インターポール:未来型サイバー犯罪対策のあり方(1)

インターポールのサイバー犯罪対策専門組織、IGCI(シンガポール総局)を訪ねました。この組織には、役割に応じていくつかの部署が設けられています。今回はその中の1つ、Cyber Fusion Center(CFC)をご紹介します。

シンガポールのネイピアロード18番地に、巨大な最先端ビルが建っています。熱帯気候に育まれたこの地域特有の緑に囲まれ、まるで宇宙船のようです。ビル開発会社のWebサイトによると、この国際刑事警察機構(インターポール)ビルのカーブした形状は、この巨大な建物をネイピアロードから少し奥まった位置に建てるという条件を満たすため、そして太陽の向きを考慮したためだということです。最終的にこのような外観になったのは、当初、建設中に一帯の木を1本も切り倒してはならないという条件が課せられたことも影響しています。シンガポールの人々は環境保護に熱心なのです。

外から見るとインパクトの強い未来的な外観ですが、このIGCI(INTERPOL Global Complex for Innovation:シンガポール総局)ビルの内部は静かで、少々地味すぎるほどです。直線的な形、白い壁、最小限の装飾。華やかなところといえば、防弾ガラスの窓の外に広がる、整然とした都会の高層ビル群ぐらいのものです。徹底したシンプルさ、厳重な管理、改まった雰囲気、それが中から見たIGCIです。

Image-1-600x413

簡単なセキュリティチェックを受けてから館内に入ると、耳にBluetoothヘッドセットを付けた真面目そうなスーツ姿の職員が近づいてきました。私を撮るのはご遠慮ください、と断りを入れた後で、私たちを近未来のサイバー犯罪捜査を担うこの施設内部へと案内してくれました。

Cyber Fusion Center

最初に通されたCyber Fusion Center(CFC)は広々とした円形の部屋で、壁に取り付けられた数台の大型ディスプレイに向かってワークステーションが何台も設置されています。ディスプレイには世界中のサイバー脅威の最新情報が表示されています。IGCIビルの外観が宇宙船のイメージだとすれば、このCyber Fusion Centerはいわば船室です。インターポールのパートナーとしてKaspersky Labも、最新のマルウェアの発生状況に関する統計情報を提供しています。その情報と他のパートナーからの情報がこの部屋で集約され、職員が脅威の状況の全体像をきちんと把握できるようになっています。

Cyber Fusion Centerの責任者であるポール・ウォード(Paul Ward)氏は、CFCの目的について説明してくれました。この部署には、サイバー脅威対策を支援する能力を持った人材が集結しています。警察機関の専門職員とセキュリティ業界のエキスパートが力を合わせて、サイバー犯罪捜査の穴を埋める仕事に取り組んでいます。セキュリティベンダーがサイバー脅威に関する技術データをいちはやく警察機関に提供しても、警察機関にはすべての報告に迅速に対処するだけのリソース、時間、専門知識がないことがありました。しかしCyber Fusion Centerでは違います。CFCに勤務する職員は(協力体制が整っているおかげで)セキュリティベンダーから脅威情報を集め、それを具体的な情報に変換し、各国の警察機関が直ちにサイバー犯罪の阻止と捜査に利用できるようにしています。

Cyber Fusion Centerは、サイバー脅威対策を支援する能力を持つ人材が集結した部署

Cyber Fusion Centerの役割がよくわかる例として、先日行われたSimdaボットネット壊滅作戦が挙げられます。重大な決定がすべてこの部屋で行われたわけではありませんが、作戦全体のとりまとめと実行は、Cyber Fusion CenterとIGCIの活動に積極的に協力している関係機関が行いました。捜査はまずMicrosoftが着手し、その後TrendMicro、サイバーディフェンス研究所、オランダの国家ハイテク犯罪ユニット(Dutch National High Tech Crime Unit:NHTCU)、米連邦捜査局(FBI)、ルクセンブルクのPolice Grand-Ducale Section Nouvelles Technologies、ロシア内務省のサイバー犯罪担当「K」局といった多くの参加機関が加わり、モスクワのインターポール国家中央事務局の支援も受けました。参加組織間の迅速かつ連携のとれたコミュニケーションが功を奏して作戦は成功し、オランダ、米国、ルクセンブルク、ポーランド、ロシアで指令サーバー計14台を押収しました。シンクホールサーバーのログの一部を事前に解析した結果、Simdaボットネットの影響を受けた190か国のリストが明らかになりました。


作戦実行中の重要なコミュニケーションはすべてIGCIの参加組織を通じて行われました。この作戦では、インターポールの支援の下で計画された共同作業のおかげで、Simdaのような悪質な大規模分散ネットワークをいかに効率的に壊滅できたかが証明されました。まさにこのような作戦のために、Cyber Fusion Centerが創設されたのです。

次に案内されたのはResearch and Innovation Departmentです。

インターポール:未来型サイバー犯罪対策のあり方(2)
インターポール:未来型サイバー犯罪対策のあり方(3)

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?