2020年2月10日（月） 

攻撃者の視点で先回りをするサイバーセキュリティ研究

 横浜国立大学大学院環境情報研究院/先端科学高等研究院
 准教授   吉岡　克成

　

 
後追いのセキュリティ対策
   私は１５年近く続けているサイバーセキュリティの研究で強く実感することがあります。それは、サイバーセキュリティ対策が、攻撃の「後追い」であるということです。例えば、皆さんの身近にあるウイルス対策ソフトは、既知のパターンと合致するかどうかで攻撃を検知する方法に大きく依存しています。侵入検知システムも同様です。「最近はＡＩを使ったり、異常検知や振る舞い検知などの方法もあるので、後追いばかりではないよ」と言われる方もいらっしゃると思いますが、それらの検知手法も、攻撃側の情報がベースになっています。企業等でインシデント対応をする場合も、対応者の経験がベースになっており、それを強化するためのセキュリティ演習が人気です。
 
サイバーセキュリティ攻防の非対称性
   このように対策が攻撃の後追いになる要因の１つは、サイバーセキュリティの攻防の非対称性にあると思います。攻撃側は、都合の良いときに攻撃を行い、システムの問題点を見つけてそこを突破すれば良いのに対して、防御側は、いつ届くかわからない攻撃を２４時間体制で監視し続ける必要があります。また、攻撃側は法に制約されずに活動しますが、防御側は、そうはいきません。このように、そもそも守る側に不利な状況であり、限られた資源で効率的、効果的に対策するには、全方位ではなく、今、問題となっている脅威に対して対処療法的に対応せざるを得ないのです。そのため、攻撃側の動向を把握し、そこに重点を置いた対策が必要となってきます。
 
攻撃者の動向を知る
   上記の考えから、私は大学でサイバー攻撃を観測する研究に力を入れています。特に攻撃者が興味をもつような「おとり」であるハニーポットを仕掛けて攻撃を観測しその結果を公的機関、企業、他の研究者に提供し、対策に役立ててもらっていますが、長年観測を行ってきてわかってきたことがあります。それは、一言でサイバー攻撃といってもその実態や背景は多様であるということです。遊び半分や小遣い稼ぎのように私的なものから、国家の関与が疑われる非常に高度なものもあります。攻撃を観測していると、その裏で攻撃者が行っている作業、費やしているコストが浮き彫りになってきます。例えば、標的型攻撃で企業に長期的に侵入して内部の機密情報を盗み出すには、攻撃側も人間のオペレータによる継続的な関与が必要であり、人的コストが高くなります。同じサイバー攻撃でも、脆弱なカメラ等のIoT機器を狙った攻撃では、かなりの部分が自動化されており、数万件の攻撃を少数の攻撃者が実行している場合もあります。乗っ取った機器を遠隔制御するためのサーバ群も強固に運用され、いくつもの踏み台を介して追跡が困難なものから、一個人でも運用可能な簡易なものまで様々です。人間の攻撃者の行動を詳しく観察すると、意思決定が早く操作も正確で高い技術をもっている相手もいれば、操作ミスが多く、非効率で杜撰な行動を繰り返す初心者の攻撃者もいます。このようにネットの向こう側の攻撃者の実態、意図、動機、経済的背景を想像し、理解に努めることで、本当に怖い、注意すべき攻撃に気づけると思います。
 
分野横断的な研究で攻撃者よりもイノベーティブに
   このように攻撃の実態や背景を考えることは重要ですが、それでも対策が「後追い」であることに違いはありません。ここから脱却するにはどうすればよいでしょうか。私は、これこそ、学術研究の活躍すべき領域だと思います。攻撃者の実態や動機が見えてくれば、次に彼らが起こす行動も予想がしやすくなります。攻撃者の視点で考え、先回りして攻撃を予測し、事前に対策を検討するにはクリエイティブな考え方が重要です。これまで、世界の研究者により、様々な攻撃手法が提案され、同時に、それが悪用されることがないような倫理的な発表方法や事前対策が議論されてきました。一方、日本のサイバーセキュリティ研究コミュニティでは、応用分野で攻撃手法をおおっぴらに提案し、議論することが憚られる雰囲気がありました。今、その風潮が少しずつ変わってきています。若く才能のある研究者が優れた攻撃研究を行い、その実効的対策と共に発表する事例が出ています。前述の通り、サイバーセキュリティは、攻撃者というリアルな人間を相手にしており、技術だけでなく、社会学、経済学、経営学、心理学、法学的観点等が必要な、総合的分野です。様々な分野の皆さまのお力をお借りして、私たち研究者が攻撃者よりもある意味イノベーティブに、一歩先を行くことで、安全な社会を実現していく一翼を担えればと願っています。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。