難読化のエージェント
新たに公開された文書には、窃盗犯を「おとりデータ」で誘惑する FBI の IDLE プログラムの概要が記されている。
FBIのIDLEプログラムは、「難読化」されたデータを使用してハッカーや内部からの脅威から実際のデータを隠し、データ盗難を困難にするとともに、セキュリティチームが不正アクセスを発見するためのツールを提供します。クレジット:ゲッティイメージズ
FBIのIDLEプログラムは、「難読化」されたデータを使用してハッカーや内部からの脅威から実際のデータを隠し、データ盗難を困難にするとともに、セキュリティチームが不正アクセスを発見するためのツールを提供します。クレジット:ゲッティイメージズ
連邦捜査局(FBI)は、米国におけるサイバー犯罪とサイバースパイ活動との闘いにおいて、様々な意味で最前線に立っています。近年、FBIはランサムウェア攻撃から外国政府支援のハッカーによるデータ窃盗まで、あらゆる攻撃に対応しています。しかし、FBIは攻撃が行われる前のネットワーク防御にも役割を果たし始めており、重要データの損失を防ぐために複数の企業と提携しています。
時には、脅威に関する情報を入手した現場捜査官が企業に積極的に連絡を取ることも含まれる。2人のFBI捜査官が、カジノのキオスクシステムに脆弱性を発見したとして、研究者がカジノに警告しようとしているという情報を掴んだ時のように。「各現場事務所には捜査官がおり、担当地域の企業に出向き、関係構築に多くの時間を費やしています」と、FBIサイバーエンゲージメント・インテリジェンス課のロン・T・チュー副課長代理はArsに語った。「そして、これが今、本当に重要なのです。問題が発生する前に、これらの企業が防御策を準備するのに役立つ情報を提供することです。そして、私たちはできる限り具体的な情報を提供するよう努めています。」
しかし、FBIは企業への脅威警告にとどまらず、コンサルティング業務も行っています。情報筋からArsに示されたFBIのチラシには、企業が「不正アクセスを持つ内部関係者(またはシステム管理者)、あるいは遠隔地のサイバーアクター」によって引き起こされるデータ盗難に対抗できるよう支援することを目的とした新しいプログラムの概要が記載されていました。IDLE(Illicit Data Loss Exploitation)と呼ばれるこのプログラムは、「盗まれたデータの不正な収集と最終利用を混乱させるために使われるおとりデータ」を作成することでこれを実現します。これは一種の防御的欺瞞、あるいは当局者が好んで呼ぶ「難読化」であり、FBIはこれによってあらゆる種類の攻撃者、特にネットワーク内外からの高度な脅威を阻止できると期待しています。
積極的に行動する
最近の FBI 民間業界通知 (PIN) では、2 要素認証を狙ったソーシャル エンジニアリング攻撃について警告されています。
最近の FBI 民間業界通知 (PIN) では、2 要素認証を狙ったソーシャル エンジニアリング攻撃について警告されています。
FBIのサイバー犯罪対策に関する全体的な方針について議論したチュー氏は、Arsに対し、FBIは最近「より包括的なアプローチを取っている」と述べた。特定の出来事や犯罪者に対応するのではなく、「サイバー犯罪を主要サービスという側面から見ている」と述べた。つまり、サイバー犯罪者が何を狙っているのか、そしてそれがサイバー犯罪エコシステム全体にどのような影響を与えているのか、という点だ。重心はどこにあり、それに影響を与える主要サービスは何なのか、という点だ。
かつてFBIは犯罪が報告された場合にのみ介入していました。しかし今日の新しいアプローチは、他の政府機関や民間部門とのパートナーシップを通じて、サイバー犯罪の防止においてより協議的な役割を果たすことを意味します。「FBI本部の中庭に行く機会があれば、そこにこんな言葉があります。『犯罪に対する最も効果的な武器は、協力、すべての法執行機関の努力、そしてアメリカ国民の支援と理解である』。これは今日、まさに真実です。しかし、これは法執行機関だけでなく、民間部門にも広がっています」とチュー氏は述べました。「なぜなら、私たちは今、間違いなく国家がこれまでに直面した中で最大の脅威の一つ、サイバー脅威に直面しているからです。」
