業が多い。コンピュータソフトウェア会社の試算によると、およそ44%の被害者がランサムウェアの要求額を支払っている、という。
3億ドル以上を稼ぐ
 ランサムウェアは「史上最高の成功を収めるウィルス」と呼ばれる。その数は2015年には前年比で倍になり、典型的なランサムウェアであるCryptolocker3.0と呼ばれるウィルス単独で15年には3億ドル以上を稼ぎ出した、という試算があるほど。
 ところが、米ハリウッドの病院に侵入したランサムウェアは悪質で、システムを乗っ取りなんと360万ドル相当を要求している。
 被害にあったのはハリウッド・プレスバイテリアン・メディカルセンターで、1週間以上前に同病院のコンピュータシステムがウィルスに感染。システムはダウンし、職員は紙とペンで業務を進めているものの、患者の過去の記録にアクセスすることもできず、病院内の電話システムも正常に作動しないため、必要部署に「走って伝言」という前時代的な業務を強いられている。
 病院やヘルスケアシステムは、過去に何度もハッカーのターゲットとなってきた。しかし目的は患者の個人情報の盗み取りで、今回のような金銭目当てのハッカーが病院を襲ったのは初のことだという。
 病院関係者は「病院がターゲットにされたわけではなく、数多く送られるランサムウェアがたまたま病院のシステムに入り込んだだけ」と説明する。しかし人の生命を預かる場所で、簡単にウィルスが侵入、患者に多大な影響を与えていることに、関係者は大きなショックを受けた。
 病院の機器の中にはX線、CTスキャンなど、コンピュータと連動するものが少なくない。そのためこうした機器が使えず、外来患者を断ったり入院患者を他の病院に転院させる手続きが取られた。その悪質さと要求金額の大きさから、やはりウィルスは病院をターゲットに仕組まれたもの、との見方も強まっている。
 結局、病院側は犯人と交渉し、患者優先の意味からも17000ドル相当のビットコインを支払ってシステムを取り戻した。支払い方法はウィルス画面に指示があり、それに従ってビットコインを振り込む、という方法がとられた。送金アドレスのみが存在し、銀行口座のようなものはないため、アドレスから個人の特定は不可能、しかも送金後にアドレスを削除してしまえば追跡が不可能だと言われている。このように犯罪に使われることが多いため、ビットコインへの批判も噴出している。
警察が身代金を払ってデータを取り戻す
 ランサムウェアを予防するには「独立したバックアップシステム」を常時用意する以外にはない。米では昨年、マサチューセッツ州とメイン州の警察までランサムウェアのターゲットとなり、結局身代金を支払ってデータを取り戻した、という事件があったほど。サイバー警察をもってしてもランサムウェアに乗っ取られたPCを回復させることは難しいのだ。
 しかし今回のランサムウェア騒動で明らかになったのは、PCシステムのウィルスに対する脆弱さだけではない。米国の健康保険の仕組みのどうしようもなさも浮き彫りになった。
 米国の健康保険はオバマケアでも扱いはブルークロスなどの巨大保険会社だ。保険は金額によって内容が異なり、最も安いものは受けられる診療内容に制限がある。例えば主治医のもとで異常が見つかったとしても、精密検査を行うには保険会社の承認が必要、さらに検査を受ける機関も保険会社から指定されるのだ。
 そのため、ハリウッドの病院の患者の中には「車で1時間もかかる病院に振り替えられ、非常に迷惑している」という声がある。患者の転院もしかりで、加入している保険内容により受け入れる病院とそうでない病院があるため、手続きは煩雑を極める。
 病院のような公共性のある施設へのウィルス攻撃は多大な影響を及ぼす、と今回の事件は世間に広く知らしめた。これに味をしめた類似犯が今後増加しないか懸念が広がっている。
怖すぎる…急増する「身代金要求型ウイル
ス」の脅威
 パソコンを操作していたら突然、操作不能に。画面には数字が表示されてカウントダウンが始まり、さらにはこんなメッセージが表示される。
24時間以内に要求する金を払わなければ、ファイルを削除する」
 これはランサムウェア「JIGSAW」と呼ばれるウイルスにパソコンが感染してしまった場合に起こる現象だ。このウイルスに感染するとファイルがロックされてしまい「元に戻すためには金を支払え」「○時間以内に金を支払わなければ、ファイルを削除する」といった表示がされる。パソコンを人質にとって、その身代金を要求するような形をとるため「身代金要求型ウイルス」とも呼ばれる。
 この身代金要求型ウイルスが近年、日本で急増しているという。セキュリティーソフトなどを手掛けている、トレンドマイクロのシニアスペシャリスト・森本純さんは次のように話す。
「昔からこのタイプのウイルスはあったのですが、2005年頃から世界的に被害が拡大、14年には日本語に対応したウイルスも登場し、日本も標的の一部となっています。そして15年から16年にかけては日本でも感染被害が急増しており、2016年上半期においては個人の端末で感染数は前年同期比の7倍にも上っている状況です」
 森本さんによれば、この身代金要求型ウイルスには2つのタイプがあるという。ひとつは「ロック型」というもので、感染するとパソコンやスマホの画面が動かなくなり、何も操作ができない状態になる。そして「元に戻したければ金を支払え」といった要求をしてくるのだ。

