午後11時42分、ブリットの目がぱっと開いた。彼女はベッドから飛び起き、目は冴え、心臓は激しく鼓動していた。サイレンが鳴り響いた。ダラスにある彼女のモダンなアパートの庭では、隣人たちが叫び声をあげ、慌てふためいていた。中西部出身のブリットは嵐のサイレンには慣れていたが、ダラスのサイレンは違っていた。しかも、ずっと大音量だった。単調な警報音が四方八方から響き渡っていた。
「竜巻なら、嵐が過ぎ去るとサイレンは止まります。今回のサイレンはもっと大きく、長時間鳴り響きました。何が起こっているのか全く分かりませんでしたが、竜巻ではないことは分かりました。窓の近くに男が立っていて、『戦争だ!大変なことになるぞ!』と叫んでいました」。彼女は一瞬、「彼の言う通りかもしれないと思いました」と語った。
2017年4月7日、人口120万人のダラス市で、無線周波数トリガーハッキングにより、156基の緊急サイレンが81分間同時に鳴り響きました。この事件は、サイバー兵器がインフラを標的として使用され、情報発信される可能性があることを、あらゆる組織に強く警告するものです。
「厳密に言えば、サイレンはそれぞれ90秒間、15回鳴ったことになります。その地域では嵐が発生していなかったため、大きな混乱が生じました」とダラスの広報担当官リチャード・ヒル氏は述べた。「911番には4,000件近くの通報があり、システムはほぼパンク状態でした。」
ダラスのサイレン事件のような事件は今後ますます頻繁に発生し、大企業や公共機関が標的となるでしょう。CIOは、新たなIoTの脅威、マルウェア、人工知能(AI)によってますます不安定になるセキュリティ環境に適応する必要があります。例えば、英国の国民保健サービス(NHS)を襲ったランサムウェア攻撃は、当初は病院システムをダウンさせ、その後世界中に広がりました。
2015年12月、ロシアとつながりのあるハッカーによるサイバー攻撃が、ウクライナの電力網の大部分を威嚇的にダウンさせました。「ウクライナの電力網への最初の侵入は、サイバー攻撃でよくあるように、人的要因によるものでした」とZDNetのチャールズ・マクレラン氏は記しています。「ネットワークへの侵入には、スピアフィッシングとソーシャルエンジニアリングが用いられました。侵入後、攻撃者は、電力網を制御する運用システムが通常のITシステムに接続されているという事実を悪用しました。」
CIOや企業が、既にサイバー戦争の渦中にあることを認識しているかどうかは、まだ不透明です。しかし、攻撃者が企業に侵入して声明を出す可能性、ネットワークが大規模な攻撃の足掛かりとして利用される可能性、そして近い将来、マルウェアが人工知能(AI)を利用する可能性が高まっていることは明らかです。企業は、攻撃に対して国家と同等の警戒を怠ってはなりません。この記事は、進化するサイバー兵器の状況、AIがセキュリティの未来をどのように形作るのか、そして防御のベストプラクティスについて、洞察を深めるものです。
ダラスの屋外警報システムは、米国の多くの自治体と同様に無線制御されており、嵐が差し迫っている場合に国立気象局から送信される信号によって作動します。セキュリティ上の理由から、ダラス市はシステムへの侵入経路の詳細についてコメントしていません。しかし、市の上級広報担当者であるモニカ・コルドバ氏は、「(攻撃は)ダラス地域から発生したと考えています」と述べています。
ダラス警察はFBIおよび「特別機関」と協力し、「(緊急システムが)市内の他のシステムとどのように連携しているかを調査し、何が起きたのかを検証する」とコルドバ氏は述べた。「捜査では、水道システム、無線ネットワーク、911番と311番、警察・消防の通信指令システム、洪水警報システム、そして金融システムも調査します。」
多くのセキュリティ専門家が既に知っている事実を、市の指導者たちが明らかにするには、数ヶ月かかるかもしれない。時代遅れの重要インフラに対するサイバー攻撃は、実行が容易であると同時に、そのリスクも大きい。そして、混乱、損害、破壊を引き起こすために設計されたマルウェアであるサイバー兵器の兵器庫は急速に拡大している。
