編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方
海外コメンタリー

ハッカーの追跡はなぜ難しいのか--高度化する情報戦の実情を知る

Steve Ranger (ZDNet.com) 翻訳校正: 石橋啓一郎

2015-07-01 06:15

 セキュリティインシデントの対処で、もっとも難しいことの1つは、そのサイバー攻撃の背後にいる人物を暴き出すことだ。これは近年、ますます困難の度合いを増している。

 ハッカーに法の裁きを受けさせることは難しいにせよ(特にそのハッカーがほかの国にいる、あるいはほかの国の政府のために働いている場合には)、その攻撃が誰に手によるものかを理解できれば、防御にも役立つことが多い。

 セキュリティ企業MandiantのMike Oppenheim氏によれば、それこそが、攻撃を受けている組織が犯人を特定することが重要である理由だという。たとえ特定した犯人を逮捕できない場合でもだ。

 「誰に狙われているのかを知ることは大切だ。それによってビジネス上の判断も、防御も簡単になる」と同氏は言う。

 攻撃者を追跡する者にとっては幸いなことに、どんなに用心深いハッカーであっても、身元の特定につながる何らかの痕跡を残すものだ。

 その点では、ハッキング攻撃もほかの犯罪と似たところがある。捜査する側は侵入経路、被害者、犯罪者の痕跡を調べ、誰がそのインシデントからもっとも恩恵を受けるかを暴き出そうとする。

 追跡者は犯人が標的としているのは誰か、どんな道具を使っているか、どんな言語を使っているかなどの情報の断片を集めて、粘り強く犯人を特定しようとする。

 最初に調べるのは被害者だ。一部の攻撃は、無実のウェブサイトをマルウェアに感染させることで実行される。このサイトを閲覧すると、訪問者のPCが感染する。攻撃者の本当の標的はこの訪問者たちだ。フィッシングメールを送り、受信者をだまして攻撃用のリンクをクリックさせることから始まる攻撃もある。感染させられたウェブサイト(たとえば医学論文誌のサイト)の種類から、ハッカーが攻撃したかった相手を推測することができる場合もある。例えば、標的は製薬会社のマネージャーかもしれない。同様に、フィッシングメールの内容からも、攻撃者の標的に関する手がかりが得られることがある。

 次は使われた武器だ。研究者は使用されたマルウェアから多くの情報を引き出すことができ、そのマルウェアがほかの攻撃や特定のグループと結びつくかどうかを判断できる。セキュリティ企業Symantecの脅威インテリジェンスアナリストAlan Neville氏は、「攻撃者が専用のツールを開発しており、そのツールがモジュール型で洗練されたものであれば、背後にいるのはプロフェッショナルなグループかもしれず、国に支援されている可能性もある」と述べている。

 コードそのものにも、手がかりが残っていることがある。作者がコードの中にコメントを残しており、そこから作者が話す言語が分かる場合もある。セキュリティ企業はコードがいつコンパイルされたかを知るため、タイムスタンプについても調べる。場合によっては、この情報から作者がどの時間帯に作業をしているかが分かる。使われている言語と作業時間から、作者の本拠地が世界のどこにあるかを把握することができる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]