こうしたアウトリーチの例は、Arsが3月に報じたカジノキオスクベンダーのAtrientのケースに見受けられます。FBIラスベガス支局とFBIサイバー部門の捜査官は、Atrientのインフラに存在するとされる脆弱性に関するTwitter投稿を拾い上げ、同社と影響を受けた顧客を研究者に繋ぎ、問題を解決しました(少なくともAtrientのケースでは、問題は多少うまくいきませんでした)。しかし、FBIは現在、このような状況において、進行中の捜査から収集したデータなど、他の情報源から収集した情報も共有しています。
チュウ氏によると、「パートナーとの既存の関係があれば、誰に連絡すればいいのか、そして相手も誰に連絡すればいいのかが正確に分かる」ため、情報共有ははるかに迅速に進むという。そして、双方向であれば情報の流れも速くなる。「民間企業からの情報をできるだけ早く入手しようと努力しているのと同じように、民間企業からも情報を入手できれば、はるかに効果的になるだろう」と彼は述べた。IPアドレス、侵入の兆候、その他の脅威データに関する情報交換により、FBIはデータを集約し、「それをFBIのデータベースやあらゆるリソースと照合し、いわば敵対者に対するより強力な証拠を作り上げることができる」とチュウ氏は指摘し、「さらに、誰が攻撃を行ったのかを特定しようとすることで、さらなる攻撃を防ぐことができる」と述べた。
情報共有の一部は、業界情報共有分析センター(ISAC)との連携や、サイバー犯罪に関する「Flash」および「Private Industry Notice(PIN)」アラートといった形で行われています。また、企業のセキュリティ担当役員とより直接的な関係を築くため、FBIはバージニア州クアンティコにあるFBIアカデミーで、最高情報セキュリティ責任者(CISO)向けの「CISOアカデミー」を年2回開催しています。参加者はFBIの捜査手法について教わり、捜査を円滑に進めるためにどのような証拠を保全する必要があるかを学びます。
しかし、特に関心の高い一部の分野については、FBIは現在、より緊密な連携を構築しようとしています。特に、防衛産業基盤(DIB)やその他の重要インフラ産業の企業との連携が重要です。FBIはこれらの分野を業界をまたぐ重要なネットワークと捉えており、サイバースパイ活動、知的財産の窃盗、そして特に他国によって国家安全保障や経済に影響を及ぼす可能性のあるデータの漏洩に対する多層防御を構築したいと考えています。
まさにここでIDLEが活躍するのです。
完全に罠ではない
IDLE プログラムの宣伝のために民間企業に配布されたパンフレットでは、プログラムの機能について非常に一般的な言葉で説明されています。
IDLE プログラムの宣伝のために民間企業に配布されたパンフレットでは、プログラムの機能について非常に一般的な言葉で説明されています。
「欺瞞プラットフォーム」という概念は、数年前に十数社のセキュリティ系スタートアップ企業を生み出したが、欺瞞は物理的なセキュリティや軍事紛争において、少なくとも(おそらく架空の)トロイの木馬の時代まで遡って重要な役割を果たしてきた。「ハニーポット」という概念は、脅威情報を収集するために攻撃者をおびき寄せるものであり、これは防御的な欺瞞のよく知られた一例に過ぎない。より複雑な欺瞞プラットフォームは、偽のクライアントおよびサーバーインフラストラクチャ(仮想または物理)全体を作成し、攻撃者が機密データを探す際に行き止まりに陥るように仕向ける可能性がある。こうすることで、防御側はそのような攻撃者を追跡して排除する時間を得ることができる。
これらはIDLEで用いられるアプローチではない。このプログラムに詳しい関係者がArsに非公式に語ったところによると、IDLEは単なるおとりではなく、ネットワーク上の既存の脅威を特定し、ハッカーの活動を困難にする手段であると強調された。その目的は、企業が攻撃者が価値ある情報を入手する前に、攻撃者を発見する可能性を高めることだ。そのため、FBIが介入するのは、攻撃者が既に標的としているネットワークとデータを支援するためであり、攻撃者をおびき寄せるためではないと関係者は述べた。これは司法省と参加企業の法務部門の立場から見て重要な法的区別である。
