サイバー犯罪、 “逃げ得”はもう終わり? 国際連携で進む“抑止力”構築の最前線
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバー攻撃者に責任を問うための新たな取り組みを模索」を再編集したものです。
私は最近アジアを訪れ、グローバルな攻撃者に対するサイバーレジリンス(対応力)の連携強化に焦点を当てた、アジア地域における複数の重要なディスカッションやイベントに参加しました。これらのイベントは、サイバーセキュリティコミュニティが業界やセクターを横断した国際的なパートナーシップによって、グローバルなサイバー犯罪の活動の阻止をどのようにサポートできるかを戦略的に検討する機会が数多く提供されました。話題となったものの1つとして、サイバー犯罪者の行動に対して責任を問う必要性の高まりに焦点を当てたものがありました。
この議題が最初に取り上げられたイベントは、INTERPOLのサイバー犯罪総局のアジア / 南太平洋デスクが主催したOperation SECUREであり、22ヵ国のサイバー専門家が、タイのバンコクに集結しました。私は、Operation SECUREのCyber Command Courseに参加し、世界経済フォーラムのPartnership Against Cybercrime(PAC)ワークショップの中のCybercrime Atlasイニシアチブに関する最新情報についてのプレゼンテーションを行い、国境を超えたサイバー犯罪と戦うための活動戦略とベストプラクティスを紹介するとともに、国やセクターを跨った連携の強化を促すプラットフォームに関する分科会を主導しました。また、最近、世界経済フォーラムのPACコミュニティの「Disrupting Cybercrime Together: The Implementation(サイバー犯罪を共に撲滅:実行)」という名前のバーチャルセッションに参加しました。セッションでは、サイバー犯罪と戦うための体系的で拡張可能なソリューションを生み出すために、PACコミュニティの深い専門知識を活用する実用的なツールに注目が集まりました。
戦略やテクノロジーは、長年にわたり発展し進化してきました。一方で、サイバー犯罪者がランサムウェアで利用する、人を恐喝して利益を得る手口は、サイバー空間で最初にランサムウェアの亜種が確認された1989年以来、変わっていません。これは単純に人間の性質が昔も今も変わらないからです。私は20年以上にわたり、脅威情勢(脅威の全体像)を研究し、終わりのないチェスゲームの中で、攻撃者の手口、技術、手順に関する最新の動向を理解してきました。私はフォーティネットで、マルウェアアナリストおよびリバースエンジニアとしてキャリアを開始し、武器化されたコードの新たな進歩や、より重要な点として、同コードの出所元について調査してきました。私たちは、サイバー攻撃を使った「一攫千金」に人々を誘導するアフィリエイトプログラムだけでなく、サイバー犯罪者の不正送金(マネーミュール)や資金洗浄(マネーロンダリング)の業者に対しても厳しく調査するなど、サイバー犯罪者に対処する必要があります。
脅威アクターに対する抑止力を構築する
将来を展望すると、サイバー防御者とサイバー攻撃者にとって、テクノロジーは絶えず進歩し続け、防御する側は、組織を保護するためにたゆまぬ努力を重ねながら、古くから言われている「いたちごっこ」を繰り広げていくことでしょう。一方で、サイバー犯罪の根深い根本原因となっているのは人間、つまり敵対者です。
私たちはこの問題に正面から取り組み、サイバー犯罪者にその犯罪に対する責任を、体系的かつ大規模に負わせる必要があります。既存のサイバー犯罪者やサイバー犯罪者を志す人物に対する抑止力を構築し、最終的には、サイバー犯罪者の心に恐怖を植え付ける必要があります。
そのためには、公共部門と民間部門が連携した「数の力」のアプローチにより、インフラストラクチャの破壊と解体、およびサイバー犯罪者の逮捕と起訴に取り組むことが不可欠です。
サイバー犯罪のマクロ経済的な変化
ダークウェブは年々拡大しており、初心者のサイバー犯罪者が自力でキャンペーンを行えるCaaS(Cybercrime-as-a-Service:サービスとしての犯罪)オファーが新たに登場しています。例えば、初期アクセスブローカー(IAB)は定期的にセキュリティ侵害された組織のアクセス権をオークションで最高入札者に売り出します。CaaSは、ディープフェイクサービスや偵察サービスなど、利用可能なオプションが増加し続けています。多様化は市場の繁栄を後押しし、サイバー犯罪はマクロ経済的にも力が増しています。
この成長は予想どおり、鈍化の兆候は見られません。当社のFortiGuard Labsチームは、サイバー犯罪企業のさらなる発展を観察しており、そこでは犯罪活動を推進するために、組織を拡大し、内部にビジネスユニットが構築されています。現在、1つのサイバー犯罪組織には50人~100人の個人が関与していることが一般的です。かつてはサイバー犯罪組織のリーダーを逮捕すると、サイバー犯罪活動を大幅に阻止することができましたが、現在はそうではありません。
サイバー犯罪組織のすべての個人に責任を負わせる、新しいアプローチが必要です。これは、サイバー犯罪の増加を抑制し、新規参入数を減らす上で重要なステップです。
官民連携により、撲滅の連鎖を構築
サイバー犯罪は国境を超えるため、世界中の公的組織と民間組織が団結して、サイバー犯罪を効果的に撲滅することが非常に重要です。フォーティネットは、官民連携の推進に長年にわたり取り組んでおり、Cyber Threat Alliance(CTA)、国際刑事警察機構(INTERPOL)、および世界経済フォーラム(WEF)などの組織と連携してきました。
