アクティブ・サイバー・ディフェンスは動き出すか

SYNODOS掲載[2017.5.15]

現実世界の「攻性防壁」

 「攻殻機動隊」で描かれる攻性防壁という言葉をご存知だろうか。これは、ハッキングをしようとした側がダメージを受けてしまうようなコンピュータ・システム上の防護機能で、同作コミックス第1巻『攻殻機動隊THE GHOST IN THE SHELL』から登場する、創作上の機能である [士郎正宗 p.17]。

 同作品世界はハリウッドで実写化され、「ゴースト・イン・ザ・シェル」として日本でも2017年4月に公開された。このサイバーパンクの世界観の中で描かれる防御機能は、コンピュータ・システムに対して不正な侵入を図る者に電気的なダメージを与えて駆逐するもので、物語中、直接脳をシステムに接続して操作するハッカーたちには「脳を焼かれる」といって恐れられている。

 実際にあったらこわそうな手法であるが、攻撃者からのさらなる攻撃を直接的に防ぐことができる。また、相手に恐怖心を抱かせて攻撃を思いとどまらせる、いわゆる抑止という意味でも効果がありそうだ。このように、攻撃者のコンピュータ・システムに被害を及ぼすような防御手段は(脳こそ焼かないものであるが)、実際に存在する。それも、かなり以前からある。

ハックバックを使った強烈な防御

 その防御手段に当たるものが、ハックバック(hackback、あるいはhacking back)である。その名の通り、ハッキングしてくる相手に対してハッキングし返すものである。ハックバックを受けた者は、防御側の意図にもよるが、そのシステムを機能不全にされたり、データを消去されたりするなど、何かしらの不具合を受けることになる場合が多い。

 たとえば、今から20年近くさかのぼる1998年にはもう実例がある。当時、ある活動家団体が米国防総省のサイトにDoS(Denial of Service)攻撃を仕掛けた。国防総省はこのアクセスを反撃用プログラム(Javaアプレット)にリダイレクトし、攻撃者に対して大量のデータ(画像とメッセージ)を送り込むことによって、活動家側のブラウザを停止させた [Schwartau]。攻撃者のシステムに過負荷を加えるこのような反撃は、それによって相手に攻撃を止めさせるという意味で、同時に防御的でもある。

 ただし、ここで押さえておきたいのは、ハックバックという言葉が常に破壊的なことを指しているわけではないということである。攻撃者のシステムの脆弱性を見つけて付け入り、侵入すれば、その時点で、それはハックバックと呼ばれる行為である。つまり、盗まれたデータがそこにあってもそれを消去せず、訴訟を有利にするために、攻撃者を特定する情報だけを入手したとしても、やはり、このアクセス自体はハックバックと呼ばれる。盗人の宅を見つけて侵入し、免許証や盗品の証拠写真を撮るような感じだろうか。

ハックバックの法的議論

 このたとえで分かってもらえるかもしれないが、このようなやり方は、たとえ破壊的でなくても、法に触れかねないものである。そのため、その導入に対して専門家は警鐘を鳴らしている [Strand, Asadoorian , Robish p.2]。しかし、手法そのものは、実際に米国で、多くの企業に導入されてきているようである [Schwartau]。また、ドイツでは、国内法でハックバックを違法としてはいるが、同国、民間企業の間では普及していると見られている [Rosenzweig p.10]。

 一方、オランダは公的機関による国際的なハックバックを合法化しようと動いている [Center for Cyber & Homeland Security p.44]。背景にあるのは、公的機関に十分に守られていないと認識した民間企業の危機感である。これら企業が先行して力に訴えており、その是非に関する法的議論は後から追いかけようとしている。サイバー空間は新しい領域であるため、まだ、法よりも力によって支配されていると思った方がいいのかもしれない。

