- 2020/10/20
- セキュリティ
ダークサイドの誘惑:攻撃的なサイバー技術を善いことに利用する
Post by : SAM CURRY
「キャプチャーザフラッグ(CTF)」とは、軍隊やスポーツチームなど多くの分野で訓練や準備をするために実施されるゲームのことです。サイバー環境においてもCTFと同じような演習が実施されます。
敵を理解することは、部屋の中に敵と居合わせて敵を注視できない限り、または敵と一緒に演習を行わない限り困難です。しかし、結局のところ、敵と同じ部屋に居合わせた場合には敵を拘束したくなるでしょうし、敵と一緒に演習を行った場合、その演習は敵の攻撃面および防御面での改善にも役立つことになるため、そのようなことは事実上不可能です。これは、善良なハッカー集団の一部が本格的に攻撃に専念する必要があることを意味しています。つまり、我々の中の誰かが、ダークな技術を単に研究するだけではなく、我々全員のためにダークな技術を実践する必要があるのです。
ダークサイドからの亡命者はいつの時代にも存在しており、彼らは通常逮捕歴があるか、または刑務所で懲役刑に服したことがある人たちです。ポピュラーカルチャーの世界では、映画『キャッチ・ミー・イフ・ユー・キャン』のモデルであるフランク・アバグネイルが辿った贖罪の人生や、サイバー界の伝説的なハッキング犯罪者であり後にホワイトハッカーへと転じた ケビン・ミトニックの人生などが有名です。古来より「泥棒を捕まえるには泥棒を雇えばいい」ということは誰もが知っていましたが、それを実践することは長年の間「タブー」とされてきました。しかし今や(私の友人でもある)ヘクター・モンセガーのような人たちが第二の人生を歩んでおり、私たちが防御技術を磨くのを支援してくれています。とは言え、以前敵だった人物を信頼するには長い時間がかかるものです。
問題点の1つとして、泥棒は一度更生すると彼らが以前持っていた攻撃者としてのテクニックが衰えてしまうことが挙げられます。また、逮捕歴のあるハッカーは、刑罰を受けた後も犯罪を繰り返す常習犯と見られることを恐れて、キーボードから遠ざかってしまうこともよくあります。サイバー世界は常に進化し続ける変化の早い分野であるため、更生した犯罪者に頼る理由は、多くの場合、彼らの持つ実用的なテクニックと言うよりは、彼らが持つブランディング能力や知名度にあります。
世の中には、「ホワイトハット」と呼ばれる世間に認められた倫理的なハッカーもいれば、「グレーハット」と呼ばれる善人か悪人かの線引きが曖昧な人たちもいます。しかし、これらの人々のほとんどは、ハッキングの技術や科学を開発している人たちであり、コネクテッドカーやアプリケーションスタックの一部をハッキングするようなニッチな研究に注力している人もいれば、短期間で成果を出すタイプの「レッドチーミング」を行っている人もいます。レッドチーミングは、現在、コンサルティング業界やサービス業界において非常に「儲かる」サービスであると見なされています(実際、Daniel Miesslerのこの記事によれば、グリーンチーム、イエローチーム、オレンジチームなど、さまざまな色のチームが誕生しているようです)。
ただし、現実のレッドチームは、最先端のテクニック設計で生計を立てているわけでもなく、自らのハッキングの結果により生死が決定される世界に生きているわけでもありません。彼らは「生き残るためのハッキング」という考え方ではなく「守るためのハッキング」という考え方に基づいて行動しており、通常「荒っぽいハッカー」というより「飼いならされた動物」に近く、自らのハッキングスキルにすべてを賭けることで捕まることを常々恐れている人たちです。
しかし、別の方法を利用するならば、これらの攻撃スキルを使って善いことが行える可能性があります。その答えは「ゲーミフィケーション」です。これもまた危ない橋を渡る行為のように見えますが、これはハックバック(攻撃者への反撃)でもなければ、攻撃者への先制攻撃でもなく、攻撃者に対する防御でもありません。
これは、ハッカーの創造性を利用して、特定の明確なミッションを伴う「善い目的」を達成しようとするものです。これは「CTF for Good(善のためのCTF)」と呼ばれることもあますが、この場合、フラッグを獲得するためのサンドボックスは世界全体となります。このルールの好例がTrace Labsのサイトで紹介されています。Trace Labsのメンバーたちは、(悪用される可能性のある)ツールキットを積極的にオープンソース化しています。
彼らの活動は、しばしば一般人の目には、プライバシー侵害の一線を超えているように見えます。しかし、彼らの目的は、不正を行うためにデータを収集することではありません。たとえば、Trace Labsは、オープンソースのインテリジェンスを使用することで、リソースが不足している法執行機関のインフラのために、現在捜査中の行方不明者事件の新たな手掛かりを生成する方法を提供しています。この活動には攻撃者も防御者も存在せず、その目標は、誰かを犠牲にすることなく共通の善のために情報を提供することです。
これは危険なツールキットとなる可能性のあるものを利用して自動化やタスクの分配を実現することであり、つまり豊富な攻撃的なスキルセットに基づいてそれらを構築することです。これはハッキングというよりも、ほとんど「スカベンジャーハンティング」であり、ポイントや名声を得るためのゲーミフィケーションを通じて、より学術的な研究には欠けていることが多い市場における「強み」を提供しています。
これは現時点では規律としては発展途上であり、完全な統合された攻撃スキルセットへのアクセスはまだ提供していませんが、ハッカーポートフォリオの大部分をシミュレートするのには役立ちます。CTFのスカベンジャーハンティングは、他の伝統的な方向への誘惑に屈することなく、攻撃的なマインドセットを構築します。
このため、より多くのことを成し遂げ大きな効果を達成するにもかかわらず、ダークな技術に手を出しても、汚職、再犯、あるいはグレーハットの論争につながることはありません。その間、その開発は正しく続行され、その結果、レッドチームのスキルを向上させ、ホワイトハッカー向けのツールキットを改良できます。さらに、防御者が持つ能力の中でも最も優れたものとして、シミュレーションやパープルチーミングを実現するための、よりスマートでよりアグレッシブな攻撃者のプールを提供できるようになります。
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606
