Cyber NINJA Archives

2016年からの旧ブログを整理・修正して収納します。

カウンター・サイバー攻撃

 総務省が来年度の予算で、サイバー攻撃に対するおとりサイトを作り、そこへの攻撃を分析することでセキュリティ性を高めるという実証実験をするとの報道があった。

https://www.jiji.com/jc/article?k=2017082900983&g=eco

 以前から不信な通信は、多くのIPアドレスに降ってくる。その中には現在使われていないIPアドレスもあって、これをダークネットという。ダークネットへの不正な通信は誰のものでもないから、それを研究者が分析してどういう攻撃などがどのくらい行われているかを探知するということはやっていた。かなり昔、総務省傘下の情報通信研究所NICT:東京都小平市)でビジュアルに見せてもらって感心した記憶がある。

 

    f:id:nicky-akira:20190415070730j:plain


 また犯罪者の側では、良く使われるサイトのダミーを作ってそこにアクセスした利用者のIDやパスワードを盗むということも常習的に行われていた。例えばxx銀行のネットバンキングで振込みなどしようとしてサイトにアクセスすると、そっくりな入力画面が出てきてID、パスワードを求めてくる。入力すると、すっかり盗まれてしまうわけ。

 
 入力後、本当にxx銀行にそっくりな画面が出てきて「不具合があったので一旦ログアウトして再ログインください」などと言われる。再ログインは本当のサイトに飛ぶので、よほど注意深い人で無いとID・パスワードを盗まれたことに気が付かない。

 今回のおとりサイトは、この2つを考え合わせれば発想できる。この例でわかるように、攻撃手法は防御手法につながる表裏一体のものである。物理社会のテロ対策でも、テロの手口を知り尽くした傭兵集団等がカウンター・テロの仕事をするのが普通だ。それでは、サイバー世界でのカウンター・テロってどんなものだろうか?

 2015年末、ソニー・ピクチャー・エンターティンメントに対して北朝鮮からと思われるサイバー攻撃があり、未発表の映像や関連個人情報が流出した。その時オバマ政権の反応は早く、早々に北朝鮮を犯人と決めつけ「報復措置」をとると表明した。その後この表明と関係あるかどうかは不明だが、同国でインターネットにつながりにくい状況が複数発生している。

 この決め付けがあまりにも早かったので、僕はある疑惑を持っている。米国は2014年に韓国で発生した数万台のPC起動できずという事件を、北朝鮮のサイバー部隊に仕業とみたのだろう。その部隊を特定し、そこに検知用のマルウェアを仕込んだのではないか。そしてソニーに依頼して、北朝鮮の首領を揶揄するような映画を作らせた。どうしてもその部隊が動かざるを得ない状況を作ったわけだ。そしてサイバー攻撃が来たとき、逆に仕込んだマルウェアが通報してくれて、犯行が特定でき彼らの能力も測定できたのではなかろうか。

 日本でそんなことしようとしたらメディアに叩かれまくるだろうが、サイバー空間でも本当に専守防衛・自国内のみの防衛でいいのでしょうかね?
 
<初出:2017.9>