「テクノロジーが社会の運営方法にますます統合されるにつれて、運動的な影響を及ぼすサイバー攻撃の可能性も高まります」と、サイバーセキュリティ企業NuixのCISO、クリス・ポーグ氏は述べた。
ポーグ氏は、企業、政府機関、そして消費者がサイバー兵器の犠牲者となる未来を予兆する、重要インフラに対する攻撃を延々と列挙する。ロマンティック・ゼーホテル・イェーガーヴィルトへの攻撃では、ホテルは新しいキーカードを発行できなくなり、ジープ・チェロキーへのリモートアクセスと制御によって運転者が危険にさらされ、トランプ大統領の就任式前にCCTVカメラが無効化された。そして、「この種の攻撃の最新の例は[4月]に発生しました」とポーグ氏は述べ、「攻撃者がダラスで緊急サイレンを鳴らした時です」と続けた。
ダラスへのサイバー攻撃で死者は出なかったものの、街は嵐よりもさらに破壊的な何かに見舞われた。「竜巻は甚大な被害をもたらします。人命を奪い、進路上にあるあらゆるものを破壊します」と、元ハッカーで現在は小規模ながらも一流の東海岸サイバーセキュリティ企業でシニアアナリストを務める人物は語る。「しかし、竜巻は局所的なものです。被害は甚大ですが、地理的に一つの地域に集中しているのです。」
ダラスのサイレンは警告であり、来たるべきサイバーストームの完璧なメタファーだと彼は述べた。「サイバー攻撃の脅威は存在そのものにかかわるものであり、破壊の道は無限大です。」
すべてがサイバー兵器になるとき
ダラスでの事件から1週間後、協定世界時午前11時21分、10,895キロ離れた地点で、北朝鮮の弾道ミサイルが発射され、発射直後に爆発した。2017年4月に行われたこの実験は、北朝鮮による近年の一連のミサイル不発弾の最新のものであった。
CBSニュースとニューヨーク・タイムズの報道によると、ロケットの不調の原因はアメリカ製のサイバー兵器にある可能性があるという。「ミサイル発射管制システムがコンピューターベースの発射管制システムで動作していると仮定すると(実際そうである)、攻撃者はシステムが許す限りのあらゆる操作を実行できる可能性がある。燃料混合比の変更、エンジン点火後から発射までの発射台での滞在時間、目標地点、軌道、ペイロードの作動・解除などだ」とポーグ氏は推測した。
元政府デジタル兵器専門家は、「北朝鮮が実用的な弾道ミサイル開発計画を組織的に失敗に導いたのは、攻撃的なサイバー兵器を含む米国の諜報活動による可能性が高い。サイバー兵器は存在し、事実上兵器である。それらは特定の標的向けに設計された専用ペイロードを搭載している。こうしたカスタマイズは、ほぼ常に人的資源、伝統的な諜報活動、そして技術開発を含むプロセスの一部である」と述べた。
専門家によると、これらの兵器には相当の資本投資が必要で、開発には長い時間がかかる。開発チームは小規模かもしれないが、専門性は高い。「カスタムコードはほとんどの政府で使用されており、一般的に国益を守るために設計されています。抽象的には懸念されるかもしれませんが、現実的には、いわゆるサイバー兵器よりもマルウェアやスパイツールの方がはるかに懸念されます。」
ダラスへの攻撃は、北朝鮮の攻撃が洗練されていたのと同じくらい粗雑でした。どちらの攻撃もサイバー兵器が使用されていた可能性が高いですが、この2つの攻撃の洗練度の差は、ハッキングとデジタル兵器の進化を反映しています。これらの攻撃の特徴は、従来のハッキングとは異なり、重要インフラを標的とし、物理的な損害を引き起こした点です。
サイバー兵器の最も悪名高い例は、米国とイスラエルの共同作戦としてイランの核開発計画を阻止することを目的として開発されたとされるワーム「Stuxnet」です。2010年にセキュリティ研究者のセルゲイ・ウラセン氏によって発見されたこのマルウェアは、プログラマブルロジックコントローラ(PLC)のルートキットを用いてシーメンスの産業用制御システムを標的としました。このワームはイランのナタンズ施設にある核遠心分離機を標的とし、スパイ活動を行い、最終的には破壊しました。その過程でワームは広く拡散し、数千台のマシンに感染しました。開発に数百万ドルの費用がかかったとされるこのカスタムコードは、現在オープンソース化されています。
