潜入! 官民をつなぐインターポールの「ハブ」:セキュリティ・アディッショナルタイム(2)
インターポールが、民間企業も含めたコラボレーションを通してサイバー犯罪撲滅に取り組むための拠点として設立した「The INTERPOL Global Complex for Innovation(IGCI)」を見学する機会を得た。
国際刑事警察機構(インターポール)は2015年4月13日、民間企業も含めたコラボレーションを通してサイバー犯罪撲滅に取り組むための拠点として、シンガポールに「The INTERPOL Global Complex for Innovation(IGCI)」を開設した。IGCIは、サイバー犯罪に関する研究とインテリジェンスの提供、さらには各国警察や法執行機関向けのトレーニングなどを目的とした組織だ。設立に当たっては技術や人員の面で、ロシアのKaspersky Labをはじめとする複数のセキュリティ企業が支援している。
インターポールはIGCIの開設に合わせ、4月14日、15日の両日にわたって「INTERPOL World 2015」を開催した。冒頭の基調講演の中で、インターポールのセクレタリー・ゼネラルを務めるユルゲン・ストック氏は、「技術革新のスピードは凄まじく、新たなデバイスやソフトウェアが次々に現れている。これらはわれわれの生活をより便利にしてくれるものだが、一方で犯罪者らもまた利用している。彼らはアグレッシブにインターネットを悪用している」と指摘した。
その上でストック氏は、「民間企業や教育機関も含めた、マルチステークホルダー間のパートナーシップによって、セキュリティ問題を解決しなければならない」と強調。IGCIはその取り組みを具現化し、より安心できる、安全な世界を実現するものだと位置付けた。
また、INTERPOL Worldと同時に開催された「Kaspersky Security Summit」には、警察庁から派遣され、エグゼクティブ・ディレクターとしてIGCIのトップを務める中谷昇氏が登場(関連記事)。「われわれはインターネット・インターポールを必要としていた。IGCIはサイバー犯罪やサイバー脅威の撲滅に取り組むためのグローバルなハブであり、グローバルなプラットフォームである」と述べ、その役割の重要性を強調した。
Kaspersky Labのユージン・カスペルスキー氏は、以前、インターポールとの協力を発表したプレスリリースの中で、「私が10年以上前から『インターネット・インターポール』と名付け、その開設を望んできた組織がやっと実現することになった」と述べていたが、今回のIGCIによってそれが具現化したと言えるだろう。カスペルスキー氏はIGCIを「サイバースペースを、よりクリーンで、安心でき、安全な環境にするものだ」と述べている。
民間の力を活用し、各国の捜査当局をさまざまな側面から支援
1年以上前から設立に向けた準備が進められ、このほど正式な開所に至ったIGCI。その本拠はシンガポールの市内のとあるオフィスビルに設けられ、世界50カ国から110人以上の捜査官やエンジニアが集まっている。
繰り返しになるが、IGCIはサイバー犯罪捜査の支援に向け、いくつかの役割を果たすことになる。元々インターポールには、直接の捜査権があるわけではない。犯罪に関する情報やツール、プラットフォーム、トレーニングを通じて、190 に上る加盟各国の捜査機関を支援することが主な役割だ。サイバー犯罪においても同様で、各国の捜査当局や法執行機関がスムーズに捜査を進められるようにさまざまな側面から支援を行う。
具体的には、まず、捜査機関間のコミュニケーション支援やプラットフォームの提供が挙げられる。また、サイバー犯罪に関するさまざまな情報を収集して分析し、「インテリジェンス」を抽出し、共有する。また、この過程で得られた知見をベストプラクティスとしてまとめ、ドキュメントやツールの形で提供していくという。
こうした目的を達成するためIGCIには、脅威の情報を収集、分析して必要に応じてアラートを発する「Cyber Fusion Centre」、感染したPCからマルウェアのデータを抽出し、解析を行う「Digital Forensic Laboratory」、犯罪に使われることもあるP2Pネットワークや仮想通貨といった新たな技術について研究する「Cyber Research Laboratory」といった組織が設けられている。
