ハッカー集団「アノニマス」の脅威

源流の一部は「2ちゃんねる」

アノニマスというハッカー集団の源流の一部は、日本の「2ちゃんねる」というインターネットの匿名掲示板にある。

2001年、この「2ちゃんねる」掲示板の文化に基づいて、画像掲示板「ふたば☆ちゃんねる」が設立され、その後2003年、英語圏を対象として「ふたば☆ちゃんねる」を真似た「4chan」が設置された。

この「4chan」は、英語圏のWebサイトには珍しく「2ちゃんねる」や「ふたば☆ちゃんねる」と同じ匿名掲示板であり、利用者の登録システムが存在しない。

投稿時に任意の名前を記入することもできるが、投稿者の多くは名前欄を空白にするため、日本語の「名無しさん」に相当する「Anonymous」と表示されることになる。

このため、一見すると「Anonymous」という名前の投稿者が一人で大量の投稿をしているようにみえるため、さまざまな勘違いやジョークが生まれ、「Anonymous does not forgive（アノニマスは容赦ない）」というキャッチフレーズがよくいわれるようになった。

2008年から、4chanの利用者の一部が、他の共有サイトの利用者とともに「Anonymous（アノニマス）」と呼ばれるグループをつくり、さまざまなところに対するサイバー攻撃を仕掛けるようになっていった。

企業が行なうべき対策とは

これまで説明してきたとおり、ソニーの大規模な情報流出のような脅威は、もはや一部制御不能な状態になりつつあるといっても過言ではない。また、最近のサイバー脅威は、対象とする企業をよく下調べしたうえでサイバー攻撃が行なわれることが多いため、攻撃手法やレベルが多岐にわたる。

そのため、画一的な対策で、適切なセキュリティが確保されるものでなくなってきている。このような状況に対し、企業が現実的かつ適切な対策を見出すには、次のような観点で対策検討をする必要があると考える。

1.サイバー脅威を可能なかぎり正確に把握し、意思決定する仕組みの構築

旧来のリスク対策において、適切な対策を見出すことができたケースを眺めてみると、過去に同様なリスクを経験した、あるいはリスク発生メカニズムを仔細に把握できていたことが多い。それ以外の場合は、過不足感のある対策がどうしても目立つ。

さらに、立案された対策を意思決定する者が、リスクに関する経験や知見を豊富にもっていればいるほど、その対策がより適切となる傾向にある。つまり、適切な対策を施すためには、可能なかぎりの正確な現状理解が必要不可欠であるといえる。

さて、サイバー脅威についてはどうだろうか。残念ながら、企業の意思決定者の多くは、最近のサイバー脅威およびそれによって自組織において発生するリスクの豊富な経験や知見をもっているとは言い難い。

既存の「情報セキュリティ担当者」は、情報資産を守るプロであるが、さまざまな攻撃技術の理解を必要とするサイバー脅威対処のプロではない。

また意思決定者は、現場から上がってきた対策案について、マイノリティを除いたメジャーな領域をもって意思決定することが多いため、マイノリティとして認識されてしまったリスクがどうしても残存してしまう。

厄介なことに、サイバー脅威によるリスクが発生する箇所は、このようなマイノリティの部分であることが非常に多い。

したがって、このような意思決定者が、現場の技術者でも正確に把握することが難しくなってきている最近のサイバー脅威を、正確に把握して正しい判断をすることはとても難しく、実際のサイバー脅威を経験しないかぎり、その認識をもつことすらできない状況が目立つ。

最近のハッカー集団による深刻なサイバー攻撃が発生している現状のなかで、ようやく国内の企業もサイバー脅威の認識をするようになってきたが、その仕組みの正確な把握ができるまでには至っていない状況である。

このようなところに着眼し、自組織に影響する可能性のあるサイバー脅威の把握と理解に関する意思決定が可能な役員（CSO〈Chief Security Officer〉・CISO等）そしてその実働体制となるレスポンスチーム（CSIRT〈Computer Security Incident Response Team〉等）を設置あるいは機能強化すべきである。

2.攻撃者の行動特性や心理的要因を理解

企業におけるサイバー脅威対策を観察すると「サイバー脅威を自然災害の一つとして捉えている」節があるが、サイバー脅威は人間の意思とそれに基づく行動によって発生するものであることを見逃してはならない。

一般的にサイバー脅威の発生予測は難しいとされているが、これまでのさまざまなサイバー脅威に関する観測や分析の結果をみると、事前に攻撃の呼び掛けがされているものにかぎっては、攻撃者にとっての「合理的な理由」が存在することが多い。

この「合理的な理由」を可能なかぎり事前に察知し、そして理解することによって、サイバー脅威の発生予測をある程度ではあるが高めることが期待できる。この「合理的な理由」を把握するには、まず攻撃者の行動特性や心理的要因を理解することが、いちばんの近道である。

可能なかぎり攻撃者と同じような環境で、共通する目的と活動を擬似的にでも体験してみることで、攻撃者の価値観を体感することができる。そうすると、彼らの行動を突き動かす原動力が理解でき、適切な対策を立案するために有効となる検討材料を得ることができる。

3.攻撃者に利用可能な脆弱性や迂回路を撲滅

最近は自動的に脆弱性検査を行ない、レポートを出力する診断ソフトの性能がよくなり、既知の脆弱性の多くをシステムから取り除くことができるようになってきた。しかし、このような診断ソフトは、攻撃者も入手していると考えたほうがよい。

また、高度な技術をもっている攻撃者であれば、脆弱性診断ソフトで検知が難しいものでも、自力でみつけることができる可能性が十分にある。あるいはソーシャルエンジニアリング等の非技術的な方法により、システム的なセキュリティ対策をあっさりと迂回することもある。

国外の一部の企業においては、自社のシステム、サービスおよびプロダクトに対してハッキングを行なった者を訴えるのではなく、逆に雇い入れてセキュリティレベルやサービス等のレベルの向上に役立てているところがある。

しかしこのような例は稀であるため、現実的には積極的な侵入テスト（ペネトレーションテスト）という、実際の攻撃手法をいくつも試しながら、安全性の検証を行なうことが推奨されている。

ただし、重要なのは日々新しい攻撃手法や脆弱性が公表されている現実を鑑み、定期的にテストを行なっていくことである。とくに重要なシステムに対しては、攻撃者と同等あるいはそれ以上の攻撃能力をもつ技術者がテストを行なうことが必要となる。