NotPetyaが世界各地の大手企業を操業不能にし、ある映画を公開したことへの報復としてSony Pictures Entertainmentがハッキングを受け、最近はColonial Pipelineがランサムウェア攻撃を受けました。これらの犯罪行為は、ニュースでの描写が難しいだけでなく、世界中の企業、法執行機関、そして政策立案者にとって複雑な問題でもあります。インターネットに国境は関係なく、ある国で発生した攻撃が別の複数国にいる標的に被害を与えることもあり、司法権の問題を非常に厄介なものとしています。
解決の鍵は、コミュニケーション(しかも、かなりの量の)と連携にあります。しかし、事はそう単純ではありません。
RSA 2021のパネルディスカッションで、インターポールのサイバー犯罪担当ディレクターであるクレイグ・ジョーンズ(Craig Jones)氏、スイス連邦外務省のジョン・A・ファンスン(Jon A. Fanzun)氏、そして、FIRST(Forum for Incident Response and Security Teams)の会長、セルジュ・ドローズ(Serge Droz)氏が『Ticking ‘Cyber Bomb’: Is There a Global Response to Fix Value-Chain Risks? (刻一刻と針を進める「サイバー爆弾」と、バリューチェーンのリスクを修正するための国際的な政策が存在しない理由)』と題して議論を交わしました(リンク先は英語)。進行役を務めたのは、Kasperskyのシニアパブリックアフェアーズマネージャー、アナスタシヤ・カザコヴァ(Anastasiya Kazakova)です。一同は特定の課題について議論を行い、グローバルな対応に求められる要素について考えをめぐらせました。
全体的な合意としては、国境を越えて連携を強め、脅威やセキュリティ関連の問題に関する意識の共有を行うことに支持が表明されています。ところが、司法権は領土の境界線と結び付いており、法執行機関はこれを順守しなければなりません。そして残念なことに、犯罪者については同じことが言えません。
ドローズ氏は次のように説明しています。「サイバー犯罪者は”分割統治”が大好きです。我々が分断されれば、犯罪者はまん延します。だからこそ、皆がより強力な連携体制を築くための方法を決定することは、技術的な課題よりもずっと大きな、最大の課題となっているのです」
ドローズ氏の言葉には切迫した響きが感じられるかもしれませんが、国境を越えた連携は、実のところ近年増えてきています。民間団体、CERT、法執行機関、そして政府は、連携して被害者支援に当たろうとしています。例えば「No More Ransom」というプロジェクトは、ランサムウェアの被害者に対し、金銭を支払うことなくファイルを復号するための支援を行ってきました。また先日は、ユーロポール、ドイツ連邦刑事庁、オランダ国家警察、スウェーデン国家警察、Australian Centre to Counter Child Exploitation(児童搾取の問題に取り組むオーストラリアの組織)、オーストラリア連邦警察およびクイーンズランド州警察、米国の連邦捜査局および移民・関税執行局、王立カナダ騎馬警察が連携し(英語記事)、ダークWeb上にはびこる児童性的虐待プラットフォームを複数国で停止させました(英語記事)。
このような事例は希望を与えてくれますが、まだ十分ではありません。具体的には、組織間での連携を進んで行い、サイバー犯罪に対する見方の標準化を始める必要があります。また、関係者間の壁や国境を越えた情報の共有と交換を活発化させるために、より強固な信頼関係を築く必要もあります。
Kasperskyでは、この連携を、重要インフラに対する攻撃の防止と、そのような攻撃への対応に役立つ、3段階からなるプロセスと捉えています。
- 国の連絡窓口が、国内のその他関連当局とのさらなる連携を促進し、サイバー演習を定期的に実施し、国境を越えた手続き、ツール、テンプレート(インシデント評価用、支援要請用、原因となった脆弱性に関する情報交換用)を作成する。
- 攻撃があった場合には、これらの連絡窓口が、攻撃を受けた重要インフラ組織を適切なソフトウェアメーカーやサイバーセキュリティ企業、その国のCERTにつなげる。
- その後、これらの連絡窓口は脅威に関する情報交換を速やかに行い、解析を実施し、フォレンジック検体を比較して、インシデントを効果的に修復する。
このような連携が明るい未来へとつながると、私たちは思い描いています。