- 2022/09/14
- サイバー攻撃
ハッカーと攻撃者の違い:必ずしも「白か黒か」はっきりする訳ではない
Post by : Anthony M. Freed
「火」は良いものでしょうか、それとも悪いものでしょうか?インターネットはどうでしょう?税金は?テクノロジーは?もしあなたの答えが「それは場合による」であるなら、もちろんあなたは正しいことになります。そして、それは突出したハッキング技術を持つ人々にとっても同じことです。つまり、すべてはその使い方次第なのです。
「ブラックハット」と呼ばれる極悪非道なインターネットフーリガンは一般的に知られているでしょう。彼らがいるからこそ、我々セキュリティ関係者は皆、セキュリティ業界で職を得られているようなものです。一方、「ホワイトハット」とは、悪者が企業や組織の前に姿を現した際に「大変な仕事」を行う善良な人々です。彼らは、常にそのような仕事を遂行するための準備ができています。
今回の記事では、ハッキングに関して優れた才能を持つ「善人(the good)」、「悪者(the bad)」、「卑劣漢(the ugly)」について紹介し、そしてそのような才能がいかに良いことのために使われているか、またはいかに利益を得るために悪用されているかを説明します。
ブラックハット
ブラックハットは誰もが認める「悪者」であり、彼らはサイバー空間で悪意ある活動を行っており、攻撃やその他の形態のハッキングを通じて被害者からデータを窃取し、データと引き換えに被害者から得た身代金で生計を立てています。攻撃者は攻撃や侵入を生業としているため、多くの場合、そのような活動において非常に優れた手腕を発揮します。
UFOハッカーとして知られるGarry McKinnon(またの名を“Solo”とも言う)は、史上最大の軍事コンピューターハッキングを指揮し、NASAと米軍のサーバー100台に侵入して地球外生命体の証拠を発見したと言われています。
政府機関を標的としたもう1人のハッカーであるJonathan Jamesは、15歳でNASAに潜入し、170万ドル以上のソフトウェアを盗み出しました。また、Vladimir Levinは、1998年に逮捕される前に、原始的ではあるが巧妙な電話ダイヤルスキームにより、シティバンクの口座から1000万ドル以上を不正に引き出すことに成功しました。
Kevin Poulsenはインターネットから追放された最初のアメリカ人です。彼は、1990年代初頭に、ラジオ局主催の懸賞に当選するために電話回線に侵入した罪で逮捕されました。彼は現在、ニュース系サイトであるThe Daily Beastに寄稿しています。
価値あるものが野ざらし状態になっている(あるいは、それなりにアクセスしやすい場所に置かれている)限り、それを手に入れようとする者が存在します。しかし、そのようなスキルは、良いことにも悪いことにも利用できます。時には、優秀な元ブラックハットが、最良のホワイトハットとなることもあります。
犯罪者を「捕まえる」のではなく「改心させる」こと
「ハッカーを捕まえるにはハッカーが必要だ」と言われることがあります。ランサムウェアグループは、戦術、インフラストラクチャ、および潜在的なターゲットに関する情報を共有しているため、そのような世界を理解しており、その手法や攻撃される可能性がある場所について警告してくれるような人物を味方につけることは、防御者にとって非常に有益となります。
10代の頃、Marcus Hutchinsはコンピューターにのめり込んだ結果、有能なマルウェア開発者としての評判を高めました。彼は、高校時代のほとんどを、寝室にこもってプログラムを書き続けることで過ごしました。その結果、彼は、一時は史上最悪のサイバー攻撃からインターネットを救った人物として称賛されるようになりました。しかし、その後一転して、彼は銀行向けトロイの木馬であるKronosの開発に関与したとしてFBIに逮捕されました。
後年、彼はボットネットをリバースエンジニアリングした記事を、MalwareTechという名の自らのブログに投稿するようになりました。しかし、MalwareTechの読者は誰も、同ブログで発揮されている洞察力が、自らマルウェアを作成した経験があるというMarcusの経歴に由来することを知らないようでした。
その後、彼は2016年に、リバースエンジニアリングで使われるものと同じ演繹的論理を用いて、世界的なランサムウェア攻撃であるWannaCryを停止させることに成功しました。これにより、数え切れないほどの企業や組織が、修復作業に費やす時間と費用を節約できました。
Kevin Mitnickも同じような経験をした人物です。彼は、LAの公共交通機関を無料で利用するという一見無邪気な悪ふざけにのめり込んだ後、DECのシステムからソフトウェアを盗んだり、MotorolaやSun Microsystemsの内部システムを覗き見したりするようになりました。彼はハッカーとして初めてFBIの指名手配を受けましたが、現在はセキュリティコンサルタントとして活躍しており、セキュリティ会議のスピーカーとしても頻繁に登壇しています。