 このロック型はパソコンのほかスマホでも登場しており、なかには身代金としてiTunesカードでの支払いを要求してくるものもあるという。
 もうひとつのタイプが「暗号化型」。こちらに感染すると、パソコン、スマホ内に保存してある写真や動画などのファイルが暗号化されて見られなくなってしまう。そして画面にはやはり、暗号化されたファイルを元に戻すために「金を支払え」という要求が表示される。
 「暗号化型」の中には、ホラー映画を想起させる新種が登場している。それが、冒頭に紹介した「ジグソウ」が登場する、暗号化型ランサムウェア「JIGSAW」だ。これに感染すると、画面にホラー映画「ソウ」の殺人鬼「ジグソウ」を思わせる画像が表れる。そしてユーザーのファイルをロックすると、徐々にファイルを削除しながら、「身代金」を払うように要求してくるのだ。映画を知っている人なら、恐怖心から支払いに応じてしまうこともありそうだ。
 ではもし、表示に従って金を支払った場合はどうなるのか。森本さんは次のように話す。
「お金を支払ったからと言って端末が100%元に戻るとは限らないのですが、戻る場合もあります。しかし、支払いをした際に相手に自身の個人情報など、新たな情報を与えてしまうリスクもあります。そこからさらに被害が拡大することにも考えられますし、もちろん端末が元に戻らないこともあります。セキュリティーの観点から言って、支払うことは推奨されません」
 そうなると、感染しないためには、どのような対策をとっておけばいいのか。
「一番重要なのは、あらかじめセキュリティーソフトを導入しておき、ランサムウェアの感染をくい止めることです。ただし、万一の感染に備え、重要なファイルはあらかじめバックアップしておきましょう。感染した後でも、セキュリティーソフトを入れることでランサムウェア自体を駆除することができる場合もありますが、特に暗号化型の場合、すでにファイルが暗号化されており、元に戻すための“カギ”は攻撃者が持っているため、端末からウイルスを駆除できても、ファイルが元に戻らないことがあります」(森本さん)
 万一、身代金要求型ウイルスに感染した場合も、焦って身代金を支払わないことを肝に銘じておきたい。そしてやはり、身代金要求型ウイルスの被害にあわないためには、あらかじめセキュリティーソフトを入れておくことが重要なようだ。(文・横田泉)

【近年のサイバー攻撃の事例】
政治家、政府の外郭団体へ狙い撃ちです。
丸川五輪相の公式サイトにサイバー攻撃 「是正策講じた」
産経新聞

丸川珠代五輪相は201726日、自身の公式サイトにサイバー攻撃があったことを明らかにした。丸川氏は首相官邸で記者団に「ホームページは外部に管理を委託しており、管理ソフトの脆弱(ぜいじゃく)性を突いて改竄(かいざん)された。必要な是正策は直ちに講じた」と説明した。
 丸川氏の事務所によると、公式サイトのトップページの一部が書き換えられ、英語の文章が表示されていた。警察からの連絡で気付いた。コンピューターウイルス感染や情報流出はなかったという。


経団連にサイバー攻撃か、政府とのやりとりなど漏れた可能性
TBS系(JNN201611/10() 14:11配信http://headlines.yahoo.co.jp/videonews/jnn?a=20161110-00000076-jnn-bus_all

