ゲストで共同執筆者の Neil Jenkins は、Cyber Threat Alliance(CTA)の最高分析責任者です。Neil は CTA の分析活動を主導する立場にあり、CTA のプラットフォームの脅威インテリジェンスを使用した脅威のプロファイル、攻撃のプレイブック、その他の分析に注力しています。現職に就く前は国土安全保障省、国防総省、海軍分析センターでさまざまな役職を務め、官民のサイバーセキュリティ戦略、政策、作戦計画に関する多数のイニシアチブを率いてきました。
この記事の見出しが示しているように、ランサムウェアは国家安全保障、人命の安全、重要インフラにとっての脅威となっています。そのため、米司法省は先日、ランサムウェア攻撃に関する捜査の優先度をテロリズムと同等の水準に引き上げることを発表しました。今年、Ransomware Task Force(ランサムウェア対策タスクフォース、RTF)の下に結集した 60 を超える専門機関にとって、この発表は驚きではありませんでした。RTF は、ランサムウェア攻撃に対する包括的な対応策を国際政府機関と民間部門のパートナーに提言することを目的としています。事実、RTF の報告書は Colonial Pipeline 社に対する攻撃の数日前に発表されており、冒頭には「ランサムウェア攻撃は世界中で国家安全保障上の緊急のリスクになっている」との記述があります。
Talos はこの報告書の作成に協力しており、この記事では RTF が 2 番目の優先事項としている「持続的かつ積極的な、政府の総合力とインテリジェンスの力を活用したランサムウェア対策キャンペーン」について詳しく見ていくことにします。これまで、ランサムウェアの脅威への対応については、かなりの部分が民間に任されており、事件が発生すると法執行機関の問題として扱われてきました。しかし、このやり方ではうまくいきませんでした。今のままでは、攻撃者は企業や組織のセキュリティ対策の欠陥を見つけるだけでよく、いつまでも成功を収めることができます。攻撃を阻止するために社会ができることと言えば、せいぜい「刑務所送りにする」という警告であり、こうした法執行に協力することに一切関心を示さない国に攻撃者が身を隠しているようでは、抑止力など皆無です。
この状況を変える必要があります。世界経済の担い手である企業に対するランサムウェア攻撃を放置するのはあり得ないこと、そして法執行機関を中心とするアプローチでは攻撃を有効に阻止できなかったという事実を認識しなければなりません。最終的に RTF が提言しているのは、人命の安全、重要インフラ、国家安全保障に対する攻撃を仕掛けることで脅威をもたらすランサムウェアグループを特定し、この問題を法執行機関の問題としてではなく、国家安全保障の問題として扱うことです。ランサムウェアに対抗するには、法執行機関の枠を超えて、政府のすべての部門の力と権限を活用すると同時に、民間部門と連携しなければなりません。コミュニティが一丸となって取り組む必要があります。このアプローチでは、ランサムウェア攻撃を阻止するためにどの部分に注力し、創造性を発揮し、継続的に圧力をかけていくのかが論じられています。
キャンペーンの鍵を握るのは「インテリジェンスの力の活用」です。これは政府にとって、インテリジェンス コミュニティが諜報対象とするランサムウェア攻撃者の優先付けを行う必要があること、そして政府独自のインテリジェンスの知見を、法執行機関や民間のネットワークセキュリティ企業が持つランサムウェア攻撃に関するインテリジェンスと統合する必要があることを意味しています。政府は自らが最も得意とする領域を民間部門が最も得意とする領域と組み合わせる必要があります。前者は個々の攻撃者の属性を明らかにすること、後者はリスクにさらされている重要インフラ、技術的な脅威の痕跡、市場での暗号通貨の流れを特定することです。この取り組みによって得られるデータは 2 つの目的に使用できます。1 つは、攻撃者の分類・優先付けを行い、どのグループが本当の脅威なのかを特定すること、もう 1 つは、即座に対応する必要があるのはどのグループなのかを特定することです。政府はこのインテリジェンスを使用して高度な脅威を特定し、脅威を食い止めるための活動を政府機関と民間部門間で調整することができます。
今や取り組みの重点は、ランサムウェアグループの活動内容から、グループの活動を可能にしているものへと移っています。収集されたインテリジェンスにより、グループの活動を後押ししている資金面、攻撃面、交流面の全体像を政府が把握できるようになります。この認識があってこそ、攻撃グループの解体計画を政府が策定することが可能となります。状況によっては、法執行機関が主導的な役割を果たし、従来の関係機関と協力しながら、法的手続きを用いて攻撃者のインフラを解体したり、犯罪者を拘束・起訴したりすることもあるでしょう。しかし、グループの攻撃主体、すなわち最優先で阻止すべき対象は法執行機関の手の届かないところにいると判断される可能性が高いと思われます。ここで、創造性と連携が重要となってきます。
最終目標は、攻撃グループを解体・活動停止に追い込み、他の攻撃者に同様の手口を用いることを思いとどまらせることです。収集されたインテリジェンスにより、対象グループの攻撃とインフラの弱点が特定されるはずです。政府の組織力と権限に民間部門のセキュリティ対策を組み合わせることで、攻撃者のインフラを破壊し、ランサムウェア攻撃の実効性を低下させることができます。対応においては、攻撃グループ特有の弱点を突き、民間部門や国際的なパートナーと可能な限り調整を図る必要があります。
ここで重要なのは、従来の法執行手段であれ、政府の力、そして民間部門との連携をより創造的に活用する方法であれ、攻撃者を長期的に解体・活動停止に追い込む方法を見つけ出す必要があるということです。場合によっては、一度の関与では攻撃者を阻止するのに十分ではなく、一貫して圧力をかけ続ける必要があります。圧力に十分に耐えられる活動を行ってきた攻撃者に対しては、このような持続的な関与が適切であるだけでなく、全面的に必要となります。
