「サイバー犯罪の未然防止に向け、どう対策すればいいのかという一つの判断材料としてインテリジェンスを活用する必要性が高まっている」。
デロイトトーマツサイバーセキュリティ先端研究所の岩井博樹主任研究員は「サイバー犯罪対応の課題とインテリジェンス活用の重要性」と題した講演をこう切り出した。岩井氏は日本サイバー犯罪対策センター(JC3)が2016年3月10日に開催した年次カンファレンス「JC3 Forum 2016」で登壇した。
標的型攻撃への警戒心を逆手に取って攻撃
岩井氏はインテリジェンスについて「もし知っていたら被害に遭わずに済むもの(情報)」と説明。具体的には、Webサイトや論文、書籍など公開情報から情報を得るオープンソース・インテリジェンスの「OSINT(オシント)」、人から情報を収集する「HUMINT(ヒューミント)」、センサーなどの電気信号から情報を得る「SIGINT(シギント)」があるとした。「サイバーセキュリティの世界で主に使うのはOSINTとHUMINTだ」(岩井氏)。
インテリジェンスは既にサイバーセキュリティに欠かせない存在になっているという。「いたちごっこの続く標的型メールは非常に巧妙になっている」(岩井氏)。例えば、攻撃者は標的型メールに記載する組織名がGoogleで検索されることを見越して、当該組織のサイトを改ざんするケースが増えているという。Webサイトからマルウエア(悪意のあるソフトウエア)に感染させるのが狙いだとみられ、受信者の警戒心が上がったことを逆手に取っているといえる。「たちが悪いが、こうした攻撃者の動向を知らなければ引っかかってしまう」(岩井氏)。
サイバー攻撃に遭うと、一般には被害端末側から調査を始め、加害者・犯人を追い詰めていく。ところが、この手法は常に受け身になり、限界があると岩井氏は指摘し、「被害を未然に防ぐには何をすべきか、という逆のアプローチが必要」とする。それには防御側からではなく攻撃者側から見た「風景」の情報が欠かせない。その情報源がインテリジェンスであるとの見解を示した。