つまり、IDLEデータは、脅威情報収集のためにハッカーを誘き寄せるための「ハニーポット」ではなく、実データを難読化することで攻撃者を惑わすことを目的としています。これは、盗まれたデータの不正利用をはるかに困難にする試みであり、別の関係者が表現したように、IDLEのアプローチはジグソーパズルに偽のピースをはめ込むようなものです。攻撃者がすべての要素をどのように組み合わせればよいのか分からなくなるようにすることが目的です。
IDLEは機密扱いではないものの、FBI当局は機密性が高いため、詳細な情報には触れなかった。しかし、このプログラムに詳しい関係者はArsに対し、IDLEは既存の企業データ構造に基づいて難読化されたデータを作成すると説明している。つまり、通常の実稼働データの形式に一致するデータを作成するのだ。IDLEによって作成されたデータは既存のデータと混合されるため、正規のアプリケーションには影響を与えないものの、攻撃者がデータベースや文書をダンプして有用な情報を持ち去ることははるかに困難になる。
IDLEが生成するデータの種類は、導入ごとに異なる場合があります。これは、このプログラムが企業の既存のデジタル文書やその他のアプリケーションデータを厳密に模倣しようとするためです。FBIは詳細を明らかにしなかったため、これらのデータが実際のデータとどのように混在しているかは不明です。しかし、内部脅威と外部からの攻撃の両方で容疑者となる可能性のあるデータ、つまりSharePointドキュメント、ドキュメントストア、技術データ、個人識別データを含むデータベースなどが含まれている可能性は高いでしょう。
Arsが閲覧したチラシにはIDLEのその他の側面が詳細に説明されておらず、FBIは私たちの質問の多くにコメントを控えた。チラシによると、IDLEの他の機能は「ネットワーク内の不正な行為者、ネットワークからの不正なデータダウンロード、ネットワークからのデータ損失などを明らかにする可能性がある。これらの機能は既存のネットワーク防御に加えて、従来のネットワーク保護技術では検出/防止できない可能性のあるアクティビティを補完するものである」とのことだ。チラシによると、これらの追加機能は「クライアントのニーズに応じて、個別に、または組み合わせて使用できる」とのことだ。
データ強盗用のインク袋のようなものですか?
FBI の IDLE によって作成されたデータは、ネットワークから盗まれた場合に追跡できるような方法で「強調表示」されます。
クレジット: ゲッティイメージズ
FBIのIDLEによって作成されたデータは、ネットワークから盗まれた場合に追跡できるような方法で「強調表示」されている。クレジット:ゲッティイメージズ
IDLEのアプローチが攻撃者を単独で抑止する効果がどれほどあるかは疑問だと、Rendition Infosecの創設者で元国家安全保障局(NSA)のオペレーター、ジェイク・ウィリアムズ氏はArsに語った。「侵入者にとってどれほどのコスト増になるかは分かりません」と彼は述べた。「ネットワークの可視性を高めなければ、実際にはあまり効果がないのです。」
しかし、FBIにとってIDLEデータの価値は明らかです。IDLEデータは、市販のデータ損失防止システムやその他のセキュリティ製品による検出方法とほぼ同様の方法で「強調表示」されます。IDLEを導入する企業は、ダミーファイルへのアクセスを監視できます。ダミーファイルは、アクセスする正当な理由がないという点で本番データとは区別されます。ファイルの移動、特に別の場所へのコピーは、不正アクセスの兆候である可能性があり、進行中の内部脅威やネットワーク侵害を特定するために利用できる可能性があります。
このハイライト機能は、情報収集にも活用できる可能性があります。攻撃者によって持ち出されたIDLEファイルは、違法なWebフォーラムやその他のマーケットプレイスに出現した際に追跡され、例えばFBIが攻撃者の活動を追跡するのに役立つ可能性があります。また、FBI(そしておそらく他の機関)や、自衛を図ろうとする企業にとって、情報収集の観点からは他にもメリットがある可能性があります。