「『サイバー兵器』という言葉の意味を明確にしておきたい」とフランス人ハッカーx0rzは言った。「今は何でもサイバー兵器になり得る。ごく基本的なプログラミングスキルがあれば、Word Officeの文書さえ兵器化できる」。パリの簡素なアパートから暗号化メッセージアプリでチャットしながら、自称ペネトレーションテスターの20代ハッカーは、デジタル兵器と悪意あるコードの定義を説明した。
「例えば、マルウェアインプラントのようなコンピュータネットワーク操作ツールがあります」とx0rz氏は述べた。「これらはバックドアとも呼ばれます。多くの場合、これらはデータの窃取を助けるスクリプトです。また、不正なPDF文書などの脆弱性を悪用するエクスプロイト自体も存在します。これは、コンピュータ上で予期せぬコードを起動させます。」
「最初のカテゴリーは単なるコードです。基本的に、構築には人材と高度なOS知識が必要です。政府機関であれば、開発者を雇ってそのようなツールを開発してもらうことも可能です。これは比較的簡単で、ウイルス対策ソフトウェアを回避する既知の手法は数多く存在します。」
既存のソフトウェアのバグを見つけて悪用するのは、はるかに困難だと彼は説明した。ASLRやDEPからスタッククッキーまで、あらゆるソフトウェアレベルに緩和策が存在する。「単純なバッファオーバーフローを悪用するのはますます困難になっています。だからこそ、ゼロデイ脆弱性のコストは過去10年間で大幅に増加したのです。エクスプロイトの緩和策が強化されるにつれて、悪用可能なゼロデイ脆弱性の発見はより困難になり、結果としてコストも高くなるはずです。」
「攻撃技術と外交は複雑で、非常に密接に絡み合っているため、誰かがうっかりミスをして大惨事を引き起こし、意図せずしてサイバー戦争が勃発するのではないかと懸念しています」と、企業セキュリティに特化したサイバーセキュリティ企業、ドラゴスの脅威情報・分析担当ディレクター、セルジオ・カルタジローネ氏は述べた。「それが夜も眠れないほどの不安なのです」
サイバー兵器を定義するには、攻撃者の意図と攻撃の効果を検証する必要があると彼は述べた。「技術的な定義よりも、悪意のあるコードがどのように、そして誰によって使用されるかが重要です」。カルタジローネ氏は、潜在的な事故、あるいは悪意のあるコードが不正な攻撃者に漏洩することを懸念している。しかし、核兵器とは異なり、「コードは非常に急速に拡散し、作成や盗難が容易です」と彼は説明した。「ノートパソコンとある程度のコーディングスキル、そして数時間の自由時間があれば、誰でも『サイバー兵器』を作ることができます」
2017年5月12日、旧バージョンのWindowsオペレーティングシステムを搭載したマシンを標的としたランサムウェア攻撃により、英国の国民保健サービス(NHS)が機能不全に陥りました。このワームは急速に進化し、CBSニュースによると、150カ国10万以上の組織がWannaCryウイルスの亜種に感染しました。「史上最大の恐喝攻撃」の犠牲者には、旧バージョンのWindowsを搭載した企業、中国の大学、交通網などが含まれています。このランサムウェアはマシンを乗っ取り、すべてのローカルデータを暗号化します。24時間以内に300ドルのビットコインによる恐喝料が支払われない場合、データは永久に消去されます。
CBSニュースのインタビューで、シマンテックのCEO、グレゴリー・クラーク氏は、「今回のケースには、北朝鮮との関連性がしばしば指摘されるハッカー集団「ラザルス」が関与していた技術の一部が含まれている」と説明した。シマンテック、ラピッド7、ファイア・アイといったセキュリティ企業も同様の関連性を発見しており、WannaCryで使用されたエクスプロイトはNSAによって最初に開発されたと示唆している。
