国家主導型のサイバー攻撃組織と金銭的な利益を目的とするサイバー犯罪組織の相違点とは?

従来型のサイバー犯罪と国家支援型の組織による攻撃との境界線が現在曖昧になっています。これは、これからのサイバー脅威環境にどのような影響をもたらすのでしょうか?

各国の政府機関は、これまでサイバー攻撃への対策を積極的に講じてきました。しかしここ数年、攻撃数が増加しているだけではなく、さらに大胆にもなっています。重要なインフラから複雑なサプライチェーンに至るまで、さまざまな標的に対する「国家主導型」と考えられるサイバー攻撃がニュースの見出しを飾るようになりました。しかし、攻撃の細部を検証してみると、これらの国家主導型の攻撃と従来のサイバー犯罪との境界はますます不明瞭になっています。

この状況は、今後の脅威環境や、グローバル企業がサイバー犯罪から受ける被害にどのような影響を及ぼすことになるのでしょうか。地政学的なコンセンサス、つまり、国家間の取り決めや意見の一致がなければ、特定の国家の庇護の元で活動している犯罪組織による攻撃を阻止することは、かなり困難になるでしょう。

過去の境界

筆者がサイバーセキュリティに関する記事を書き始めたのは16年以上前になりますが、当時、国家による攻撃が特定されることは非常に稀なことでした。しかし、スタクスネット(Stuxnet)が登場したことで、潮目が大きく変わります。スタクスネットのような攻撃は「国家主導型」と表現されることが多くなりましたが、攻撃の帰属という問題は五里霧中の様相を呈しています。このような攻撃キャンペーンについては政府機関による指示と考えることが合理的です。なぜなら、攻撃の標的やタイプが金銭的な目的とはそぐわないからです。

この「国家主導型」という用語は、おそらく、長年にわたって間違って使われてきたことが多いと思われます。しかし、このような混乱は、政府機関の狙いとおりかもしれません。匿名化の技術によって、攻撃の帰属を完全に明らかにすることは困難であり、「もっともらしい否認」の問題に必ず直面することになるのです。

関連記事:干し草の中の針 - 脅威の帰属に関する技術(英語のみ)

 

国家主導型の攻撃キャンペーンには、いくつかの重要な特徴が見られます。

  • 独自に開発されるマルウェアやツールは、ゼロデイの脆弱性を検出して攻撃に利用できるようにするために、時間をかけて調査と研究を重ねた結果の生み出されたものと言えます。これは、たとえば、アメリカ国家安全保障局(NSA)から盗まれたとされるEternalBlueやその関連ツールを生み出すような能力です。
  • APT(持続的標的型攻撃)とも呼ばれる高度で多段階の攻撃は、長期にわたる偵察と、ネットワーク内に長期間潜伏する能力を特徴としています。
  • APTの活動の中心は、金銭ではなく、地政学的な目的で実行されるサイバースパイ活動や破壊です。

これらの特徴は、ある程度は現在の脅威環境にも当てはまりますが、状況はさらに複雑になっています。

サイバー脅威の現状

現在、世界のサイバー犯罪の規模は、年間数兆ドルに及んでいます。これは、多くの国のGDPをすでに上回る金額となっており、1つの経済圏として完全に機能しています。フリーランスエンジニアのリソースや知識、多くの国が欲するような機密データが渦巻いています。防衛システムの開発と製造に、正規の請負業者やサプライヤー(民間企業)が政府機関に採用されるのと同じように、サイバー犯罪者とそのリソースが、非公式で特定の目的に限定されるアウトソーシング契約の対象となることが増えています。

また、これまでの地政学上の規範にも変化が見られています。サイバー空間は、その交戦条件や衝突の回避についてどの国も合意していない新たな戦争の舞台です。特定の国家は、直接的あるいは間接的に経済スパイを支援することが許容されていると考えています。さらに、敵対国に対しては、組織的なサイバー犯罪を許可している国家もあります。

関連記事:CyberwarCon - 国家による卑劣なサイバー攻撃の未来(英語のみ)

 

現在の環境では、従来型の国家主導型の脅威と、一般的なサイバー犯罪の脅威の境界を見極めることが困難になっています。たとえば、次のような状況が見られています。

今こそ積極的な対策を

今後はどうなるのでしょうか?ランサムウェア攻撃が広がっており、エネルギー産業食料品業界のサプライチェーンに深刻な影響を与えているとして、いくつものサイバー犯罪組織が非難されています。米国は、Evil Corpなどいくつかの組織を公式な制裁リストに載せています。これにより、攻撃の被害者や保険会社が身代金を支払ってしまうと、法律に違反することになります。しかし、これらの組織は、このような規則を回避するために、組織名を常に変更し続けています。

結論から言うと、国家が暗黙的にその活動を承認している場合でも、積極的に支援している場合であっても、サイバー攻撃のサービスを求める市場がある限り、これらのグループの活動は継続するでしょう。

日々サイバー脅威との戦いに身を置いているサイバー脅威の研究者やCISOにとって、これは歓迎すべき状況ではありません。しかし、明るい兆しもあります。多くの経営幹部は、国家による攻撃に対しては何もできない、つまり、攻撃側は豊富なリソースと洗練された技術を持っているため、防御しようとすること自体が無駄だと考えてしまうことがありますが、これは間違いです。実際、このような攻撃者は必ずしも国家による膨大な支援を受けている超人とは限りません。一般的なマルウェアを使用している場合もあれば、一時的に雇用されている場合もあります。

つまり、どのような敵であっても、セキュリティ戦略の基本は変わることはありません。継続的なリスクプロファイリング、多層防御、強固なポリシー、そしてプロアクティブで迅速な検知と対応という基本的な対策を着実に進めることが重要です。

関連資料