米国の状況
RTF の最終報告では、米国がこれらの措置を講じ、連邦政府内および民間部門との連携を強化するためにどう組織化できるかのモデルが示されています。政府は、ランサムウェア攻撃者を活動停止に追い込むという共通の目標に向けて協力する役割を担うさまざまな政府機関を統合する必要があります。ランサムウェアのような問題に取り組むには調整が必要です。そのため、政府がこの取り組みを主導するために、省庁間で Joint Ransomware Task Force(JRTF)を設立することを RTF は提言しています。JRTF は、FBI や米国シークレットサービスなどの法執行機関に加え、国家情報長官室(ODNI)、国家安全保障局(NSA)、中央情報局(CIA)などのインテリジェンス コミュニティの主要メンバーで構成されるべきです。
また、サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)も参加させる必要があります。CISA は、重要なインフラ事業体に対するリスクを JRTF が理解し、対象を明確にした技術情報を企業や組織に提供するための支援をするでしょう。企業や組織はそうした情報に基づいて脆弱性への対応を図り、適切な緩和策を講じることが可能となります。ここで取り上げたようなランサムウェアグループを活動停止に追い込むための要素と、組織のセキュリティを向上させるための取り組みを統合することが不可欠です。反撃に使用するのと同じインテリジェンスを防御力の強化にも活用する必要があります。今活動している攻撃グループを阻止することだけに重点を置き、セキュリティのベースラインを強化しなければ、新たな攻撃者がその隙を突いてきます。これらの要素をタスクフォースの作戦行動に組み込むことで、米国政府機関はランサムウェア攻撃者の活動を停止させ、CISA を通じて、サイバーセキュリティ ベンダー、ISP、サービスプロバイダー、標的となった組織と連携し、攻撃者が使用している戦術、手法、手順(TTP)に対する防御を実現できます。
また、ランサムウェア攻撃者のインフラの破壊を目的とした合法的な攻撃的サイバー作戦を実行するために、JRTF には米国サイバー司令部(Cyber Command)を参加させる必要があります。攻撃者の逮捕が不可能であると政府が判断した場合、最良の選択肢は、指揮統制のインフラを破壊するか、関係者との通信に攻撃者が使用しているフォーラムを閉鎖することです。情報を活用し、ランサムウェア攻撃者に対する作戦で影響力を行使するという点でも、サイバー司令部は最適な立場にあると言えます。
国務省もまた重要な役割を果たします。外交手段を使って、自国内で活動するランサムウェア攻撃者に対して措置を講じるよう各国に働きかけることが、国務省の取り組みの中心になるでしょう。財務省は制裁措置の策定を支援し、暗号通貨市場と協力して、攻撃者への資金の流れを遮断することができます。他の政府機関にも役割があり、必要に応じて JRTF に加わる可能性があります。
ここで重要なのは、犯罪者に対処する場合とは異なる解決策がランサムウェアグループに対しては求められることです。ランサムウェアが国家安全保障上の問題である場合、政府は、複数の政府機関の権限と組織力を活用して、国家安全保障のアプローチにより解決を図る必要があります。
民間部門の関与
ここで民間部門が果たす役割は、潜在的な脅威を評価し、攻撃者の活動を阻止するための合法的な活動を支援することです。民間部門は、悪意のある活動の分析と攻撃者の監視に加え、ランサムウェア攻撃の被害を受けた組織と直接連携してきた長年の経験を有しています。また、実社会でのネットワークとサービスの運用方法、攻撃者がこうしたテクノロジーを悪用する方法、攻撃者の活動を阻止するためにテクノロジーを活用する方法について、専門的な知識を持っています。
サイバー活動に関する官民の協力は今に始まったことではありませんが、国家の安全保障上の脅威を正しく特定し、そうした脅威に対する安全で実用的な対応策を構築するために必要となる協力のレベルは、これまでとは異なるものです。高度な脅威に対しては、政府と民間部門の専門知識を組み合わせて、活動を停止させ、抑止するための対策を個別に設計する必要があります。
この種の協力には長い歴史がありますが、大部分は一方的なものでした。政府は、民間部門の専門家を議論に参加させ、攻撃者のプロファイルを作成し、テクノロジーを用いて活動を阻止するやり方をもっと受け入れていく必要があります。収集されたインテリジェンスを可能な範囲で、特に技術的な脅威の痕跡と攻撃者の TTP については、活動の阻止を支援する民間部門の組織と共有する必要があります。つまり、双方の専門家が最善のガイダンスを提供できるように、情報が双方向に流れる必要があるということです。この点については、RTF の報告書で次のように言及されています。「セキュリティ上の懸念や、情報源・手段を保護する必要がある場合、政府のすべての活動が非政府関係者と共有または調整されるわけではないことを民間部門の参加者は認識しなければならない」。
まとめ
ランサムウェアは今や国家の安全保障にとっての脅威となっており、見過ごすことはできません。犯罪行為が社会レベルで現実世界に影響を及ぼしていること、それに対する選択肢が用意されている事実を冷静に受け止める必要があります。危機的状況だから対応に慎重さを欠くということではなく、より多くの選択肢を検討する機会であることを理解することが重要です。これらの脅威に対抗していく中で、政府も民間部門も多くの困難な局面を迎えるでしょう。政府と民間部門が適切な手段を見いだし、脅威に対してそうした手段を効果的に活用するためには、これまで以上に知恵と冷静さが求められることになります。
本稿は 2021 年 06 月 07 日に Talos Group のブログに投稿された「Intelligence-driven disruption of ransomware campaigns」の抄訳です。