カルタジローネ氏によると、過去1世紀にわたり核兵器へのアクセスを厳しく管理してきた政策立案者たちは、デジタル兵器が同等、あるいはそれ以上の脅威をもたらすことに気づき始めているという。「私は善意の人々が兵器を設計することについて心配しているわけではありません。カザフスタン、北朝鮮、そしておそらくイランが、強力なハッキングツールを不正な工作員に引き渡すことを心配しているのです。」
国連によると、外交、軍事、または諜報目的で配備されるあらゆるソフトウェアはサイバー兵器となり得る。サイバー兵器を使用する主体は、国家、非国家、そして不正な主体である可能性がある。国連のセキュリティ専門家は、サイバー兵器はカスタムコード、一般的なウイルス、さらにはプロパガンダの形をとる可能性があると述べている。「(デジタル兵器は)技術だけでなく、地政学的なポスティングにも大きく依存している。特定の標的向けに特別に設計されたペイロードを備えたあらゆる攻撃技術は、サイバー兵器となり得る」と、ある国連法執行専門家は述べた。
サイバー兵器、マルウェア、ハッキングツールの区別は曖昧で、将来的にはなくなる可能性が高いと、Dtex Systemsのブレット・ソーソン氏は述べています。「NmapやMetasploitのようなハッキングツールは、システムへのアクセスを得るために使用されるツールです。一方、マルウェアは[攻撃]から人間の要素を排除します。多くの場合、[自動化]は事前にパッケージ化されていることもあります。」
サイバー兵器環境は、爆弾や銃が備え付けられた一般的な兵器倉庫のようなものではないとソーソン氏は述べた。「『サイバー』と『兵器』という二つの言葉を組み合わせれば、かっこよく聞こえるかもしれませんが、(簡単な定義は)ありません」。ソーソン氏は、サイバー兵器を攻撃的な状況で使用するには、「巧妙な手腕、労力、そして長期的な努力が必要です」と説明した。
元CIAケースオフィサーのジャック・ライス氏も同意見だ。「もちろん、各国は特定の標的向けに設計されたカスタムペイロードを搭載した『兵器』を開発しています。カスタム兵器の製造に必要な製造コストを考えれば、恐ろしい話に聞こえます。一般市民、企業、そして政府は、これらの兵器についてではなく、マルウェア、ハッカー、そして政府など、世の中に存在するあらゆるものについてもっと懸念すべきです。」
スタックスネットのような兵器の開発にかかる真のコストは、人的資源に隠されている。「ナタンツの核施設で使用されているJMicronやRealtekのコントローラー、あるいは北朝鮮のミサイルに使用されているコントローラーのようなハードウェアシステムを保護する暗号鍵を盗むには、人材が必要だ」とライス氏は述べた。
ライス氏によると、規模が大きくなるとは、ハッカーや政府機関が開発し、モバイルデバイス、IoT(モノのインターネット)、そして全米の自治体で見られる旧式の産業制御システムを標的とする最新ツールのことだ。ライス氏にとって、イランや北朝鮮を標的とした兵器よりも、MiraiボットネットやCIAのVault 7のキャッシュの方が懸念材料だ。「強力なツールが犯罪者や非国家主体によって大規模に改変・配布される可能性がある場合、サイバー兵器とは何か、そしてどのように配備される可能性があるのかを特定することがはるかに困難になる」とライス氏は述べた。
ライス氏は、地政学的状況をシグナルとして利用することで、誰が誰を何の目的でハッキングしているのかを理解するのに役立つと述べた。彼は、スパムボット、2016年の米国大統領選挙へのロシアの介入疑惑、そしてフランス大統領選挙前夜のデータ流出を例に挙げた。これらの「ハッキング」はどれも技術的に高度なものではなかったが、民主主義の不安定化を招き、地政学的情勢を一変させたとライス氏は述べた。
「諜報機関では、米国とイスラエルは技術力の高さで高く評価されています」とライス氏は説明した。「ですから、(Vault 7のような)スパイツールが漏洩しても、特に驚くようなことではありませんでした。一方、ロシアは何十年もの間、スパムや海賊行為の温床となってきました。ロシア政府がボット作成者やハッカーを支援し、それらの『資産』を政治的目的の達成に利用する可能性は十分に考えられます。」
