9月30日付けのワシントンポスト紙は、トランプ大統領が北朝鮮に対する圧力の強化を盛り込んだ大統領令に署名していたことを伝えました。

この記事によれば、大統領令は、「北朝鮮の偵察総局や軍事諜報局のハッカーを標的として、彼らのサーバーに大量の負荷をかけることでインターネットへのアクセスができないようにする」DDoS攻撃を許可するものだったとのことです。また、その攻撃は「一時的なものであり破壊的ではなかった」ことを強調しています。さらに、記事には「北朝鮮のハッカー達は、インターネットにアクセスできなくなったことで自分達の仕事が妨げられたことに不満を漏らした」という自画自賛的な記述もありました。

これら3つの文は、米サイバー軍の機能不全と、現政権が行動の見かけのために犠牲にしようとしている諜報能力の大きな損失に関する重要な洞察を提供してくれます。
作戦が委員会によって決定され、その目標が正当な成果を達成することではなく、単に何かを行うことである場合、1990年代の能力で、不必要に諜報能力を酷使し、この作戦に関する敵の発言を最初に監査することなく勝利宣言することになってしまいます。

米サイバー軍の愚行

この作戦が本当にワシントンポスト紙に掲載された方法で実行されたのであれば、それは作戦のために諜報能力を酷使したことになります。米サイバー軍(USCC)が本部ではなくアクターを標的にしたとすれば、USCCは次に示すような5つの非常に馬鹿げたことを行ったことになります。

  1. USCCは、サイバーアクターの論理的な位置がUSCCにより知られていることを北朝鮮のサイバーアクターに漏らした。この結果、北朝鮮は、米国インテリジェンスコミュニティや米軍に知られてない所に新しいインフラストラクチャを構築できるようになった。
  2. ほとんどの北朝鮮のアクターは、生存可能性やより良好な技術的インフラストラクチャ、否認権などが理由で、北朝鮮国外にいることが知られている。これは、USCCが北朝鮮以外の国にあるインターネットインフラストラクチャに対してDDoS攻撃を行ったことを意味する。
  3. 北朝鮮のアクターが作戦の「成功」に関して不満を漏らしたと認めることは、情報の収集方法を強調しており、アクターにインテリジェントサポートを提供していた何者かが、彼らが作戦を実施していたIPの範囲を超えた何かへのアクセス権を有していることを裏付けている。これらのオペレーターが北朝鮮にいない可能性が高いとすると、マスコミの前で能力を証明しようと急ぐあまり、USCCは、サイバーアクター以上に情報の収集源を明らかにした可能性がある。
  4. USCCがコンピュータをオフラインにすることに成功したならば、彼らは必ず仲間同士の殺し合いを行ったはずだ。コンピュータをオフラインにすることにより、その他のネットワークアクティビティを彼らに対して実行することが不可能になる。この行動方針が受け入れられるのは、標的に対して実施する方法が他にない場合に限られる。そしてその場合、世間はUSCCの機能の持続力に関して貴重な何かを学んだことになる。
  5. これは宣戦布告に等しい。我々は軍組織が、軍事機関の支援を受けて敵対する外国の軍事ネットワークに対するコンピュータネットワーク攻撃を実行するのを目撃したばかりだ。可逆的であるにもかかわらず、これは米軍による攻撃の定義にぴったり当てはまる。これは北朝鮮自体ですらまだ越えていない一線である。攻撃されたインフラストラクチャが第三国に置かれている可能性が高いという事実が事態を複雑化しており、これは技術的には、米国が本作戦において少なくとも2つの国を攻撃したことを意味する。

初の全力対応

このような大きな規模で敵にDDoS攻撃を行うことは、怒りっぽい子供がひどい癇癪を起こしている状態に等しいものです。この攻撃を利用して、非常に特化した一時的な目的のために標的をオフライン状態に保とうとしない限り、やっていることはパケットの無駄遣いにすぎません。将来、米国政府は2つの異なる領域に注目すべきです。北朝鮮のサイバー攻撃を中断させることが目的である場合、米政府は悪意あるツールのコードリポジトリと踏み台サーバーを突き止める必要があります。何らかの形式の曖昧化された抑止力を持つことが目的である場合、米政府は、北朝鮮政府が持つサイバー通貨用のウォレットを突き止める必要があります。どちらの場合も、それが米国の仕業であることをアクターに確実に知らせるために個々のマルウェアに我々が巨大な星条旗を打ち立てようとするのでない限り、そして我々がそれらの作戦を使用してエスカレーション優越性を誇示するのではない限り、USCCによるすべての作戦は秘密工作の発見を条件として停止および遂行されるべきです。

ポイズニングコード

北朝鮮のサイバープログラムを長期間にわたって停止させることが目的である場合、日和見的な中性化ツールを使うことにより、同プログラム内および彼らの作戦の実行方法に対する構造的調整に関して内紛を起こさせます。このタイプの攻撃は100%の成功率は必要としませんが、北朝鮮政府にとって高い価値を持ち、問題が不可避となる作戦を妨げる必要があります。プログラムを強制的に一時停止される場合、そのコードをすべて監査し、彼らの作戦遂行能力を大幅に低下させているツールの修復または再構築を行います。これにより、度重なる失敗に金正恩が個人的に関係している場合、彼の統率力を除去できる可能性もあります。

非中心化されたネットワークに制裁を加える

北朝鮮政府がビットコインに関して認識している主なメリットの1つとして、いかなる機関も北朝鮮による資金供給を止められないことが挙げられます。北朝鮮による3度目の核実験の後、中国は、北朝鮮の銀行口座を実際に凍結するというかつてない措置を講じました。このことから、北朝鮮は、自らの制御を超えた従来型の金融機関には依拠すべきでないことを学びました。ビットコインの場合、米国や国連に与えられている従来型の権力によって資金を凍結することや、資金源に対して何らかの制裁措置を取ることはほぼ不可能です。米国政府が財務省を通じてこの資金源に制裁を加えることができないならば、おそらくその時こそが北朝鮮政府に代わって組織を支援するために多額の献金を行うチャンスです。なお、北朝鮮自身は、暗号化通貨のウォレットを乗っ取ることがいかに簡単であるかを実証しています。システマティックな作戦を通じて制御権を取り戻し、そのような資産を制御可能な空間へと移すことで、さらなる法的制裁を加えることが可能となるだけでなく、国外に保持されているマネーは真に安全ではないという明確なメッセージを北朝鮮政府に送ることができるでしょう。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/

ホワイトペーパー「すべての組織が狙われている」