発信源は本当に攻撃者か

 古い話は置くとして、21世紀に入ってからはどうだろうか。サイバー・インシデントは、前世紀末に比べて、技術的な複雑性が増して来ている。他人のコンピュータを遠隔操作して攻撃に使用したり、インターネットに接続された無数の監視カメラを不正なデータの発信源として利用したりと、単純には本当の攻撃者をたどれない場合が多い。マルウェアを送り込んできたコンピュータが分かったとしても、それはだいたいが媒介者に過ぎないのである。

 そうすると、無自覚の媒介者に被害を及ぼすような防御策がどこまで許容されるかが気になるところだ。実際はどうなのかと見回してみると、そのような防御機能を備えたセキュリティ・ソフトウェアがすでに世に出ていることが分かる。

 その実例の一つが、2002年、セキュリティソフト開発会社マレン社が開発したソフトウェアである。同社は、当時流行っていた特定のマルウェア(コードレッド、及びニムダワーム)による攻撃を「無効化」する技術を開発した。このソフトウェアを導入したシステムに、これらマルウェアによる攻撃が仕掛けられると、同ソフトはコード(プログラム)を発信源に送り込む。このコードは発信源のシステムを再起動し、システム上でマルウェアが動き出すのに先んじて処理を進め、その実行を妨げる [Majuca , Kesan p.4]。発信源のシステム(もっぱら媒介者のものである)はその感染機能を不能にされるわけである。

 媒介者はセキュリティ対策の不十分さという意味で責められるべき側面はあるかもしれない。しかし、勝手にコンピュータに意図しない改変を加えられ、再起動をかけられるのはたまらない。このようにハックバックは、反撃そのものの合法性だけではなく、媒介者に過ぎない発信源に被害を与えることへの懸念という問題も抱えている。

アクティブ・サイバー・ディフェンスとは何か

 実例をもう一つ挙げたいと思うが、その前に、アクティブ・サイバー・ディフェンス(ACD)という言葉を紹介しておきたい。攻撃者に能動的にアクセスしていく防御手段をアクティブ・サイバー・ディフェンス(または単にアクティブ・ディフェンス)と呼ぶ。様々に定義されている言葉だが、たとえば、北大西洋条約機構(NATO)をバックボーンとし、国際法学者を主体とする研究機関CCD COEでは、「防護されるサイバーインフラ外における事前防護策の実施」と定義されている [Schmitt p.569]。

 また、米研究機関サイバー・国土安全保障センターでは、もう少し広義に「伝統的な受動的防御と攻撃の間に存在する、事前サイバー安全保障策のスペクトラムを捉えた言葉」としている [Center for Cyber & Homeland Security p.v]。共通していえることは、パスワードやデータの暗号化、ファイヤーウォール、パッチの導入といったパッシブ(受動的)な防護策の対立概念としているところで、先述のハックバックはこれに含まれる概念の一つと見るのが、伝統的な考え方である [Schmitt p.569]。

ハックバック機能を備えたLinuxディストリビューション

 この言葉をそのまま名前に冠したアクティブ・ディフェンス・ハービンガー・ディストリビューション(Active Defense Harbinger Distribution)というLinuxディストリビューションがある。略すとADHDとなり、注意欠陥多動性障害(attention deficit / hyperactivity disorder; AD/HD)と同じになるのは意図してのことなのかどうか、わからない。これをインストールすると、名前の通り、アクティブ・サイバー・ディフェンス機能が組み込まれたLinux OS環境を導入できる。これは機能として、攻撃者による偵察の妨害から、攻撃者側のシステムへの侵入までをカバーすると謳われている [Black Hills Information Security]。

 ここでいう侵入という言葉には含みがある。コンピュータに侵入できるということは、そこで色々なことが、たとえば、データ窃盗・破壊などができるということだからである。たとえば、被害者が攻撃者に世間(あるいはライバル会社)に絶対に知られたくない機密情報を盗まれてしまったとしよう。この被害者が攻撃者側のシステムに侵入して、そのデータを消去してしまいたいと願うことは、自然な事ではないだろうか。そのために必須の機能が侵入であり、このディストリビューションは、それをカバーしているのである。

