APT
およそ4年前、サイバーセキュリティは地政学的チェスゲームの駒の一つとなった。さまざまな国のさまざまな政治家が、敵対的サイバー諜報活動についてお互いに指を突きつけ合い、非難の応酬をしている。一方で同時に—見たところ皮肉でも何でもなく—自国の攻撃的サイバー兵器ツールを拡大しつつある。地政学的な偽りの激しい砲火を浴びるのは、この非常に危険で愚かなふるまいを明らかにする能力と、そして度胸を持ち合わせる、独立した個々のサイバーセキュリティ企業だ。
しかし、なぜだろうか?単純な話だ。
第1に、「サイバー」という言葉は、世に出たそのときからクール/ロマンティック/SF/ハリウッド/魅力的な言葉であり、今もそれは変わらない。それに、売れる—製品の観点だけでなく報道の意味合いでも。これは人口に(政治家の口も含め)膾炙した言葉だ。そしてその格好良さと人気故に、人の注意をそらす必要がある際に(よくあることだ)、重宝する。
第2に、「サイバー」は実に専門的だ。多くの人は理解していない。その結果、サイバーと何かしら関連するものを扱うとき、より多くのクリックを常に求めるメディアは、真実だとは言えないこと(または完全に誤ったこと)を提示することができるのだが、それに気付く読者はほとんどいない。そうしたわけで、これこれの国のハッカーグループがこれこれの厄介な、または犠牲の大きい、あるいは損害をもたらす、もしくはとんでもないサイバー攻撃に関わっている、と述べ立てるニュースが大量に生み出されている。しかし、これらを信じてよいものだろうか?
我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。
一般的に、何を信じるべきか見分けるのは難しい。だとすると、サイバー攻撃を正確に行為者と関連付けることは実際のところ可能なのだろうか。
この問いへの回答は2つの部分からなる。
技術的な観点から言うと、サイバー攻撃は独自の特徴を多数有するが、公平なシステム解析では「この攻撃はどの程度、この(あの)ハッカーグループの活動のように見えるか」を判断するところまでしか行くことができない。
しかし、そのハッカーグループがMilitary Intelligence Sub-Unit 233に属する可能性があるだとか、またはNational Advanced Defense Research Projects GroupあるいはJoint Strategic Capabilities and Threat Reduction Taskforceに属するものかもしれない(Google検索の手間を省くため追記すると、すべて架空の組織だ)、というのは政治的な問題であって、事実の操作が行われる可能性は100%に近づく。アトリビューション(攻撃を攻撃主体と関連付けること)は、技術的で証拠に基づいた正確なものから…何というか、占いレベルになってしまう。したがって、その部分は報道にお任せする。我々はそこへは踏み込まない。
攻撃者の身元を知れば、対抗しやすくなる。業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。
このように、当社は政治的なアトリビューションを避けている。我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。その面にかけては誰にも引けを取らない、と私から申し添えたい。我々は大規模なハッカーグループとその動向を詳しく注視しており(その数は600を超える)、彼らの関係性にはまったく注意を払っていない。泥棒は泥棒であって牢獄へ入るべきだ。そして、私がこのゲームを始めてから30年以上にわたり、デジタルの不正行為に関する多大なるデータを休みなく収拾し続けてきて、ついに今、我々が得てきたものを、良き形で外部へシェアするときがやってきたと感じている。
先日、我々はサイバーセキュリティのエキスパート向けに新たなサービスを提供開始した。その名を「Kaspersky Threat Attribution Engine」と言う。疑わしいファイルを解析し、このサイバー攻撃がどのハッカーグループによるものかを判断するサービスだ。攻撃者の身元を知れば、対抗しやすくなる。確かな情報に基づいた対策が可能となるのだ。判断を下し、アクションプランを描き、優先度を設定し、業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。
Kaspersky Threat Attribution Engineのインターフェイス
ではどのように実現するのか。
先に述べたように、サイバー攻撃は純粋に技術的な特徴(「フラグ」あるいは「旗」とも)を多数持っている。ファイルがコンパイルされた日時、IPアドレス、メタデータ、エクスプロイト、コードの断片、パスワード、言語、ファイルの命名規則、デバッグパス、難読化、暗号化ツールなどだ。こうした特徴は、個別には、次の人々の益にしかならない。一つには、隠された意図を強化するために国際的な土俵で敵対者に指を突きつけたい政治家。もう一つには、センセーショナルなスクープを追い求めるよからぬジャーナリスト。これらの特徴は、まとまって初めて、どのハッカーグループに属すものかを示すことが可能なのだ。