3つの部署の役割とは
このうちCyber Fusion Centreは、脅威に関する情報を集約し、各捜査機関が活用可能なインテリジェンスを提供することを役割としている。
外見は、日本国内にもいくつかあるSOC(Security Operation Center)に非常に似た雰囲気の部屋だ。部屋前面には壁全体に広がるディスプレーが、また各捜査官が座る席には複数のモニターが置かれており、最新の脅威情報を把握できるようになっている。ただし部屋は、各国から派遣された捜査官用と民間企業から派遣された協力者用の二つに分けられており、情報によっては、民間のエンジニアは触れられないようになっている(もっとも、大半の情報は共有されるという)。
Cyber Fusion Centreの担当者は、「通常の犯罪、例えば泥棒ならば走って追いかけることができるし、残された遺留品からDNAや指紋などを基に捜査することも可能だ。しかしサイバー犯罪は異なる」と述べた。代わりに鍵を握るのは、ネットワークから得られる情報だ。
Cyber Fusion Centreでは、各国の捜査当局の他、民間企業、大学などの教育機関、それに独自のソースからセキュアな形で情報を収集、インプットしてインテリジェンスを導き出す。どのIPアドレスのマシンが、どんな犯罪組織によって使われたかといった捜査に役立つ情報だ。また、何らかの大きな脅威を予知した場合には、被害を未然に防ぐべくアラートを出すこともある。こうして「インテリジェンス・サイクル」を実現していくという。
また、捜査の過程で得られた知見(ナレッジ)を共有するプラットフォームも提供している。いわば、「サイバー犯罪捜査のためのWikipedia」のようなものだという。
Digital Forensic Laboratoryは、文字通り、HDDをはじめとするさまざまなデジタルデバイスのフォレンジック作業を担当している。見学した限りは特殊な手法を用いているわけではなく、オーソドックスなデジタル・フォレンジック手法を高い技術で実践しているようだ(もしかすると特殊な手法はプレスには公開されていないのかもしれないが)。
同ラボでは、証拠品のHDDからファイルイメージを抽出し、その中からマルウェアのコードを見つけ出す。そしてマルウエアが見つかれば、IDAを用いてソースコードを解析する静的解析と、分離したネットワークセグメント内で実際に実行し、その挙動を分析する動的解析の両方を行い、「マルウェアがどこと、どんな内容の通信を行い、何を行い、どんな情報を盗み取ろうとしているか」を分析している。なお、仮想環境ではなく実機を用いる理由は、「仮想環境で実行されていることを検知すると、自らを隠そうとするマルウェアも多いから」だそうだ。
3つめのCyber Research Laboratoryは、BitCoinに代表される仮想通貨やTorをはじめとするP2Pネットワーク、あるいはダークネットなど、有用だが、サイバー犯罪にも悪用されることのある技術について調査している。部屋の中ではちょうど、複数のRasberry Piを用いてTorネットワークを構築し、その挙動を解析しているところだった。
Cyber Research Laboratoryの成果の一つが、仮想通貨の取引履歴を記録する「ブロックチェーン」の暗号やプロトコルに脆弱性を発見したことだ。これが悪用されれば、中にマルウェアや不正なデータ(例えば児童ポルノなど)を埋め込まれる恐れがあるという。この研究にはKaspeksyk Labも協力し、INTERPOL Worldの直前に開催された「Black Hat Asia 2015」で報告された。
インターポール Digital Crime Centreのブラッド・マーデン氏は、プレゼンテーションの中で、つい先日実施された「Simba」ボットネットのテイクダウン作戦に言及した。同氏は「これほど短期間のうちに、官民の協調によって技術的問題を解決できただけでなく、その背後にいる犯罪者にも近付くことができた」と評価。官民が連携し、全世界のエキスパートが協力することによって、効果的にサイバー犯罪対策を進められるとした。