モデレート(穏健)なアクティブ・サイバー・ディフェンス

 そうはいっても、明らかに攻撃してきている発信源が分かったとき、それに対して、何も打つ手がないというのはもどかしいことだろう。相手のシステムを破壊しないまでも、せめて、行動を見張ったり、その目的を調べたりして対策を練りたいものだ。また、先述したように、相手を特定する情報さえ揃えられれば、訴えることができるかもしれない。

 アクティブ・サイバー・ディフェンスといったとき、破壊的なハックバックだけではなく、自他システムの監視や分析といった比較的モデレート(穏健)な行為をも含んでいる。しかし、これでさえ、現行の法律には抵触する可能性がある。承認されていないアクセスによって情報を取り出すこと自体を違法とする法律が米国では採用されているし [Center for Cyber & Homeland Security 41]、日本の場合でも、アクセス制御を超えて本来制限されている機能を利用可能にした時点で違法となり得る [不正アクセス行為の禁止等に関する法律第二条]。

動き出す議論

 つまり、ブラックハットハッカー(悪意を持ったハッカー)によって営利やテロを目的として為される、企業や政府機関に対する不正アクセスだけではなく、被害者によって為される、その逆もまた違法ということになり得るのである。これに対する懸念を、先述の米研究団体は2016年に発行したレポートで「米国の法の下、民間企業がサイバー脅威者から自衛する明白な権利がない」のだとして訴えている [Center for Cyber & Homeland Security 17]。

 そして、日本でも、同年、法改正も含めた対応を進めるべきであるという提言がシンクタンクから為されている [第3期サイバーセキュリティー研究チーム 8-9]。攻撃者の情報を能動的に収集・分析し、業界内外でシェアすることによって、より効果的にサイバー攻撃から身を守ろうという訳である。

 冒頭で触れた「攻性防壁」を思わせる破壊的なものから、情報窃盗まで、ハッキングには幅がある。そして、これら各種ハッキングから、多くの国々で人々は法に守られている。その当人がたとえ明白な加害者であってもである。これが法治国家というものだが、それでは企業を守りきれないとの認識から、対応が求められ始めている。これらの提言が、これから、各国で取り上げられ、取り入れられていくのかもしれない。慎重な議論が求められる問題ではあるが、そこに活路は見つかるものと信じている。(了)

■参考文献

Black Hills Information Security. “Active Defense Harbinger Distribution.” 2017年4月17日アクセス.
Center for Cyber & Homeland Security. “Into the Gray Zone: the Private Sector and Active Defense against Cyber Threats.” 2016. 2017年3月18日アクセス.
Majuca, Ruperto P. , Kesan, Jay P. “Hacking Back: Optimal Use of Self-Defense in Cyberspace.” 2009. 2017年3月18日アクセス.
Rosenzweig, Paul. “International Law and Private Actor Active Cyber Defensive Measures.” Stanford Journal of International Law 50.1 [2014].
Schmitt, Michael N. Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations. New York: Cambridge University Press, 2017.
Schwartau, Winn. “Cyber-vigilantes hunt down hackers.” CNN.com 1999年1月12日. 2017年4月22日アクセス.
Strand, John, ほか. Offensive Countermeasures: The Art Of Active Defense. PaulDotCom, 2013.
伊東寛. サイバー戦争論 ナショナルセキュリティの現在. 東京都: 原書房, 2016.
士郎正宗. 攻殻機動隊 The Ghost In The Shell. 講談社, 1991.
小沢知裕. “サイバーインテリジェンスの探し方 サイバーインテリジェンスのためにネットニュースを整理.” ITpro 2016年8月29日. 2016年8月29日アクセス. .
第3期サイバーセキュリティー研究チーム. “潜伏型サイバー・テロに備えよ ― 「信頼のインターネット」構築に向けて ―.” 日経・CSISバーチャル・シンクタンク. 2016.
“不正アクセス行為の禁止等に関する法律第二条.” . 2017年5月9日アクセス.

PAGE TOP