それだけでなく、フラグ(旗)の偽造や模倣は簡単だ。
たとえば、Lazarusグループのハッカーが、自分たちのインプラントのバイナリコード内に、ラテン文字に転写されたロシア語を使っているように見えたとしよう。しかし、文章の構造がロシア語としては不自然であり、この文法的/構文的誤りのためにGoogle翻訳か何かで生成されたように見え、セキュリティエキスパートを誤った方向へ導くかもしれない。
Lazarusのコード内の「偽旗」
しかし、どのようなハッカーグループもGoogle翻訳を利用できる。自国語に対しても使えるわけであって、「使われた言語」の解釈は信頼性のある指針にはならない。
この点を少々違う形で浮き彫りにした別の事例を挙げる。Hadesグループ(2018年冬に韓国で開催されたオリンピックのインフラを攻撃したOlympic Destroyerの作者)は、Lazarusグループが使っていたフラグ(旗)をいくつか組み込んでいたため、多くのリサーチャーがHadesのハッカーたちをLazarusであると考えた(両グループの「スタイル」に見られるその他の違いを見れば、ほぼLazarusではないとの結論に至る)。
しかし、何百もの特徴を解析してその他ハッカーグループの目立ったスタイルと比較する作業をエキスパートが手作業で行うのは、それを短期間かつ限られたリソースの中で行い、容認できる水準の結果を出すのは、事実上不可能だ。しかし、そうした水準の結果は大いに、大いに求められている。企業は、自社を攻撃するサイバー…サイバーの「たこ足」をすぐに捕まえたい、もう二度と這い出てこないように触手を全部くぎで打ち付け、この危険なサイバー「クラーケン」の攻撃から身を守るための方法を皆に知らせたい、と望んでいる。
マルウェアの「遺伝子型」は既知のAPTグループとのマルウェアコードの類似性をほぼ100%の正確さで見極めるのに役立つ
我々が考え出したものは、こうだ…
数年前、我々は社内用に、ファイルの自動解析システムを開発した。仕組みは次のとおりだ。疑わしいファイルから、我々が「遺伝子型」と呼ぶもの—当社独自のアルゴリズムを使用して選別したコードの断片—を抽出する。これを、標的型攻撃関連のあらゆる種類の特徴が収められたデータベースにある6万超のオブジェクトと比較する。これによって、サイバー攻撃の発生源に関する最も可能性の高いシナリオを特定し、そして、関与の可能性のあるハッカーグループの説明と、さらに詳しい情報とインシデント対応戦略の展開に関する有料および無料の情報へのリンクを提示可能となる。
それはどの程度信頼できるのか、とあなたは尋ねるかもしれない。私からは、このシステムは進行中の調査を正しい方向へ導くに当たってこの3年間一つのミスも犯していない、と言うにとどめる。
このシステムを使用した調査のうち、ある程度名の知られたものには、LightSpy、TajMahal、Shadowhammer、ShadowPad、Dtrackがある(リンク先はいずれも英語)。どの事例でも、システムの出した結果は当社エキスパートの評価と完全に一致した。そしてこれを、当社のお客様にもお使いいただけるようになった。
Kaspersky Threat Attribution Engine
Kaspersky Threat Attribution Engineは、Linuxベースの配布キットの形で提供され、エアギャップコンピューターにインストールされる(最大限に機密を保つためだ)。アップデートの適用はUSBメモリを通じて行う。お客様の社内アナリストが発見したマルウェア検体を当ソリューションのデータベースに追加可能であり、APIインターフェイスを使ってエンジンを他のシステムに接続することができる。第三者のSOC(セキュリティオペレーションセンター)にも接続可能だ。
最後に免責事項に触れたい。悪意あるサイバー活動を100%の確率でアトリビューション可能な自動解析ツールは存在しない。どんなものでも偽造や偽装は可能であり、最も高度なソリューションであっても欺かれることはある。当社の主な目的はエキスパートに正しい方向を指し示し、可能性のあるシナリオをテストすることだ。また、AI(現実にはまだ存在しないが)の効果についてあちこちで語られているが、現存の「AI」システムとは、非常にスマートなシステムであっても、現時点では人類のアシストなしで何もかもできるわけではない。非常に複雑なサイバー脅威にも効果的に対抗しうるのは、機械と、データと、エキスパートのシナジーであり、我々が呼ぶところの「HuMachine」だ。
先日実施されたウェビナー(英語)では、この製品のライブデモが行われ、開発者が直接リアルタイムで質疑を受け付けた。録画が視聴可能となっているので、興味のある方はぜひご覧いただければと思う。
当社の新ソリューションについては、以上となる。より詳しい情報は、製品ページ、製品データシート、ホワイトペーパーをご参照いただきたい(リンク先はいずれも英語)。
追伸:コスティン・ライウ(Costin Raiu)によるこちらの記事も、一読をお勧めする。彼はこの製品の生みの親の一人であり、開発に至る詳細やKaspersky Threat Attribution Engineというソリューション全体の細部にもいくつか触れている。
ヒント