9月15日、赤坂インターシティコンファレンスにて、次世代セキュリティ実現のためのイベント、"Zenith Live ‘23 Tokyo"が開催された。グローバルにクラウドセキュリティを提供するZscaler主催のもと、業界のリーダーが集結し、最新の知見が交わされた。

  • Zenith Live ‘23 Tokyo 会場の様子

    "Zenith Live ‘23 Tokyo"の様子

ハイブリッド戦争が示す、国家安全保障としてのサイバーセキュリティ

イベントの中でも特に注目を浴びたのが、東京大学先端科学技術研究センター 客員研究員 西尾素己氏による講演だ。10代の頃から企業情報を守るホワイトハッカーとしての活動を始め、現在は政府機関や大企業へのセキュリティ提言をおこなっている。そんな同氏は「ロシア・ウクライナ戦争にこそ、セキュリティの最新情勢が現れている」という。

「ウクライナのザポリージャ原発をロシア軍が占領した際、私たち安全保障の専門家は驚愕しました。核廃棄物を撒き散らすことなく、原発の機能だけをピンポイントに抑えることが、どうしてできたのか。サイバー攻撃によって原発の設計図や緊急マニュアル等のデータを事前に盗み出し、どの施設を破壊すればいいのか、綿密に分析していたのでしょう。こうしたサイバー攻撃は、開戦の2月24日に始まったのではありません。少なくとも一年前から、政府機関や民間企業へ少しずつ侵入し、いざ開戦となってマルウェアをアクティブにしたのです」

ロシア・ウクライナ戦争は人類初の本格的な"ハイブリッド戦争"と呼ばれている。陸・海・空・宇宙の4つの戦場に、サイバー空間という第5の戦場を付加した、複合的な戦争という意味だ。そして戦争の口火は、第5の戦場から切られている。

今回の登壇は東大の研究員というアカデミックな立場であり、中立的な見解であると補足した上で、西尾氏は、日本の置かれている状況も他人事ではないと警告する。

「中国が台湾に向けて軍事侵攻する『台湾有事』の緊張が今、大きく高まっています。ロシア軍にならって一年前から侵攻の準備をしているとすると、日本の政府組織や民間企業に対する今のサイバー攻撃もまた、その準備の一部である可能性があります。つまり、IT担当者がシステムを正常に保つ日常業務は、戦争の前哨戦であると言えるのです」

闇ビジネスとしてのランサムウェア

第二次世界大戦後、米ソが激しく対立していた冷戦下において、当時のソ連は西側諸国の情報を得るために諜報活動を洗練させてきた。サイバー攻撃はその発展系であると西尾氏は言う。

「現在のサイバー攻撃を語るうえで、親ロシアである『ランサムウェアギャング』の存在を欠かすことはできません」

ランサムウェアギャングとは、「サイバー攻撃というサービス」の提供者だ。マルウェア開発や攻撃マニュアルの作成から、身代金要求のためのコールセンター機能までを提供する。

「サイバー攻撃で稼ぎたい」という反社会勢力は、ランサムウェアギャングにサービス代金を支払う。そして企業や政府機関を攻撃し、重要なデータをロックして多額の身代金を要求する。この稼ぎの7割~8割程度が攻撃者に、残りがランサムウェアギャングに支払われるという。こうした仕組みは、RaaS(Ransomware as a Service)と呼ばれる。

「諸説ありますが、RaaSには1兆円から10兆円の"市場"があると言われています。今年の7月に名古屋港がランサムウェアの被害に遭い、ロシアの仕業ではないかという報道がなされましたが、攻撃の主体はあくまでも『サービス利用者』なのです」(西尾氏)

アメリカの場合、テロリストとして登録されているランサムウェアギャングへの身代金支払いは違法行為である。さらに、2022年3月15日には『サイバーインシデント報告法』が制定され、重要インフラ事業者は身代金を支払った場合、「24時間以内にサイバーセキュリティ・インフラセキュリティ庁に報告しなければならない」という義務が課せられるようになった。この法律の制定によって、中小企業が狙われるようになったと西尾氏は語る。

「大手企業がコンプライアンスを気にして支払いを渋るなら、法律の存在さえ知らない中小企業を狙えばいい、と攻撃者は考えたわけです。現在は、11名~1000名の中堅中小企業がランサムウェア被害のボリュームゾーンとなっています」

闇最新の攻撃手法とセキュリティ手法とは

現代のサイバー攻撃はどのようにおこなわれるのか。どのような攻撃が来るのか理解しなければ、守ることはできない。講演の後半では、具体的な攻撃手法について西尾氏は解説した。

「攻撃検知は研究され尽くしており、外部から攻撃用のツールを入れることはできません。それならば、もともとあるツールを悪用すればいいじゃないか、と考え出されたのがLoTL(Living off the Land;環境寄生型攻撃)という手法です。たとえば、"DISM"というwindows標準のディスクユーティリティがあるのですが、ショートカットファイルやヘルプファイル経由でこの機能を実行させることで、ユーザーが意図せずディスクをロックすることができてしまいます」

セキュリティツールやOSに組み込まれた既存の機能を利用するために、アンチウイルスソフトでLoTL攻撃を検知することは困難である。

さらに、製品・サービスを信用することにすらリスクが生じるようになったと西尾氏は続ける。

「開発者に闇バイトをもちかける事もおこなわれています。ある日、『数行のコードを仕込むだけで多額の報酬を払う。あなたが退職するまで攻撃を実行しない』というようなメッセージが送られてくるのです。開発者の一人でも魔が差したら、普段使っているパッケージ製品がマルウェアと化す、ということです」

サプライチェーンの一環が狙われる事件は既に発生している。2023年5月、トレンドマイクロは、数百万台のAndroid端末にマルウェアがプリインストールされている可能性があると報告した。このような時代において、どんなセキュリティの手段が残されているのだろうか。

「サイバー空間はもはやホッブズが『リヴァイアサン』で説いた無秩序な”自然状態”であると言えます。すべてを疑うしかありません。そのためにはゼロトラスト環境を構築することが必要です。ユーザーがどこから、どんな端末で、どんなネットワークで、何時にアクセスしているのか。挙動を常に監視して、攻撃ではないか疑ってかかるということです。高度なゼロトラスト環境を構築するためには、AIの発展・応用は欠かせないでしょう」(西尾氏)

  • 東京大学 先端科学技術研究センター 客員研究員 西尾素己氏

    東京大学先端科学技術研究センター 客員研究員 西尾 素己 氏

米国国立標準技術研究所が公開した技術書『SP 800-207 ゼロトラスト・アーキテクチャ』に、ゼロトラストの概念がまとめられている。新たなセキュリティ原則に従って環境を構築する重要性を強調し、西尾氏は講演を終えた。

[PR]提供:ゼットスケーラー