しかし、IDLEが情報収集においてどれほど効果的であるかについては、ウィリアムズ氏の見解では議論の余地がある。「効果は収集元によって異なります」と彼は述べた。「ほとんどの環境では、おそらく大した成果は得られないでしょう。しかし、NSAレベルの情報収集と組み合わせることで、より大規模な情報機関は、そうでなければ気づかなかった点と点を結びつけることができるようになります。」
FBIは顧客のネットワーク上に残っているデータの監視に積極的に関与していないと、Arsの取材に応じた関係者は断言した。監視はネットワークを所有する企業によって行われており、FBIが行っているわけではない。FBIはIDLEが導入されているネットワークへのアクセスを維持しておらず、システムの導入作業の大部分はネットワーク所有者と、IDLEソリューションのサポートを担当する企業の従業員に委ねられている。
FBIは実際の企業データを用いて「難読化」データの作成を支援していますが、その過程でFBIがデータを保持することはありません。これは、IDLEのチラシを見たセキュリティ専門家の一人が懸念を表明した点です。FBI関係者によると、IDLEはクライアント組織との関わりにおいて一方的なコンサルティングプロジェクトであるため、データの共有はすべて合意に基づいて行われます。しかしながら、関係者は、これまで業界内でこのプログラムに関する誤解や誤った結論が出ていたことを認めています。
IDLEデータが通常のアプリケーションデータからどのように分割され、ネットワークファイル共有を探索したりSharePointサーバーの隅っこに潜入したりするたびに誤検知が発生しないのかなど、未解明の疑問は数多く残っています。しかし、このプログラムが極めて厳重に管理されていることを考えると、そのような詳細が公開される可能性は低いでしょう。結局のところ、IDLEの導入には秘密保持契約が適用される可能性が高いでしょう。
特定のスキルセット
民間企業の努力にもかかわらず、データ侵害件数は増加の一途を辿っており、Twitterにおけるサウジアラビアのスパイ活動のような内部脅威関連の事例もその一つです。FBIが犯罪防止対策の強化に取り組んでいるのも当然です。しかし、多くの企業が侵害に直面していること、そして純粋にビジネス上の理由から法執行機関の介入を躊躇していることを考えると、(防衛産業やその他の政府関連産業を除けば)IDLEの普及がどの程度進むかは不透明です。
ウィリアムズ氏を含む、ArsがIDLEコンセプトについて話を聞いた複数の情報セキュリティ専門家は、それが「難読化」と呼ばれるか「欺瞞」と呼ばれるかに関わらず、このアプローチがどれほど効果的か、特に重要インフラ環境で使用された場合の有効性について懐疑的だった。ある専門家は、このアイデア全体が「奇妙」だと述べ、複数の専門家はなぜFBIがデータ保護事業に参入するのか疑問を呈した。FBI関係者も、IDLEの有効性は参加企業の既存のセキュリティ対策、企業文化、そしてセキュリティ衛生にも左右される可能性があることを認めた。
しかし、データ窃盗の標的になりつつある業界の組織にとって、FBIのプログラムは、少なくとも、消える気配のない脅威に対する防御の層をもう一層提供できる可能性がある。さらに、企業がサイバー犯罪問題でFBIと関わることに抵抗がなくなる可能性もある。それ自体が、FBIがデータ保護に手を出すのに十分な勝利となるかもしれない。
リスト画像: Getty Images
ショーンは以前、Ars TechnicaのITおよび国家安全保障担当エディターを務めていました。Arsでの9年以上を含む20年以上のテクノロジージャーナリズムのキャリアを経て、サイバーセキュリティの脅威リサーチに転向し、最初はSophos、現在はCiscoのTalos Intelligence Groupでセキュリティリサーチエンジニアとして活躍しています。元海軍士官で、メリーランド州ボルチモア在住。
31件のコメント
