デジタルフォレンジック、インシデント対応、アトリビューションの現状
アンディ・パテル
今年、何件かのサイバー攻撃が注目を集め、大きなニュースの見出しになったが、その後、ネット上のコメントを読むにつけ、インシデント対応サービスがどのように利用されるか、アトリビューション(サイバー攻撃の属性の特定)がどのように行われるか、およびサイバー犯罪の捜査における警察の役割に関して、一般の認識に混乱が生じているように思われてきた。この記事がそうした混乱の解決に役立ち、最もよく尋ねられるいくつかの質問に対する回答となってくれればと思う。
@theintercept は何を言ってるんだ?それはインシデント対応と呼ばれていて、セキュリティ侵害を受けた組織がそうしたサービスに対して対価を支払うのは日常茶飯事だけど。 pic.twitter.com/9JkRTRK9o3
— Sean Sullivan (@5ean5ullivan)
@5ean5ullivan @theintercept それが一般的だと私も聞いたことがある。業界全体がそれを中心に構築されているとさえ言われている。
— the grugq (@thegrugq) December 16, 2016
サイバー犯罪の捜査は、詐欺や金融犯罪の捜査によく似ている。今日の金融犯罪の多くは、実体的にはサイバー犯罪である。金融犯罪と同様に、サイバー犯罪は見つけるのが難しいことが多い。
金融犯罪の場合、怪しげなことが行われていても、四半期の財務監査などが実施されて初めて発覚するということもある。一部のサイバー犯罪も、これと同様に巧妙で見つけづらい。たとえば、長期間に渡ってデータを流出させようと、企業のネットワーク上に攻撃者が潜伏していて、定期的な脅威評価プロセスの一環としてネットワークのスイープが行われて初めて、あるいは新たな侵入検出システムがインストールされたときに初めて侵入があったことが発覚するといったケースもある。もっとも、すべてのサイバー犯罪が見つけるのが難しいというわけではない。たとえば、攻撃者が身代金の要求のために被害者側に接触する、あるいは、攻撃者がデータを外部に漏洩させ、被害企業がそのことに気付く、といったように、その犯行の過程の中でおのずから明らかになるようなサイバー犯罪もある。
興味深いことに、この数年の間に注目を集めたいくつかのセキュリティ侵害事件においては、侵害が発覚したのが、プリセールスのデモや試用のために、サイバーセキュリティベンダーが被害者のネットワークに技術スタックをインストールしたときだったというケースもあったようだ。
発覚の経緯がどうであれ、企業が金融犯罪やサイバー犯罪の被害を受けたのではないかと思ったら、警察への通報の前に、さらなる証拠となる情報を収集する必要がある。調査が開始されると、外部から様々な第三者監査員が呼び込まれるのが通例だ。不正行為や金融犯罪が疑われる場合は、保険会社がそうしたサービスの一部を提供することができる。サイバー犯罪の場合には、デジタルフォレンジックおよびインシデント対応を専門とするサイバーセキュリティ企業が呼ばれることになる。
被害を受けた組織は、そうしたサービスの料金を自腹で支払う。なぜだろうか。インシデント対応というのは、フォレンジック調査だけを意味するわけではない。インシデント対応には、被害を受けたシステムのクリーンアップ、侵害前の状態へのネットワークの復元、失われたデータの復元といった作業も含まれ、さらには、それ以後のインシデント発生の予防のために、被害を受けた組織に対するセキュリティ運用およびリスク管理計画の調整の支援が含まれることもある。いつ、どのようにサイバー犯罪が行われたかを特定するのに十分な証拠が収集されたら、インシデント対応業務の一環として、警察への通報が行われる。
通報を受けると警察は、民間業者が行ったインシデント対応作業を通じて収集されたフォレンジックデータを捜査のたたき台として利用する。警察は、民間の調査ではアクセスできない情報源にアクセスしてさらなる証拠を調べることも可能だ。警察なら、たとえばインターネットサービスプロバイダなど、さらに多くの民間の情報源からログを集めることもでき、警察が行った他の捜査情報との相関を調べることもできる。経験上、警察は捜査を行っている間、最初に対応に当たった第三者の民間業者に協力を要請することも多いようだ。