あまり知られていませんが、Marc Maiffretも自らのブラックハット活動で17歳のときにFBIの手入れを受け、その後、犯罪の過去を明るい未来に変えることを決意しました。彼はその後、セキュリティ会社を共同設立し、Microsoft社でCode Redワームの検知を担当しました。
ホワイトハット
「倫理的ハッキング」という言葉は、1995年にIBMのJohn Patrickにより作られたものです。それ以来、倫理的ハッキングは、それ自体で職業を指すようになりました。倫理的ハッカーは、「本物のハッカー」のスキル、リソース、マインドセット、最終目標を持っていますが、100万ドルの報酬を受け取ることはありません。
彼らの仕事は、(しばしば秘密裏に)企業や組織を調査して脆弱性がないかどうかを調べ、もし脆弱性を発見した場合には、それを企業や組織に知らせることで、攻撃者が脆弱性を見つけて悪用する前に防御を強化できるようにすることです。
Richard Stallmanは、MITの人工知能研究所の出身であり、コピーレフト(プログラムのコードを改変して再配布できる法的仕組み)を発明した倫理的なハッカーです。
Joanna Rutkowskaは、仮想システムへの攻撃を暴露したセキュリティ研究者であり、2006年のBlack HatでVistaカーネルの脆弱性について発表した後、当該攻撃のマップを作成しました。
下村努は、NSAに勤務していた計算物理学の研究者であり、Mitnickの逮捕に重要な役割を果たした人物です。彼は、携帯電話のサイバーセキュリティ対策の必要性に警鐘を鳴らしたほか、Neofocal Systems社を設立するなどして、セキュリティの専門知識を倫理的に活用し続けています。
連邦政府が主催する「Hack the NSA」のように、企業が大金を支払って、最も優秀なハッカーにハッキングさせる機会を与えることもよくあります。どうせ起こることなのだから、自分たちのやり方で、チーム全体で厳戒態勢を取り、友軍の攻撃を受けて、どんな脆弱性であれ、フラグを立て、修正し、潰してしまおうと彼らは考えたのでしょう。
攻撃者を上回る能力を持つソリューションで攻撃を阻止
私たちは攻撃者による攻撃を止めることはできません。しかし、せめて攻撃の成功を阻止することはできます。幸いなことに、企業や組織は、自力で攻撃者と1対1の対決を行う必要はありません。
企業や組織にはAI駆動型のXDRソリューションを採用するという選択肢があります。このようなソリューションを使うことで、企業や組織は、攻撃の全容をリアルタイムで把握し、継続的な脅威の検知と自動応答を、エンドポイントを越えて拡張することで、アプリケーション、IDツールやアクセスツール、コンテナ化されたクラウドワークロードなどを保護できるようになります。
AI駆動型のXDRは、これらのさまざまな資産から得られる遠隔測定の自動的な相互関連付けを行うことで、完全な攻撃情報をリアルタイムで提供できます。この機能により、セキュリティアナリストは、生成されたアラートをすべてトリアージする必要がなくなり、実際の脅威に迅速に対処できるようになります。
AI駆動型のXDRは、行動分析と振る舞いの痕跡(Indicators of Behavior、IOB)を活用することで、攻撃者がどのようにキャンペーンを行うかについてより詳細な視点を提供します。このようなオペレーション中心のアプローチは、より早期に攻撃を検知することに秀でており、特に、従来のエンドポイントセキュリティソフトウェアを回避するような、未知のツールや戦術を採用した高度な標的型攻撃を検知できます。
潜在的な悪意ある行動の連鎖を通じて、攻撃を構成する1つのコンポーネントを見つけることで、防御者は影響を受けるすべてのユーザー、デバイス、およびアプリケーションにわたって根本原因から攻撃オペレーション全体を確認できるようになります。アナリストが手作業でデータを照会して数時間または数日かけて個々のアラートを検証するのとは異なり、1秒間に数百万件のペースでデータの自動的な相互関連付けを実施するためには、AI駆動型のXDRが不可欠となります。
セキュリティチームは、可視性と実用的なインテリジェンスを通じて、ある事象がセキュリティ上の重大な問題になる前にそれに対応できるようになるほか、さらに攻撃を進めようとする攻撃者の負担を増やすように設計された対策を導入できます。
2022年下半期セキュリティ予測 〜4つの脅威から紐解く、 2022年上半期の振り返りと下半期のサイバーセキュリティの展望〜
サイバーリーズンは大きな影響を及ぼす4つの脅威を2022年下半期のサイバーセキュリティ予測として取り上げました。
4つの脅威についてそれぞれ2022年上半期の動向を振り返りながら、2022年下半期のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/8823/
