DDoSの取り締まりは恐喝の「交戦規則」を変えるか?

アカウントの乗っ取り、DDoS(分散型DoS)攻撃、ランサムウェア、個人や団体を標的としたあからさまなサイバー恐喝の蔓延は、ハッカーによる攻撃の激化というだけでなく、私たちの交戦規則に関しても問題を投げかけています。「悪人たちの規則は私たちと同じではない」という現実を踏まえて、私たちはこうした問題のすべてにどう対処していけばよいのでしょうか?

今回の考察で真っ先に思い浮かんだのは、最近、DDoSの「サイバー恐喝」グループであるDD4BCにかかわった容疑者たちが(ビットコインを標的としたDDoSで)逮捕された事件です。このサイバー集団は逮捕により打撃を受けたはずですが、次の日には新たなランサムウェアがクラウドへの攻撃を開始しました。つまり、こうした特定の個人が犯罪の場から排除されても、すぐに代わりが登場するということです。おそらくは(逮捕されるという)リスクを補って余りある(身代金という)報酬があるのでしょう。

ランサムウェアやそれに関連するオンライン犯罪にかかわる個人が入れ替わることは重大な問題ですが、もう1つ、それよりもずっと重大だと思うことがあります。Javelin Strategy & Researchで不正行為対策およびセキュリティ対策の責任者を務めるAl Pascual氏の考察は、そのことを示唆しています。Pascual氏は、今回の取り締まりによって、DDoS恐喝者が発見され、逮捕され、訴追を受ける可能性があることを彼らに明確に知らしめているものの、国家間の国際的な協力体制には不備がある(犯罪者引き渡し条約の不備など)と指摘しています。ランサムウェアのほとんどが警察当局の訴追範囲を超える一部の地域から発しているという状況の下で、こうした仮想世界での犯罪を食い止めることは現実的ではありません。

「旧来の戦い」と「不釣り合いな戦い」

Pascual氏も、先に触れた交戦規則について詳しく考察しています。

こうした「規則」は、戦争のような状況では遵守されることがあります(たとえば、関係国に対して拘束力のあるジュネーブ条約や、米国が戦闘地域における市民の死者を減らすために使用している「スマート」爆弾など)。しかし、DD4BCのような恐喝者を抑止しようとする場合、私たちがこうした犯罪者をどのように認識するのか、そしてどのように彼らと継続的に戦っていくのかという点が問題になります。

犯罪者に対する私の認識は(これは正確な認識だと思いますが)、彼らは私たちよりも行動が機敏であり、私たちのセキュリティ プロトコルよりも身軽に変化できる、というものです。理由は簡単で、彼らはいとも簡単に必要なツールを購入したり、情報を共有したりできるからです。どれだけ多くのセキュリティ対策を実施しようと(さまざまなパッチやウイルス対策アプリケーションを組み合わせて、あとは神頼み)、サイバー恐喝者は、地理的や境界や政治的な境界、企業のポリシー、政府の規制に縛られることはありません。

彼らには、初めて組織を立ち上げ、初めて私たちに対してDDoS攻撃を仕掛けてきたときから掲げている交戦規則があります。その規則に従って、彼らは、サイバー犯罪の地下組織や、闇のWebや、ソーシャル メディアを通じて互いに共謀し結託しています。その一方で、企業団体も政府機関も、その多くが情報の共有に頼らざるを得ない状況ですが、そうした情報では、今日私たちを(ゼロデイ攻撃などで)攻撃している悪人たちに十分対処できるだけの必要なデータやインサイトが、容易に得られるとは限らないか、場合によってはまったく得られず、頻度や激しさがますます高まっているDDoS攻撃にはほとんど対処できていません。

言い換えると、私たちが従来こうした脅威に対抗するために頼ってきた既存の「プレイブック」は、もう時代遅れであるか、または間もなく時代遅れになる、ということです。

情報共有の価値

では、これからどのようにして、これらの脅威と戦えばいいのでしょうか? 今後逮捕者が増えることは引き続き期待できますし、企業どうしが足並みを揃えて、自社のデータの身代金を払わないという統一的なポリシーを策定することもできます。しかしその一方で、世界的な規模で、あらゆる業界にわたって、一貫性のある詳細な情報共有が必要だという声も多く聞かれます。セキュリティ ホールのすべてに対策を施し、長期的な整合性を保つためには、そうした情報のギャップを埋めることが唯一の確実な手段になります。

ずっと以前から、インターネットによってファイアウォールや境界や規制が取り払われてきていることは疑う余地がありません。私たちはこれまで、自ら依存し信頼してきた組織や機関において私たち自身の安全とセキュリティを保つために、さまざまなセキュリティ措置を講じてきましたが、そうしたものすらインターネットによって取り払われてきています。だからといって、ここで白旗を揚げてサイバー恐喝やDDoS攻撃にリソースを費やし続けなければならない、というわけではありません。そうではなく、ビジネスの継続と保護に必要な情報を集めるために、国際的な業界組織やセキュリティ専門家と連携を図るという決意を固めることが必要なのです。

善い行為であれ悪い行為であれ、行為の原動力となるものは、その行為によってもたらされる結果です。現実の結果が伴わなければ、交戦規則は決して変わりません。

RSAの不正行為やリスクに関する情報の詳細については、次をフォローしてください。@RSAFraud

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments