サイバー脅威インテリジェンスの非対称性
Cyber Threat Intelligence (CTI / サイバー脅威インテリジェンス) という言葉をご存じの方も多いのではないでしょうか。
Wikipedia (ja) によれば
CERT-UKによると、サイバー脅威インテリジェンス(サイバーきょういインテリジェンス、CTI: Cyber Threat Intelligence)は「掴みどころのない」[1]概念である。
と、初っ端から出鼻をくじかれるような驚きに満ちた表現になっています。冷静に考えて、確かにその価値とそれに取り組む意識の高さに対して、それが本当に機能しているのかというのは取り組んでいる自分たちでもなかなか分かりにくい部分ですよね。ただ、これが世界に名だたるセキュリティベンダーやインテリジェンス企業であれば、きちんとその辺りは測定されて評価も行われているのではないかと信じたいところです。
しかし私には知っていることがあるのです。多くの企業や組織のみなさんの中の偉い方々がインテリジェンスとして最も興味があって気にしているのは
- 犯人は誰なのか
という点であるということを。上司報告でも良く「長ったらしい説明はいいから結論を先に言え」と怒られることがありますよね。それです。
本記事では、そんな境遇にあるのではないかと思われる私を含む大多数の一般サイバー市民にとって、せっかくならそういう政治層の話よりも上に突き抜けて考えてみようかと以前に実験したことを思い出し、再紹介する記事です。
CTI を行うに当たり OSINT や民間企業の有償サービスを活用する場面は昨今のサイバーセキュリティの中ではますます多くなっていると思います。実はそういう中で提供者によるインテリジェンスの偏りのようなものは以前から私が感じているところで、事実それはあって然るべきだと思っています。
例えば Mandiant や FireEye は自国由来であるとされる Equation Group に言及していませんがそれを認識していないことはないはずです。まったく公表されません。WannaCry と、それをアウトブレイクさせるきっかけとなった EternalBlue / DoublePulsar での一連の騒動における彼らの脅威アクターは Equation Group ではなく、もしかすると The Shadow Brokers になっているのかもしれません。
一方で Kaspersky が同じく自国由来とされる Turla や Sofacy に関するインテリジェンスを積極的にレポートしているのは政治的な観点では何か不思議な感覚に陥ります。果たしてそれをどこまで真実として共有しているかは、OSINT およびそれら有償サービスのほとんどの利用者側からは見えない「情報戦」の部分だと思います。
では、だからと言って、例えば FireEye, Kaspersky, 奇虎360 など、おおよそ政治的な対立関係にある全ての国家のインテリジェンスサービスを活用して、そういった情報戦の難問パズルを解けば偏りがなくなってベンダー (国家) ニュートラルなインテリジェンスが生まれるのかと言えばそれも違うような気がしていて、場合によっては混沌が増幅される方向に働いてしまうだけのケースもあるような気がします。
Therefore (すなわち)、 OSINT や特定国家に属する民間企業の CTI を活用するという現状においては、自らの気づかぬところで、いつの間にかそういう情報戦が交錯する大海に乗り出し、自分がどこの大陸を目指しているのか分からないまま、その羅針盤が指し示す方向に誘惑され続ける危険性を伴うゲームのような気がしています。
これは CTI の提供を受け活用する利用者側の話だけではなく、まさにサイバー脅威そのものに直面して CTI を生み出す提供者側にも言えることだと思います。特に国家が関わる諜報活動としてのサイバー攻撃において、その犯人が誰なのか答えを急ぐ必要があるのは主に政治層の話で、曖昧な証拠だけを頼りに真面目にインテリジェンスしようとすると、その背後に潜む欺瞞 (Deception) によって、俗に言われる「帰属地獄」へと放り込まることになります。
APT Review of the year | Securelist
It comes as no surprise to find false flags every now and again, sometimes implemented rather naively. But this year we witnessed what should be considered (so far) the mother of all false flags (more details can be found here). Other than the technical details themselves, what is also worth considering is the real purpose of this attack, and why these sophisticated false flags were planted in the malware.
The first obvious conclusion is that attackers now understand very well what techniques are used by the security industry to attribute attacks, so they have abused that knowledge to fool security researchers. Another consideration is that the main objective of an attack is not necessarily related to stealing information or disrupting operations — imitating an attacker might be more important.
日本を標的にした新しい脅威を発見:スネーク・ワイン | Cylance Japan株式会社
サイランスでは、セキュリティ業界で頻発している問題を明らかにし、広く公開する取組みを続けています。今回はアトリビューションを偽ることが、どれほど容易かについて明らかにしたいと思います。業界として注目すべきは、攻撃者が誰なのか?という点に焦点をあてるだけでなく、攻撃者がどの様に攻撃を成功させているのかという点について分析することです。攻撃がどのように行われたのか特定出来れば、最も重要な「防御」に注力することが出来るからです。
Indicator of Compromise (IoC) は神の創造物ではありません。攻撃者という人間の残した技術的な痕跡です。かなり乱暴に極論を言ってしまうと、政治的に犯人捜しをする必要がある舞台にインテリジェンスが持ち込まれた際には、それが真実かどうかであるかは別にして、結局、誰の言っていることを信じるのかというだけのことに過ぎないのかもしれません。真実は「本当の神」と「本当の攻撃者」のみぞ知るということになるのですが、「本当の攻撃者」は「真実」を話しません。
(帰属地獄へようこそ)
最後までお読みいただき、ありがとうございました。