IoTマルウェアの進化は、RunSafe SecurityのCEOであるジョー・サンダース氏のようなサイバーセキュリティ専門家を特に不安にさせています。「パスワードの盗難、機密データの持ち出し、交通信号の妨害、車両操作の乗っ取り、身代金目的のデバイスロックなど、IoTデバイスはサイバー攻撃に対して極めて脆弱です」とサンダース氏は述べています。「根本的な問題は、これらのデバイスで動作しているオペレーティングシステムにセキュリティ上の脆弱性がしばしば存在することです。さらに、ソフトウェアコードの記述が不十分だと、ハッカーがデバイスを制御し、そのコードを使って悪意のある行為を行う可能性があります。」
2016年、ハッカーたちはIoTデバイスを乗っ取り、東海岸のインターネットの大部分をダウンさせました。「Miraiは、多くのデバイスに共通する問題であるLinuxオペレーティングシステムの旧バージョンを悪用していました」とサンダース氏は説明します。「そして、IoTデバイスをボットネットのネットワークに変え、ウェブサイトに大量のリクエストを送りつけました。2016年の攻撃では、数百のウェブサイトに共通するプロバイダーが分散型サービス拒否攻撃を受けました。」
ネットワークに接続されたデバイスはすべて脆弱だが、発電所の管理に使われるSCADA(監視制御データ収集)システム、大規模データセンターの冷却システム、そして企業や政府機関で稼働している旧式の産業用制御システムは特に脆弱だと彼は述べた。「計装システムや石油掘削装置のセンサーが不正操作される様子を想像してみてください。あるいは、数年前のニューヨーク州のダムへのハッキング事件や、ウクライナの電力網の停止事件を考えてみてください。かつてはクランクやレバーを使って手動で制御システムを調整していました。しかし今では、これらのシステムはリモートデバイスと通信するソフトウェアシステムを介して集中管理されています。」
この記事を PDF としてダウンロードしてください (無料登録が必要です)。
AIの登場
自動化と人工知能(AI)を活用したカスタムマルウェアは、多くのサイバー防衛専門家を驚かせている。「おそらく、次のStuxnetはすでに作られているでしょう。しかも、本当に大量に」とポーグ氏は述べた。「それら(複数)は、ただ配備されるのを待っているだけです。どこに? 何がコンピューターで制御されているのか? 原子力発電所、ダム、ミサイル発射台、航空管制、下水道などが(標的となるでしょう)
金融予測会社Aidyia Holdingsのチーフサイエンティスト、ベン・ゴーツェル氏は、大規模展開においては、IoTや産業用制御システムにおけるゼロデイ脆弱性の発見にAIが活用されるようになると述べた。これらの脆弱性は現在、ハッカーチームが開発に数ヶ月から数年を要している。「当たり前のことのように思えますが、インテリジェントなアルゴリズムは人間よりもはるかに高速に動作し、脆弱性の発見は容易な作業になるでしょう」とゴーツェル氏は述べた。
AIへの投資が増加するにつれて、AI制御の問題も増大すると彼は述べた。「私の同僚や多くの[AI]研究者は、機械学習を人間の生活の質を向上させるために活用したいと考えています。しかし、ハッカーが同じ[AIと機械学習]技術を盗んだりアクセスしたりできれば、彼らは今日と同じ動機でその技術を利用するでしょう。株式市場や電力網、原子力発電所が標的となれば、Windowsのハッキングは時代遅れに見えるでしょう。」
AIは、スピアフィッシングのような単純なサイバー攻撃の効果を高めるでしょう。「フィッシングを例に挙げましょう」とZDNetのダニー・パーマー氏は書いています。「これは最も単純なサイバー攻撃手法です。ダークウェブには、フィッシングに必要なあらゆるツールを誰でも入手できるような仕組みが存在します。メールアドレスを取得し、公開されている個人情報をスクレイピングしてフィッシングメールを説得力のあるものにし、被害者に送信して、相手が反応するのを待つだけです。AIが加われば、この攻撃はさらに効果的になる可能性があります。」
それで今何をする?
