物理的な泥棒でも、物理的なスパイ行為でも、あるいはサイバー攻撃によるスパイ行為でも、「盗られる危険性」「盗られないための対策」に言及する人は多い。それは確かに大事なことだが、もうひとつ、大事な前段階がある。

盗むために、まずやることは「ターゲットの確認」

例えば、筆者のクレジットカード利用明細に関する情報を盗み出したい、という場面を想像してみてほしい(その情報を盗み出すことに、いかほどの価値があるのか、という話は措いておく)。

利用明細を見る手段は、現在では「毎月、紙で送られてくる明細書」と「Webサイトで見られる明細」の2パターンが主流だろう。では、前者をターゲットにする場合、どうすればよいか。

まず、筆者の自宅の住所がわからなければ、どうにもならない。それがわかれば、郵便受けに入っている郵便物を盗み出す手が考えられる。しかしそれをやるには、そもそも筆者が紙の明細を受け取っているかどうかが問題になる。Web明細だけにしていたら紙の明細は来ないから、それを盗み出そうとしても徒労に終わる。

もしも、紙の明細が自宅に来ている場合はどうするか。郵便受けを狙う手だけとは限らない。自宅に空き巣に入る手も考えられる。しかし、これが成立するのは「明細書を自宅のどこかに保管している場合」だけである。しかも厄介なことに、誰もが思いつきそうな場所に保管しているのか、どこか意表を突いた場所に保管しているのか。これは現場に忍び込んでみないと分からない。

保管しないで、見たら捨ててしまっているという場合は、ゴミ捨て場を狙う手が考えられる。しかし、筆者がどういうタイミングで紙ゴミを出すかは場合によりけりだから、少なくとも1カ月は張り付いて観察して、紙ゴミを出すタイミングを狙わなければならないだろう。

と長々と書いてしまったが、何を言いたいのかというと「何かを盗み出すには、まずはターゲットが存在することを確認して、次にそのターゲットがどこにあるかを知らなければならない」ということである。

サイバースペースでも事情は同じ

これをサイバースペースにおける情報窃取行為に置き換えて考えてみると、どうなるか。

例えば、標的型攻撃を仕掛けて、ターゲットとなった組織の社員、あるいは職員が使用しているコンピュータに、RAT(Remote Access Trojan)を仕掛けるとする。

しかし、当該コンピュータあるいは当該コンピュータがつながっているLAN(Local Area Network)上のサーバに、狙っている情報がなければ話にならない。どんな優秀なRATでも、存在しない情報は盗めない。

スマートフォンやタブレットの利用拡大に伴い、「データを自宅やオフィスのパーソナルコンピュータに置いておいたのでは、出先からアクセスできない」といって、オンライン・ストレージに置くようにした人が増えていると思われる。

「それなら、そのオンライン・ストレージ・サービスに不正侵入すればデータを盗めるのでは?」と考えるのは自然な成り行きだが、ちょっと待った。まず、どこのオンライン・ストレージ・サービスを利用していて、ユーザー・アカウント名が何なのかがわからなければ、侵入のしようがない。

企業がクラウド・サービスを利用している場合、重要な情報が、そのクラウド・サービスのサーバ上に貯まっていくと考えられる。それを盗み出そうとしても、まず、どこのクラウド・サービスを使っているかがわからないことには始まらない。

ということは、こうした「盗られては困るデータの所在」がわかるような情報、あるいはそのためのヒントになるような情報を表に出さないことも、情報保全の一環と言えないだろうか。

盗み出しだけでなく、攻撃を仕掛けて機能不全を起こさせる場合も同じ。ターゲットとなるシステムがどこで稼働していて、ハードウェアやソフトウェアのコンフィギュレーションがどうなっていて、運用管理の体制がどうなっているか。それを突き止めるのが攻撃の第一歩である。

ソフトウェアが持つ、特定の脆弱性を利用して攻撃を仕掛けるのであれば、ターゲットとなったシステムで、問題のソフトウェアを使用していることと、その脆弱性を塞ぐ修正プログラムを適用していないことを確認しなければならない。例えばの話、Windowsの脆弱性を利用する攻撃を、Macintoshに対して仕掛けても役に立たない。

大事なことは「糸口をつかませないように努力する」

先に標的型攻撃に言及したが、それは大抵、RATを送り込むための怪しい添付ファイルがつけられた電子メールの着弾で始まる。ということは、こちらが使用しているメールアドレスの情報が攻撃者の手に渡っているということだ。それなら、メールアドレスの情報が広まらないようにすれば、標的型攻撃を食い止める一助になるかもしれない、という考え方をする人も出てくるだろう。

とはいうものの、仕事で電子メールを使用していると、メールアドレスの情報が外部に出る事態は避けられないから、完全な秘匿は難しい。筆者のメールアドレスもそうで、いろいろ工夫はしているものの、結局はスパムメールがたくさん着弾する事態に見舞われて、うんざりしている。

(もっとも、ウイルス付きと思われるメールが来た時に「これは仕事のネタにできるかもしれない」といって隔離・保存することがあるのだから、転んでもタダでは起きないというべきか)

ともあれ、攻撃の対象になる部分のセキュリティ対策だけでなく、攻撃の対象を隠蔽するセキュリティ対策だってアリではないだろうか、というのが今回の主題。

以前に書いた「ソ連軍の海底ケーブル盗聴」(「アイヴィー・ベル」作戦)にしても、まず米海軍は、どこにあるのかわからない海底ケーブルを探し求めるところから作業を始めたのである。もっともこの場合、海岸に建っている「ケーブルあり、投錨注意」の看板がヒントになったというのだが。

  • 「アイヴィー・ベル」作戦に用いられた原子力潜水艦「ハリバット」(USS Halibut (SSN-587) underway in the Pacific Ocean) Photo:US Navy

ただし官公庁の場合、調達の透明性や納税者に対する説明責任という観点から、契約に関する情報を公開する必要がある。だから、調達関連情報を丹念に当たっていると、意外といろいろ分かってしまうことがあるのは痛し痒しである。

著者プロフィール

井上孝司


鉄道・航空といった各種交通機関や軍事分野で、技術分野を中心とする著述活動を展開中のテクニカルライター。
マイクロソフト株式会社を経て1999年春に独立。『戦うコンピュータ(V)3』(潮書房光人社)のように情報通信技術を切口にする展開に加えて、さまざまな分野の記事を手掛ける。マイナビニュースに加えて『軍事研究』『丸』『Jwings』『航空ファン』『世界の艦船』『新幹線EX』などにも寄稿している。