「ハッカー同士が交換する情報やハッカー・グループの動向を追えば,今後ネットでどのような攻撃が起こるのか予測できる。実際,『Blaster』については4年前に予測できた」*――。セキュリティ・ベンダー米CybertrustのCTO(最高技術責任者)であるPeter Tippett氏は12月10日,プレス向け説明会において,同社のビジネスやセキュリティの最新動向などを解説した(写真)。Tippett氏は,世界で初めて商用のアンチウイルス・ソフトを開発したことでも知られる。
*「ハッカー」は,コンピュータやネットワークに対して深い技術知識を持ち,探究心が旺盛なユーザーを指す場合がある。それに対して,攻撃などを行う悪意があるユーザーを「クラッカー」と呼ぶ。ただしこの記事では,Tippett氏の発言に基づき,すべて「ハッカー」と記述する。
Cybertrustは,米Betrustedと米TruSecureが合併した会社。企業/組織向けのセキュリティ管理――アイデンティティ管理,脅威の管理,脆弱性の管理,コンプライアンス管理など――のソリューションを提供する。これらのソリューションの一部として,同社では顧客に対してセキュリティ情報を提供している。特徴的なのは,現時点だけではなく「今後,どのような攻撃あるいはインシデントが発生するのかを予測する」(Tippett氏)こと。
それを可能にしているのは,同社の情報収集能力だという。情報収集方法の一つが,「1万1000人にのぼるハッカーの動向を“追跡”すること」(Tippett氏)である。ハッカー同士が交換する情報などを収集して,「ハッカーの興味の対象は何か」「どのような脆弱性に目をつけているのか」――などを把握し,今後行われるであろう攻撃を予測する。そして,その予測に基づいた対策を顧客に提供するという。
例えば,2003年8月に出現した「Blaster」については,今から4年前(Blaster出現の3年前)に予測できていたという。「ハッカーの間では,『WindowsのDCOMを狙おう』といった情報がやり取りされていた。だから,DCOMを狙う(Blasterのような)攻撃が出現することは時間の問題だった」(Tippett氏)
ハッカーを“追跡”する方法については,「パブリックの情報だけに基づいている。不正アクセスや盗聴といった違法な手段は一切用いていない」とTippett氏は強調する。具体的には,スタッフがハッカーのふりをしてIRCやチャットなどに参加して,情報を仕入れるという。「ひとりで4~5人のハッカーを演じる。長期間演じていると,相手は自分を本物のハッカーだと思い,情報を教えてくれるようになる。『今度,このツールで攻撃しようと考えているんだ』といって,そのツールを見せてくれる場合もある」(Tippett氏)
同社では,そうやって収集した膨大なデータをデータベース化し,「どのハッカーがどのハッカー・グループに属しているのか」「どのハッカーとどのハッカーが通じているのか」「過去にどのようなサイトを攻撃したことがあるのか」――といった情報を,GUIから参照できるシステムを持っている(右写真。拡大表示はこちら)。
「(ハッカー・コミュニティから情報を収集する)この方法は,(同社の)情報収集方法の一部に過ぎない。だが,とても有用である」(Tippett氏)。合併前を含めれば,既に11年間実施している方法だという。
(勝村 幸博=IT Pro)