フォーティネットが創設メンバーでもあるCTA(Cyber Threat Alliance)では、競合会社間の垣根を取り払い、実用的な脅威インテリジェンスを定期的に共有し、最終的には、業界の成熟を促すことを目的に取り組んでいます。CTAは現在までに、インテリジェンス勧告を1,000件以上公開しており、防御者は、攻撃者に優位に対応することを可能にしています。また、同組織およびそのメンバーは、より体系的に攻撃者を阻止するなど、デジタルエコシステムのセキュリティを改善するために、業界の脆弱性に関するコミュニケーション方法を幅広く定義することにも取り組んでおり、今月初めに「Responsible Vulnerability Communication Policy(責任ある脆弱性コミュケーションポリシー)」をリリースしました。
また、CTAとのパートナーシップに加え、フォーティネットは2015年から、INTERPOLのサイバー犯罪グローバル専門家グループのメンバーとして、同組織と協力しています。2018年に、フォーティネットは、INTERPOL Gatewayの正式なパートナーとなりました。それ以来、フォーティネットは、INTERPOLが主導する数多くの取り組みに直接貢献しており、これには、ASEAN地域で実施した、9,000件近くのコマンド&コントロールサーバーと数百件の感染Webサイトの取り締まりにつながった作戦なども含まれます。
また、フォーティネットは、世界経済フォーラムとも協力しています。フォーティネットは、2019年にCentre for Cybersecurityの創設メンバーとなり、AIとサイバー空間に関連するPACやその他の取り組み、およびサイバースキルのギャップを埋めるための共同の取り組みやイニシアチブに積極的に貢献しています。また、フォーティネットは、Cybercrime Atlasプロジェクトの創設メンバー4社のうちの1社でもあり、2022年~2023年にかけて、世界経済フォーラムと一緒に同イニシアチブの概念実証に取り組み、昨年、プロジェクトの運用を開始しました。Cybercrime Atlasの目標は3つあります。1つ目は、サイバー犯罪エコシステムをマッピングしてチョークポイントを特定すること、2つ目は、インフラストラクチャの解体や暗号通貨の押収などの活動を通じて、サイバー犯罪組織を包括的に撲滅すること、3つ目は、グローバルで体系的な運用モデルを構築するために、学んだ教訓を通じてポリシーを策定することです。
Cybercrime Atlasのコントリビュータは、運用1年目で、コミュニティで精査した実用的なデータポイントを10,000件以上共有したり、新たな脅威に関するインテリジェンスパッケージを7つ作成して防御者に配布したり、国境を超えた2つのサイバー犯罪撲滅キャンペーンをサポートしました。Cybercrime Atlasコミュニティは昨年、INTERPOLのOperation Serengeti(セレンゲティ作戦)に貢献し、1,006人の容疑者の逮捕につながりました。このコラボレーションは、官民連携の有効性を示す輝かしい一例であり、世界中のサイバー犯罪者に警告を発しています。
攻撃者の抑止および責任追及のための新たな戦略を模索
サイバー犯罪活動の撲滅は、既存の取り組みを通じて大きな進展が見られる一方で、Operation SECUREでの議論では、官民セクター全体でリソース、教育、およびトレーニングの強化が必要である、という共通のテーマが中心となりました。民間部門は、攻撃の帰属や脅威インテリジェンスに関する詳細情報を提供する必要がある一方で、公共部門は、起訴を行ったり、法定で証拠を提示するためにトレーニングやリソースを強化する必要があります。
繰り返しますが、私たちは、サイバー犯罪者の心に脅威を植え付け、彼らの行動は罰せられるというメッセージを送る必要があります。これを達成するための1つの方法は、サイバー犯罪報奨金プログラムを運用することです。
「数の力」を活用して、脆弱性の代わりにサイバー犯罪者を対象とするアプローチであり、サイバー犯罪の根本原因に対処するための実行可能な道筋を示しています。
業界では、このアイデアを模索するために、サイバー犯罪者の逮捕や起訴につながる情報提供に対して、金銭的な報酬を提供するサイバー犯罪報奨金プログラムを検討しています。報奨金は、特定の脅威アクターの被害を受けた組織によって提示され、同プログラムのメンバーは、脅威ハントを開始する際、タスクボードにサインアップすることで、サイバー犯罪に関する情報を大規模に得ることができます。この取り組みが発展し、取り締まりが世に知られるようになると、既存の脅威アクターや脅威アクターを志す人物にとってさらなる抑止力となります。また、法執行機関も、民間部門からのフィードバックに基づいてターゲットに優先順位を付けることが可能なため、メリットがあります。
サイバーセキュリティ業界が成熟する中、サイバー犯罪を大規模に阻止するには、脅威アクターに責任を負わせることが次のステップになります。取り組みを成功させるには連携が非常に重要です。過去および現在の業界のパートナーシップの成果が何らかの指標となるのであれば、これは、私たちが団結して達成可能なもう1つのマイルストーンです。
フォーティネットは、お客様を第一に考え、サイバー犯罪を撲滅するためのイニシアチブをさらに模索し、現実化するサイバー犯罪の脅威から社会を守るために引き続き取り組んでいきます。