セキュリティインシデントの対処で、もっとも難しいことの1つは、そのサイバー攻撃の背後にいる人物を暴き出すことだ。これは近年、ますます困難の度合いを増している。
ハッカーに法の裁きを受けさせることは難しいにせよ(特にそのハッカーがほかの国にいる、あるいはほかの国の政府のために働いている場合には)、その攻撃が誰に手によるものかを理解できれば、防御にも役立つことが多い。
セキュリティ企業MandiantのMike Oppenheim氏によれば、それこそが、攻撃を受けている組織が犯人を特定することが重要である理由だという。たとえ特定した犯人を逮捕できない場合でもだ。
「誰に狙われているのかを知ることは大切だ。それによってビジネス上の判断も、防御も簡単になる」と同氏は言う。
攻撃者を追跡する者にとっては幸いなことに、どんなに用心深いハッカーであっても、身元の特定につながる何らかの痕跡を残すものだ。
その点では、ハッキング攻撃もほかの犯罪と似たところがある。捜査する側は侵入経路、被害者、犯罪者の痕跡を調べ、誰がそのインシデントからもっとも恩恵を受けるかを暴き出そうとする。
追跡者は犯人が標的としているのは誰か、どんな道具を使っているか、どんな言語を使っているかなどの情報の断片を集めて、粘り強く犯人を特定しようとする。
最初に調べるのは被害者だ。一部の攻撃は、無実のウェブサイトをマルウェアに感染させることで実行される。このサイトを閲覧すると、訪問者のPCが感染する。攻撃者の本当の標的はこの訪問者たちだ。フィッシングメールを送り、受信者をだまして攻撃用のリンクをクリックさせることから始まる攻撃もある。感染させられたウェブサイト(たとえば医学論文誌のサイト)の種類から、ハッカーが攻撃したかった相手を推測することができる場合もある。例えば、標的は製薬会社のマネージャーかもしれない。同様に、フィッシングメールの内容からも、攻撃者の標的に関する手がかりが得られることがある。
次は使われた武器だ。研究者は使用されたマルウェアから多くの情報を引き出すことができ、そのマルウェアがほかの攻撃や特定のグループと結びつくかどうかを判断できる。セキュリティ企業Symantecの脅威インテリジェンスアナリストAlan Neville氏は、「攻撃者が専用のツールを開発しており、そのツールがモジュール型で洗練されたものであれば、背後にいるのはプロフェッショナルなグループかもしれず、国に支援されている可能性もある」と述べている。
コードそのものにも、手がかりが残っていることがある。作者がコードの中にコメントを残しており、そこから作者が話す言語が分かる場合もある。セキュリティ企業はコードがいつコンパイルされたかを知るため、タイムスタンプについても調べる。場合によっては、この情報から作者がどの時間帯に作業をしているかが分かる。使われている言語と作業時間から、作者の本拠地が世界のどこにあるかを把握することができる。
