セキュリティ企業の米クラウドストライクは2014年6月、中国人民解放軍が2007年以降、米国や欧州に対してサイバー攻撃を行っているとする報告書を公表した(関連記事)。攻撃者を特定するのは、同社の“お家芸”。2013年2月から、攻撃者を特定するサービスを提供している(関連記事:標的型攻撃の「攻撃者」を特定するサービス)。
同社のCEO(最高経営責任者)は、米マカフィーのCTO(最高技術責任者)を務めていたジョージ・カーツ氏。カーツ氏は、セキュリティ関連書籍のベストセラー「Hacking Exposed: Network Security Secrets & Solutions」(邦訳は「クラッキング防衛大全」)の著者の一人。カーツ氏に、攻撃者を特定することの意義などについて聞いた。
攻撃者を特定することの意義は何か
対応の優先順位を付けられることが大きい。企業や組織には、毎日大量のサイバー攻撃が仕掛けられている。SOC(セキュリティ・オペレーション・センター)では、次々と警告(アラート)が発せられるため、「アラート疲れ」が発生しているほどだ。
だが、それぞれの攻撃を仕掛けている攻撃者やその“意図”を特定できれば、どの攻撃が特に危険なのかが分かり、どの攻撃に対して優先的に対処すべきかを決められる。
以前、米国のある小売業者から大量の顧客情報がサイバー攻撃によって流出したことがある。その企業は、顧客情報を狙う攻撃者からサイバー攻撃を受けているという情報を、セキュリティ企業から警告されていたという。その警告を重く受け止め、その攻撃者からの攻撃に対して特に注意を払っていれば、顧客情報の流出といった最悪の事態を防げた可能性が高い。
また、攻撃者により攻撃の意図や攻撃手法はほぼ決まっているので、侵入された際に攻撃者を特定できれば、侵入による影響を最小限に抑えられる。「そもそも侵入されなければよい」と考えるかもしれないが、そうはいかない。様々なセキュリティ機器を導入し、考えられる対策を全て実施していたとしても、侵入を100%防ぐことは不可能。侵入を前提とした対策が不可欠だ。
このため、企業には二つのタイプしかないと考えている。侵入されたことに気付く企業と、侵入されたことに気付かない企業の2種類だ。「侵入されない企業」というのは存在しない。攻撃を“成功裏”に終わらせないためには、侵入にいち早く気付き、対策を施す必要がある。