サイバー攻撃の属性を判定するのに使える便利なサイコロがあるようだ
(画像の出典元: https://www.etsy.com)。
サイバー攻撃の属性を特定する作業は、科学というよりも職人芸である。サイバー犯罪に関しては、民間のインシデント対応業者は、知識や経験に裏付けられた推測をもとに攻撃の属性の特定作業を行う。それには、現場で見られたTTP(Tactics, Techniques and Procedures:戦術、手法、手順)と、過去の事例やオープンソースの脅威対策の知見とを照らし合わせることが必要になる。現場で見つかったカスタムツールやマルウェアなどのサンプル、フィッシングメールに見られる言語およびコンテンツのパターン、C&Cサーバやフィッシングサイトの設置場所、潜伏や侵入拡大のために用いられる手法、攻撃に関連のあるIPアドレス、およびその他の調査を通じて見つかったあらゆるメタデータについて分析作業を行う。また、容疑者グループの犯行目的についても、攻撃の属性を推測する際の検討対象にされることがある。攻撃の属性を特定する際に、民間のサイバーセキュリティ企業と警察とが協力し合うことは珍しいことではない。けれども進行中の捜査の機密保持のため、警察が収集または提供した証拠情報については、攻撃の属性についての第三者による調査結果が公表される際には、公表対象から除外されるのが一般的である。
サイバーセキュリティ企業の数は、保険金融サービス企業の数に比べてはるかに少ない。そのため、サイバーセキュリティサービス企業はひっぱりだこである。実際、セキュリティを重視している組織では、サイバーセキュリティ企業に年単位で顧問料を支払い、顧問契約を結んでいる例も数多く見られる。そうすることにより、インシデントが発生したときに直ちに支援が得られ、インシデント対応作業についてもあらかじめ取り決められている料金で行ってもらえるような体制を整えている。これは、非常事態に備えて法律事務所や金融サービス会社と顧問契約を結んでおいたり、保険会社と特別な法人契約を結んでおいたりするのとよく似たものだ。サイバーセキュリティ企業と顧問契約を結んでいない組織は、概して、いざ必要になったときにインシデント対応およびフォレンジックサービスをなかなか手配できず、支援を受けられる相手がようやく見つかっても、かなり高額な料金を支払うはめになってしまいがちである。
インシデント対応業務は、セキュリティ侵害やサイバー犯罪への対応を行うことだけに留まるものではない。近頃では、企業はサイバー保険に加入することができる。サイバーセキュリティインシデントに関わる保険金の支払いの際には、フォレンジック業務がその存在意義を示すことになる。保険会社には、保険金請求の審査や、請求が行われた際に企業側の責任の範囲を判定する業務を行う保険調査員がいる。一般的な保険の場合、保険調査員は、請求者や関係者との面談、警察や病院の記録の調査、被害額の査定など、さまざまな方法で情報を集める。サイバー犯罪の場合はサイバー保険調査員が、保険会社が事故対応を行うのと同じようにフォレンジック調査を行う。補償金は、サイバー保険調査員の調査結果に基づいて請求者に支払われる。たとえば、事前に修復しておくべきだった既知の脆弱性を通じてネットワークが侵害されたものだとサイバー保険調査員が判定した場合は、請求者が受け取る補償額が減額されることがある。これは、玄関ドアを開けたままにしていて強盗に入られたと判定された場合に、受け取る補償額が減額されるのとまったく同じことである。
サイバーセキュリティインシデントがますます広範囲に渡って発生するようになるのにつれて、企業も環境に適応する必要性を自覚するようになりつつある。予算を確保してサイバーセキュリティサービスを契約したり、定期的にトレーニング、脅威評価、リスク評価を行うための費用を支払ったり、さらには専門家を雇用して社内におけるサイバーセキュリティの運用管理に当たらせたりすることが必要になってくるのだ。今日では、サイバーセキュリティを重視しないことで発生するコストは、事業の安全性が確保されていないことで発生するコストと同じである。にもかかわらず、自分が次のセキュリティ侵害の被害者になると思わず、そうしたコストをまったく考慮しない企業がたくさんある。そして、そのような企業は、たいがい、長期的に見れば途方もなく高い金額を支払うはめになるようである。
カテゴリ