山崎文明のセキュリティコラム

サイバー攻撃に関する報道が急増しています。ここ１カ月だけでもイランの原子力発電所（ブシュール原発）に対してサイバー攻撃が仕掛けられ、制御不能に陥って原子炉が暴走し、放射能で汚染された大量の粉じんが大気中に放出される恐れがあったとのロゴジンロシア駐北大西洋条約機構（NATO）大使のNATOロシア理事会での発言や欧州連合（EU）加盟国の温室効果ガス排出権取引所が相次いでハッカーに襲われ34億円に相当する排出権が盗まれた結果、現物取引を停止する騒ぎになっていること、英国ではロンドン証券取引所が、米国ではナスダック証券取引所がハッカーに侵入されたことが報じられています。フェイスブックの創業者マーク・ザッカーバーグCEOやサルコジ仏大統領のフェイスブックの書き換えも話題になっています。

そんな中Jeff FayとChris Goggansの２人が日本にやってきました。 今回は、Jeff とChris と行ったオフラインでの情報交換から話題を拾ってみました。

Jeff FayとChris Goggansの名前に記憶がある方は、セキュリティ分野に造詣の深い方でしょう。Chris Goggansは、昔Erik bloodaxeというハンドルネームで活躍していたハッカーです（写真は若かりし頃のErik bloodaxe）。

Chris Goggansと名乗るようになってからもChrisの活躍は注目されています。FBIからの依頼でFBIのネットワークセキュリティを検査するいわゆる侵入検査（Network Penetration Testing : Pen-Testing）で、わずか６時間で侵入できたことが報じられています。

米国を代表する著名なハッカーは、今も世界を股に活躍しているようです。先月、Chrisは、アラブの王様の宮殿の侵入検査を行っていたとかで、夢のようなゴージャスな生活を送っていたようです。一方のJeff Fayですが、写真でお分かりのようにアフガンの駐留軍の基地でテントに寝泊まりし、砂嵐にさいなまれながらの侵入検査だったようです。

「戦場のカメラマン」ならぬ「戦場のハッカー」と言ったところでしょうか。Jeff FayとChris Goggansは、ともに米国政府の御用達ハッカーとしてFBIに限らず、ホワイトハウスやペンタゴンなど米国政府の重要ネットワークの侵入検査を手掛けていますが、最近では、前線基地のネットワーク検査依頼も多いようです。基地そのものがWAN/LANの単位になっていてIPプロトコルで通信しているため、敵のハッキング攻撃が大変な脅威になっている背景があります。米軍では、軍事予算を削減するため軍専用製品の開発から民間の既製品を調達するCOTS(Commercial-Off-The-Shelf)政策がすすめられている結果、軍用ネットワークも特別なものでなくなりつつあります。その象徴がiPhoneやiPadの採用です。戦場での作戦指令やGPSと連動させた敵情撮影がiPhoneでやり取りされているそうで、情報セキュリティという目を通してみると戦場もオフィスと変わらないというのが現実のようです。

Cyber Patriot

米国では、軍事面でのサイバー戦闘能力を高める必要性があるとする声は、限りなく高まっているようです。空軍対陸軍、陸軍対海軍といった軍対抗のサイバー戦も頻繁に行われているようですが、サイバー戦闘能力を高めるためには、Jeff FayとChris Goggansのような本物のハッカーを育成し、味方につけることが肝要です。そのため米国では、Cyber Patriot(http://www.uscyberpatriot.org/Pages/default.aspx )と呼ばれるプロジェクトが進行しています。



このプロジェクトでは、全米の高校生に声をかけ、チームでハッキングの腕を競わせる、まるで日本の高校野球のような大会が催されています。日本では、ハッキングの助長につながると批判が多く、正面から取り組めない行事ですが、米国ではこの大会参加者の成績優秀者をサイバー軍へ勧誘することをこの大会の大きな目的としています。米国の次期防衛構想であるASB構想(AirSea Battle Concept)の中で、日本に求められている機能の１つにサイバー戦闘能力の向上が挙げられていることから、日本政府もいずれその対応について方針を示す必要がありそうです。

CAPEC

ハッカーの攻撃対象は、軍事関係だけではないことはご承知の通りです。先に挙げた温室効果ガス排出権取引所を狙ったハッカーも排出権の転売を目的とした金銭目当てのハッキングであることは明らかです。したがって、みなさんの会社が標的になることも例外ではありません。ハッキングの脅威に敏感な企業は、日本でも定期的に侵入検査を行っています。弊社でも侵入検査サービスを行っていますし、私自身、年に一度は、検査を受けるようお勧めしています。なぜなら、脆弱性の検出検査だけでは発見できない問題が侵入検査を行ったことで実際に発見されているからです。

一方で、サービスを提供している立場で申し上げ難いのですが、この種の検査には大きな課題が幾つかあります。例えば、侵入検査の結果、侵入できた場合に企業の機密情報が漏えいすることはないのかという問題です。海外では、侵入検査会社が、検査に乗じてバックドア（後日簡単に侵入できるよう用意した入口）を作っていたというような事例も報告されています。また、脆弱性の検出検査と侵入検査は、何が違うのか。何をどこまでやれば侵入検査を行ったことになるのかが定かでない点も大きな課題です。クレジットカード業界が定めたセキュリティ対策基準(PCI DSS)では、その要求事項の11.3 に「外部および内部のペネトレーションテストを尐なくとも年に1度および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更後に実行する。」と定期的な侵入検査の実施を求めていますが、どのような検査をやれば侵入検査を実施したことになるのかは、そのガイドライン（Information Supplement : Penetration Testing）を見ても判然としません。そうした疑問に応えようとしているのが、CAPEC(The Common Attack Pattern Enumeration and Classification)プロジェクトです。CAPECは、米国国土安全保障省（U.S. Department of Homeland Security）がスポンサーしているプロジェクトで、ハッキングの手口を分類し、それぞれの手口について、プログラム言語のような体裁で、どのような作業をどの順番で行っていくかについて記述する試みです。実際のハッキングの定義書は、ISO15408の記述方法を連想させます。すでに300パターン以上のハッキング手順が定義されていますが、記述の難読性や条件分岐の複雑さは、一般には受け入れがたく感じます。コンセプトは受け入れられるのですが、実際に普及することはないように思います。CAPECがどの程度、定着するか継続的にモニターしていくつもりですが、当面は、侵入検査の信頼性や十分性は検査担当者の実績で判断するしかなさそうです。

後記

Jeff FayとChris Goggansはともに酒が大好きです。Chris は、牛肉と豚肉が苦手なのでディナーは、好物の焼き鳥にしましたが、Chris は、20杯以上もビールジョッキをお代りしておりました。ということで、Erik bloodaxeと名乗っていたころからは想像もできないくらいにChris の姿は変わり果てています。Erik bloodaxeは今や神話の世界ですので、現在のChrisの姿は、ご紹介しないことにしました。