「ハクティビストの逮捕=安全なネットワーク保証」ではない

米連邦捜査局(FBI)は、2012年3月6日(米国時間)、ハッカー集団「Anonymous(アノニマス)」および「LulzSec(ラルズセック)」などのメンバー6人の逮捕を発表。この報道を受け、インターネットのユーザはそれぞれ意見を交わしています。今回、本記事にて筆者自身の見解についても述べてみます。

不法行為を働く集団が法の裁きを受けることになったという事実は、喜ぶべき快挙といえます。ところが一方で、この事実には、「ハクティビズム」や「ハクティビスト」に関連する事例が増加しているという注視すべき問題点が内在していることを見逃してはなりません。なお、ハクティビズムとは、政治的な主張から、「サービス拒否(DoS)攻撃」などの攻撃手法を利用してハッキング活動を実行することで、「ハクティビスト」とはハクティビズムを仕掛けるサイバー犯罪者を指します。

図

まず、何よりも伝えたいことは、今回の逮捕によってハクティビストによる攻撃活動に何ら影響を与えたわけではない、ということです。ハクティビストたちによる攻撃は、今後も終わることはなく、事実、こうした攻撃事例は増加傾向にあるのです。

その理由を考えてみましょう。それは彼らがハッキング行為やサイバー攻撃を行うことができる状況にあるからです。

つまり、ハクティビストであろうが誰であろうが、「ネットワークをハッキングするという行為」は決して簡単ではないはずでが、そのような「簡単ではない行為」がなされてしまったという点が問題だといえます。

実はこうしたハクティビストのほとんどは、いわゆる「プロの犯罪者」ではありません。「本物」のプロの犯罪者は、東ヨーロッパや中国などに拠点し、ソースコードなどを共有する Webサービス「Pastebin」に収集した情報を投稿したり、Twitter上でつぶやいたりしません。こうしたことから、大抵の法的機関が本物のプロ犯罪者たちを正確に特定し、逮捕・送還・起訴といった法的措置を講ずることができるかどうか大いに疑うところです。

誰もが「犯罪者は逮捕されるべき」と考えるものですが、一方で、このようなサイバー犯罪者の検挙数がさらに増加し、すべてのサイバー犯罪者たちが逮捕される日が訪れると考えることは非現実的と言えます。事実、「犯罪者の逮捕=サイバー犯罪の撲滅」という考えは、基本的に間違っているのです。

こうしたハクティビストたちは、不十分なセキュリティ対策やセキュリティに対する無知を突いてきます。また、知的所有権や個人情報、管理システム、クレジットカード情報、利用価値のあるその他の情報やシステム情報を狙う不正なアクセスを防御するための運営実践が不十分な組織・企業もまた、世界各国で格好のターゲットになります。

もちろん今回の逮捕は朗報であることに間違いありません。しかし、もっと重要なメッセージが隠れてしまっているのではないでしょうか。それは、「組織・企業は、自らの資産・機密情報を保護するための十分な対策を本当に行なっていない」ということです。

この問題に対し、私たちはもっと全体的な視野を持って取り組む必要があると考えます。どこから取り掛かるべきかは簡単ではありませんが、まずは基本の対策をしっかりと導入すべきでしょう。今後予測される脅威を対処するためのレベルを引き上げるために、組織・企業が継続して取り組むべく「ネットワークおよびデータ保護の実践方法」は数多く存在します。ここで「継続的に行うアセスメントの姿勢」として「OODA LoopObserve, Orient, Decide, Act)」の総括的なセキュリティ運営実践方法を紹介します。この実践方法は、もともと米空軍の John Boyd大佐によって提唱された意思決定理論です。Observe(監視)、Orient(情勢判断)、Decide(意思決定)、Act(行動)のサイクルを繰り返すことで、「最適な状況判断」を行うことができるという理論から、広く取り入れられている戦闘実践です。OODA Loop の規範モデルの注目すべきは、脅威に対して警戒・監視・予測・対応するといった姿勢を組織・企業に絶えず持ち続けるさせることが可能であるという点です。

米軍で採用されている実践方法をセキュリティ運営実践方法として用いる発想は、荒唐無稽なものとして響くかもしれませんが、この実践方法は、脅威に対する警戒姿勢の成功例として周知されており、20年以上にもわたりセキュリティ業界で支持されてきているものです。この他、組織の一員のとして、ユーザがまず最初にすべきことは、組織のセキュリティ状態がどのようであるかを理解することです。本質的な価値に準じて重要な情報は適切に脅威から切り離し、保護されているか、不正なアクセスであると表示されるトラフィックから絶えず保護され、監視できているか、これらを理解することも必要不可欠です。

セキュリティ対策に関して今まで多くの場で言及してきましたが、結論を言うと、インターネットに接続した瞬間から 100%の安全は存在しなくなります。最善策は、ユーザ一人ひとりが自己の資産(機密情報や個人情報など)を守り、組織のセキュリティを強固なものに対するレベルを引き上げる努力を絶えずし続けることです。

いくらハッカー集団が逮捕されたとしても、それ自体はセキュリティ対策の代わりにはならず、安全な日がやって来ることはないのです。

参考記事:

  • Hacktivist Arrests Are Great, But They Don’t Protect Your Networks
     by Paul Ferguson (Senior Threat Researcher)

    •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 48のAndroidアプリで不正なLibraryファイルを確認、トレンドマイクロが修復ツールを提供
    2. アジア圏で確認された標的型攻撃、RAT「RARSTONE」を利用
    3. 情報収集するファイル感染型ウイルス「PE_EXPIRO」への対策とは
    4. 暗号化型ランサムウェアの侵入方法およびその対策について