経団連は平成281110日、緊急会見を開き、先週、サイバー攻撃を受けたおそれがあり、政府とのやりとりなどが漏れた可能性があることを明らかにしました。
 
経団連によりますと、今月4日、事務局のコンピューター12台から外部と不審な通信を行っていた疑いが見つかり、調査した結果、何者かにサイバー攻撃を受けた可能性があるということです。
 
コンピューターが不正なソフトに感染した可能性があるほか、政策提言に関する書類や政府とのやりとり、委員会の名簿などが漏れた可能性があり、対策チームを設置し、詳細を調査しているということです。経団連は1300社以上の大企業が加盟しています。(1013:37

経団連のPC、ウイルス感染か 情報が漏れた可能性も
朝日新聞デジタル

経団連は10日、事務局のパソコンから海外のサーバーに対し、不審なアクセスがあったと発表した。ウイルス感染により、官公庁とやりとりした文書や委員会の名簿などが漏れた可能性があり、経団連はくわしく調べている。
 経団連によると、10月26日から11月2日にかけて、職員のいない早朝や深夜などに、国際協力本部などのパソコン計12台と、海外の複数の地域にある7カ所のサーバーとの間で、大量のアクセスが繰り返されていたという。
 漏れた可能性があるのは、政策提言活動をしている経団連の委員会の会員名簿や、委員会の議事録、提言に関する文書など。官公庁とやりとりしたメールなども漏れた可能性もある。
 ネットワークの運営を委託している民間企業から11月4日に指摘があり、発覚した。パソコンがウイルス感染していた疑いがあり、経団連は現在、調査を進めている。


企業へのサイバー攻撃ですが、何でアノニマスであるとわかるんでしょう?


KADOKAWA、南海電鉄…サイバー攻撃相次ぐ・「アノニマス」か?
20151030 201http://news.livedoor.com/article/detail/10773460/

 国内の企業や団体のインターネットサイトに海外からのサイバー攻撃が相次いでいることが30日、警視庁などへの取材で分かった。
 国際的ハッカー集団「アノニマス」によるものとみられ、警察当局は都道府県警間で連携を取り、警戒を強めている。関係者などによると、今月22日には出版社KADOKAWA(東京都千代田区)が運営するサイトも攻撃され一時閲覧不能となった。28日午前には、南海電鉄(大阪市)の公式サイトも攻撃を受け、約3時間閲覧できなくなった。外部から短時間に大量のデータを送りつけることで負荷をかけ、サーバーをダウンさせるDDoS攻撃が仕掛けられたとみられる。
以下は、高齢者という「個人」を標的にしたサイバー攻撃。
【「被害解決する」業者も暗躍】
ワンクリック請求に慌て高齢者のアダルトサイト相談が急増
2015.6.10 08:12更新 http://www.sankei.com/west/news/150610/wst1506100016-n1.html

兵庫県生活科学総合センターは、平成26年度の県内の消費生活相談状況をまとめた。県内48カ所の消費生活センターに寄せられた相談件数は計5万1093件で前年度比741件増。中でもアダルト情報サイトに関する相談が前年度から大幅に増えており、センターが注意を呼び掛けている。
あるある…“動画再生ボタン”クリックしてしまい…
 センターによると、全相談のうち、金銭の支払いなどを伴う苦情は過去5年で最多の4万2845件で、問い合わせは8248件だった。前年度と比較し、苦情は688件、問い合わせは53件それぞれ増えた。
 すべての相談のうち、インターネット情報サービスに関する相談が最も多い7761件で、前年度から25%増加した。インターネットの動画再生ボタンをクリックして料金を請求されるワンクリック請求などアダルト情報サイトに関する相談が半数以上を占めた。
 請求された人がインターネットで「被害を解決する」という業者を見つけて問い合わせをしたところ、さらに料金を請求されるといった相談も46件(前年度12件)に増えた。

また、プロバイダーの変更などインターネット接続回線の相談が1679件(前年度819件)に増加。「半額になる」と勧められ、プロバイダーを変更したが、月額料金が高くなったとの相談も増えている。
 センターの担当者は「高齢者がアダルトサイトのワンクリック請求に慌て、サイトの連絡先に電話して被害にあうケースが増えている。一人で悩まず、まずは公的な消費生活センターに相談してほしい」と呼び掛けている。


0 件のコメント:

コメントを投稿