なおIGCIの構築、運営には、日本企業も多くの支援を行っている。NECでは先に、東京都内に「サイバーセキュリティ・ファクトリー」を設立し、監視サービスや解析の拠点としているが、これをベースに、Cyber Fusion Centerの設計や開発、機材調達などを行った。また、捜査員に対する教育、トレーニングやキャパシティビルディングについても支援を行っている。同時に、NECのパートナーであるサイバーディフェンス研究所やラック、FFRIといった日本勢が、解析や運用支援、教育などの面で協力しているということだ。
NECのナショナルセキュリティ・ソリューション事業部 エグゼクティブディレクター、富田直治氏は「デジタル犯罪の撲滅には、インターポールだけでもなく、民間だけでもなく、双方の協力が必要だ」と述べ、こうした取り組みに協力することの意義を強調した。今後は一連のソリューションをパッケージ化し、インターポール加盟各国の捜査当局に、IGCIとの相互接続が可能なソリューションとして提供することも検討しているという。
IoTは「Internet of Threats」
4月15日に開催されたKaspersky Security Summit 2015において、カスペルスキー氏は、「現在、IoTというキーワードが注目を集めているが、私はこれを『Internet of Threats』と呼びたい」と述べ、「サイバー犯罪」「サイバースパイ」「テロリスト」という3つのカテゴリそれぞれで脅威が激増しているとした。
特にサイバー犯罪の分野では、「伝統的な犯罪者、いわゆるマフィアがエンジニアを雇い、従来型の犯罪をよりやりやすくしようとしている。例えば、コンテナー輸送システムを攻撃して、コカインを密輸するといった具合だ。昔はつながりのなかった従来型の犯罪者とサイバー犯罪者が、今、手を組みつつある」と述べた。「これは、インターポールにとっては仕事が増えることを意味する。ある意味いいニュースかもしれない(笑)」
いずれにせよ、今後のサイバー犯罪は、さらにプロ化とビジネス志向が高まるだろうという。「Cybercrime as a Serviceが一大産業になっており、互いに技術情報を交換し合っている」(同氏)。
もう一つカスペルスキー氏が予測したのは、スマートTVをはじめとするさまざまなデバイスが攻撃対象になる可能性だ。例えば、PCのランサムウエアと同じように、スマートTVをロックして、解除するために金銭を要求するような攻撃が出てくる恐れがあるという。
「5年前、私が『モバイルバンキングをやっている人はどのくらいいますか?』と尋ねたところ、ほんの数人しかいなかったが、今は違う。それと同じように、今この会場でスマートTVを使っている人はほんの数人だが、おそらく今後変わるだろう。スマートTVに限らず、スマートウォッチやスマートハウス、あるいはスマートグリッドや産業装置などがその対象になる恐れがある」とし、それに備えた準備を進めていると述べた。
ますますサイバースペースの危険性が増している中、必要な事柄は三つあるとカスペルスキー氏は述べた。「一つは、あらゆる層に対する教育。二つめは、法執行機関や警察当局との協調や情報共有だ。そして最後に、テクノロジや製品が挙げられる。「中小企業とクリティカルなデータを扱う企業や組織、そして産業インフラを担う企業、それぞれに異なる対応が必要だ」(同氏)。
また、Kamluk氏は続く講演の中で、電子証明書の悪用や暗号鍵の偽造(Factoring)、ソフトウエアアップデートメカニズムの悪用やOSブートセクターに感染するマルウエア、さらにはHDDのファームウエアに感染するマルウエアなど、APTが用いる手法がいっそう高度化していることを紹介した。
Kamluk氏は、「APTのテクニックが、サイバー犯罪者が犯罪を効率的に行うために学ばれ、模倣されている」と指摘した。同様にカスペルスキー氏も「技術のプロが雇われ、APTの手法がサイバー犯罪に、さらにはサイバーテロに悪用されることを懸念している」とコメントしている。高度な攻撃手法が模倣され、拡散していく中、被害を食い止めるためにも、IGCIのような取り組みに期待したい。
Copyright © ITmedia, Inc. All Rights Reserved.