本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています。
※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。記事下の最終更新日をご参考ください
サイバーディフェンスを犯罪者の視点から
昨日、私はIntel Corporationの優れたポッドキャスト「InTechnology」のエピソード115を聴いていました。
ホストたちは、アメリカ政府の最重要指名手配リストに載っていた元サイバー犯罪者、Bret Johnson氏をゲストに迎えていました。
非常に興味深い人物です。
彼は「shadow crew」と呼ばれるギャングのリーダーで、これは現在のダークネットの前身にあたります。
アメリカ合衆国シークレットサービスに逮捕された後、彼は有罪判決を受けました。
その後、早期釈放と引き換えに仕事を引き受けるよう持ちかけられました――断れない申し出でした――それで彼は法執行機関のコンサルタントおよび情報提供者になりました。
彼はその勤務中もオフィス内から法を破り続け、再び捕まった後、有罪判決を受け、連邦刑務所に服役しました。
彼は脱獄し、再逮捕され、刑期を全うしました。
現在、彼は更生し、サイバーディフェンスのコンサルタント会社Angler Phish Securityを運営しています。
彼がサイバー犯罪の世界に関する第一人者であると言って差し支えないと思います。
Bret Johnson氏は、私に考えさせるような洞察を共有してくれました:
“私たちはある認識を持っています……人々は攻撃者を、ハッカーであり、上位のコンピュータの天才で、手の届かない存在として描いています。
しかし、それは本当の姿ではありません。
そういったタイプの攻撃者も確かに存在しますが、サイバー犯罪者の98パーセントは、単にソーシャルエンジニアとして優れているだけなのです。
彼らはセキュリティの仕組みやその他のことを本当に理解しているわけではありませんが、その必要もないのです”
つまり、このタイプの敵対者は、巧妙な信用詐欺師であり、一種の素人心理学者なのです。
彼らは高度なコーディングには関心を持たず、人間の本質――油断やずさんな運用上のセキュリティ規律――を理解し、それを悪用することに注力します。
Johnson氏が述べるダークマーケットでは、必要なボットやユーティリティはすべて購入可能です。
サイバーディフェンダーにとっての課題は、数の上で犯罪者に有利であることです。
犯罪者は、もっともらしく見えるフィッシングメールやテキストメッセージを一度だけ従業員の一人に信じさせることができれば、ネットワークへのアクセスを得られるのです。
セキュリティチームは、どれだけ従業員にトレーニングを施しても、セキュリティ慣行を100パーセント守らせることは不可能だと主張するでしょう。
そして、Johnson氏は、このようなタイプのサイバー犯罪者が非常に多く存在すると断言しています。ュア心理学者の中に多くのサイバー犯罪者が存在すると主張しています。
“2017年には、AlphaBayが地球上で最大の犯罪ネットワークでした。
法執行機関がこれを閉鎖したとき、メンバーは24万人にのぼっていました。
その2年後の2019年には、Black Marketというダークウェブのマーケットプレイスが閉鎖され、115万人のメンバーがいました。
これらはすべてパンデミック前の出来事です。
パンデミック中には、詐欺の件数が爆発的に増加しました。
なぜなら、経済刺激策が実施されていて、セキュリティがなかったため、大量の詐欺師たちが流入し、詐欺を働いたのです。
現在、その刺激策が終了した今になっても、彼らはもうハンバーガーを焼いたり、学校に通ったりといった生活には戻らないでしょう。
なぜなら、オンライン犯罪がどれほど利益を生むかを体験してしまったからです。”
驚きました。
私は大学で統計学を履修しましたが、何百万もの犯罪者のうち、どれだけの数が攻撃を仕掛ければ、企業という宇宙の中で一瞬の不注意によってソーシャルエンジニアリングの手口に引っかかる被害者が1人見つかるのかを計算するのは、私のスキルを超えています。
直感的には、防御側にとって分が悪い確率のように感じられます。
そして、遅かれ早かれ、その侵入のひとつが私やあなたの手元に直撃するような気がしてなりません。
したがって、Johnson氏が説明する戦場の性質を考えると、ランサムウェアやマルウェア攻撃につながるソーシャルエンジニアリングの被害を軽減するための高確率な方法とは何か、という疑問が生じます。
このような運用モードにおいては、境界型ファイアウォールやウイルス対策スキャンがその答えにはなりません。
私たちは、膨大な数と人間の不完全な性質ゆえに、敵対者がネットワークの境界を突破することは避けられないと仮定しなければなりません。
実際には、「野蛮人たちは門を通り越して、すでに城壁の内側にいる」と考えるべきなのです。
もしそれが事実であるならば、組織はネットワークの境界が侵害されても事業を継続できるだけの回復力をシステムに持たなければなりません。
ここでゼロトラストセキュリティの出番となります。
NISTは、特別刊行物800-207において「必要最小限の権限によるアクセス」の考え方を説明しています。ネットワークの境界内やイントラネット内にいるというだけで、ユーザーやデバイスをデフォルトで信頼してはならないというものです。
マイクロセグメンテーションと呼ばれる概念を用いることで、ネットワーク資産を細かいグループに整理し、有効なビジネスプロセスの一部である認可されたトラフィックのみを許可するポリシーを設定することが可能です。
これにより、マルウェアがネットワーク内で横方向に自由に拡散するのを防ぎ、侵入が成功したとしてもその影響を封じ込めることができます。
私たちColorTokens(カラートークンズ)が、この継続的な課題に対するソリューションの一部であることをお伝えできるのは嬉しいことです。
私たちは、ネットワークの内部におけるマルウェアの横方向の移動を阻止できるトラフィックポリシーの導入、管理、適用を現実的かつ効果的に行うアプローチを開発しました。
そして私たちは、内部ネットワークトラフィックだけでなくリモートユーザーのアクセスに対するトラフィックポリシーも含めて一元的に管理するという、他社とは異なる統一された方法を採用しています。
これは、「どこでも仕事ができる」というビジネスパラダイムが拡大する中で、ますます重要になっています。これらのポリシーを一元管理するためには、統一されたゼロトラストセキュリティソフトウェアプラットフォームが不可欠です。
個別のポイントソリューションを使用した場合、管理者は、異なるツールやユーザーコンソールで定義されたポリシー――企業ネットワーク内のマイクロセグメント間のトラフィックに対するポリシーと、リモートユーザーのマイクロセグメントアクセスに対するポリシー――の整合性を手動で維持する必要があります。
これはコストが高く、管理上の負担となるだけでなく、手動によるポリシー管理はエラーを招き、リスクを高める可能性があります。
統一されたプラットフォームを用いることで、ゼロトラストポリシーの定義と実施に対する包括的なアプローチが可能となり、攻撃対象領域を最大限に削減することができます。
カラートークンズは、皆さまがゼロトラストセキュリティへの道筋を描くお手伝いをする準備ができています。
まずはサイバーセキュリティのポスチャーアセスメント(現状評価)から始めることで、今後の計画に向けた確かな基盤をご提供いたします。
ぜひColorTokens(カラートークンズ)公式サイトからお問い合わせください。
翻訳元記事
「Cyber Defense from a Criminal’s Point-Of-View」
最終更新日:2025/3/21
著者:Bob Palmer
この記事の著者:電巧社セキュリティブログ編集部
