@ITは2019年6月26日、東京で「@ITセキュリティセミナーロードショー」を開催した。長年、ダークウェブや日本の企業を狙った脅威の分析に当たってきたサイントの代表取締役を務める岩井博樹氏の基調講演から、「攻撃者の狙いと手口を知る」重要性をお伝えする。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「攻撃者の狙いと手口を知る」のも重要なことの一つだ。2019年6月26日に東京で行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。
サイバーと現実は密接にリンクしている――長年、ダークウェブや日本の企業を狙った脅威の分析に当たってきたサイントの代表取締役を務める岩井博樹氏によると、現実世界でのさまざまな動きや政府の政策が、サイバー攻撃にもダイレクトに反映される状況だという。同氏は「それホント!? 脅威分析から見るサイバー攻撃情勢とダークウェブの一端」と題する基調講演の中で、その一端を明らかにした。
2019年、香港で「逃亡犯条例」の改正案を巡って「参加者200万人」ともいわれる大規模デモが起こり、抗議活動が行われた。実はこの動きと相前後して、匿名性の高いSNS「Telegram」がDDoS攻撃を受けていた。デモ参加者がさまざまな情報交換をTelegram上で行っており、「それは中国当局にとっては明らかに都合が悪いことだから」(岩井氏)だ。
岩井氏は、以前から活発に活動していた中国ベースのAPT(Advanced Persistent Threat)オペレーション「Lotus Blossom」が、香港の選挙に合わせたタイミングでも攻撃を行っていたことに触れ、「決して人ごとではなく地政学的に日本も影響を受ける恐れがあり、注意を払うべきだ」と述べた。
Telegramもそうだが、匿名性のある情報交換手段といえば、「Tor」を介してのみアクセス可能な「ダークウェブ」が連想される。岩井氏によると、最近「SilkRoad」や「Alphabay」「Hansa」といったダークウェブのブラックマーケットの運営者が相次いで検挙され、閉鎖されている。また、一般にアクセス可能な「サーフェースウェブ」からダークウェブを紹介する「DeepDotWeb」も閉鎖されており、OSINT(Open Source INTelligence)を活用してダークウェブの動向を調査するだけでも大変になっているそうだ。
「匿名化には良い面も悪い面もあるが、各国の法執行機関が、深いところから浅いところへと対象をあぶり出そうとする動きが加速している」(岩井氏)
岩井氏によると、サイバー犯罪者は「Ransomware as a Service」のような形で、あるいは分業化した攻撃の「バイト」を募集する場として、ダークウェブを活用している。一方「APTはダークウェブを使うかというと、ほとんど使わない。国策として仕事を受け、国からカネが落ちてくるため、無理にリスクを冒す必要がないからだ」(岩井氏)。逆に、APTを仕掛けてくる相手の手の内を暴露する場として、Telegramやダークウェブを使うグループもあるそうだ。
岩井氏は次に、日本の組織に対する攻撃はどのようなものなのか、幾つか実例を挙げながら説明していった。
Copyright © ITmedia, Inc. All Rights Reserved.