AIも解決策の一つであり、セキュリティ企業は機械学習を活用して、企業が隠れた脅威を発見し、攻撃を阻止できるよう支援しています。「AIはサイバー攻撃に対する『企業の免疫システム』となるでしょう」と、セキュリティ企業Darktraceのサイバーインテリジェンスおよび分析担当ディレクター、ジャスティン・ファイアー氏は述べています。「企業がセキュリティホールを把握し、修正するには数週間から数ヶ月かかることもあります。しかし、目立たないAIモジュールを企業ネットワークにインストールすれば、特定のネットワークについて学習し、『自己認識』を獲得することで、固有の脅威ベクトルを迅速に特定できるようになります。」
すべての組織に当てはまる単一の防御戦術は存在しないため、シスコのシニアディレクター兼信頼戦略責任者であるアンソニー・グレイコ氏は、サイバー防御において「包括的なアプローチ」を推奨しています。「攻撃を仕掛けてくる様々なアクターや悪意のある人物について考えても、解決策が見つからないこともあります。しかし、システム的な視点から考えることで…企業のレジリエンス(回復力)を高める方法を真に考えることができるのです。」
グレイコ氏は、規模を問わず、組織や企業が適切なサイバー防御体制を構築するために取るべき4つのステップを挙げました。まず、懸念事項を特定し、重要な資産を列挙することだと彼は述べました。「人、つまり人間こそが、最善の防衛線です。チームと話し合い、重要な資産を特定し、会社について簡単な質問をしてみてください」と彼は続けました。
次に、「自分自身とチームに問いかけてください。『ビジネスにとって最も重要なデータ処理機能は何でしょうか?』そうすることで、それらの[重要な資産]を確実に保護するためのプロセス、テクノロジー、教育のシステムを構築し始めることができます。」
多くの企業にとって最大の課題は、防御検知の運用化です。「(ポリシーを)事前に導入して、あとは放っておくわけにはいきません。攻撃を検知し、対応できるよう、積極的な敵対行為を継続的に監視する必要があります。」
最後に、グレイコ氏は、攻撃が成功し、それを検知した場合、「復旧に注力する必要があります。結局のところ、『レジリエンス』とは、サイバー攻撃に直面しても事業を再開し、業務を再開することです。これらの手順を踏むことで、真のリスクと真の脅威に境界線を引くことができるようになります」と述べました。
ダラスのサイレン事件では、サイレンの作動に使用された無線周波数信号が発見されたと、DtexのThorson氏は述べています。「10年前なら、正しい送信周波数と、その中にエンコードされた信号を見つけるのに相当な労力を要したでしょう。しかし、ソフトウェア無線とコンピューターが無線周波数スペクトルの大部分を監視できるようになったことで、ハッキングははるかに容易になりました。」
同氏は、「誰も気に留めないレガシーシステムには、簡単に入手できるハードウェアやソフトウェアを介して簡単にハッキングされる危険が潜んでいる」と警告した。
ダラス市は、攻撃経路を遮断し、内部システムを再テストすることでこの攻撃に対応しました。ポーグ氏は、今回は負傷者が出なかったのは幸運だったと述べました。次の攻撃は深刻な結果をもたらす可能性があります。システムがデジタル化されるにつれて、脅威の経路は指数関数的に増加します。
「悲観的なことを言うのは嫌だが、大規模な運動エネルギー攻撃が地平線上に迫っている。それはもうすぐ来る」と彼は言った。
この記事を PDF としてダウンロードしてください (無料登録が必要です)。
上部画像のクレジット:ゲッティ/エド・ジョーンズ
