FBI長官が語る、ロシアや中国など国家関与型サイバー攻撃の脅威動向【海外セキュリティ】

INTERNET Watch

ボストンのサイバーセキュリティカンファレンスにおけるFBI長官の基調講演

 米ボストン・カレッジが米連邦捜査局(FBI:Federal Bureau of Investigation)と共同で毎年開催している「Boston Conference on Cyber Security」の第6回が2022年6月1日にボストン・カレッジのキャンパスで開催されました。今回は、このカンファレンスでのFBI長官クリストファー・レイ(Christopher Wray)氏の基調講演の内容を簡単に紹介します。ちなみに、レイ氏は弁護士出身です。

 レイ氏の講演はボストン・カレッジのYouTubeチャンネルで動画が公開されているほか、配信用にテキストデータ化したものがFBIのウェブサイトで公開されています。なお、講演は正味30分強、その後の10分弱の質疑応答についてはテキストデータ化されていません。

 米国の政府機関による公式な講演なので当然ではあるのですが、ロシアによる脅威の説明に最も多くの時間を割いています。事例としてはNotPetyaやCyclops Blinkなどが紹介されています。また、ロシアの情報部員が副業としてサイバー犯罪で金を稼いだり、サイバー犯罪用のツールを使って国家主導の攻撃を行なったりしているケースも紹介しています。ちなみに、後者については、一般的なツールを使うことで(いざというときに)もっともらしい否認ができる、または背後に誰が存在しているかを隠せると(実際はともかくとして)彼らが考えているためとしています。

 次に中国とイランの脅威についてそれぞれ具体的に紹介していますが、北朝鮮については米国に脅威を与える国の1つとして国名を挙げただけで具体的な説明は特にありませんでした。イランについては、2021年の夏にBoston Children’s Hospitalを狙った「最も卑劣な(despicable)サイバー攻撃」を事例として紹介しています。この攻撃に関しては、協力関係にある諜報機関の1つからFBIが事前に情報を入手したことで深刻な事態に陥るのを未然に防げたそうです。また、Boston Children’s HospitalとFBIボストン支局との間にかねてより信頼関係があったことも功を奏したとしています。

 続けてレイ氏は、特定の国を背景とした攻撃であるか否かにかかわらず、病院や重要インフラ事業者に対するランサムウェア攻撃が深刻な状況にあることを紹介しました。そして、これまでの事例を踏まえ、犯罪組織に対抗するための3つの要素として「人」「インフラ」「資金」を挙げ、これら3つの全てをまとめて存続不能にすることで最も持続的な影響を与えられるとしています。

1.人

 志を同じくする国々と協力し、最も大きな損害を与えているランサムウェアに関与している人物を特定し、ゲームから排除する。これには、それらの人物たちを逮捕して米国に送還し、裁判にかけることもあれば、外国のパートナーによる起訴もありえる。

 重要なのは、マルウェアを作成するランサムウェアの管理者から、マルウェアを展開するアフィリエイト、犯罪の企てを可能にするホスティングプロバイダーやマネーロンダラーに至るまで、あらゆる人物を追跡するために幅広く網を張ることである。

2.インフラ

 サイバー犯罪者の技術的インフラをテイクダウンすることで、彼らの活動を存続不能にすることができる。例えば、2021年にFBIは国際的なオペレーションを主導し、ランサムウェアを含むさまざまなサイバー犯罪に使われてきた数万台の感染コンピューターからなるボットネット「Emotet」を制御下に置いた。また、ロシアのボットネットを3月に存続不能にしたのも、被害が発生する前にインフラをオフラインにできる方法を示す好例である。

3.資金

 仮想ウォレットを押収し、盗まれた資金を取り返すことは、犯罪者たちから財源を奪い、将来の犯罪行為を防止するのに役立っている。また、不正な通貨取引所を閉鎖することで、犯罪活動の存続不能化に一段と成功している。

 FBIのさまざまな役割を説明する中で、その1つとして被害企業の支援を挙げています。FBIには技術的な訓練を受けたエージェントを1時間以内にアメリカのあらゆる企業に派遣する能力が既にあり、ほぼ毎週、サイバーエージェントを派遣し、自社のシステム上で何が起きているのか、それをどのように妨害し(disrupt)、どのように中断させ(interrupt)、どのように軽減し、そしてさらなる深刻な事態になるのをどのように防ぐのかを企業が把握する手助けをしているそうです。

 また、法執行機関であるとともに諜報機関でもあるFBIは国内外のさまざまな機関はもちろん、民間セクターとも協力関係にあり、FBIの支局はアメリカ国内だけでなく、世界80カ国近くに存在していることを紹介しています。

 そして講演の最後でレイ氏は、インシデント対応計画の中に地元のFBI支局への連絡を含めることや、事前にあらかじめ地元のFBI支局との関係を構築しておくことを推奨しています。また、FBIと緊密な関係を結ぶか否かにかかわらず、サイバー侵入の疑いがある場合はすぐに地元のFBI支局に連絡して欲しい、我々の関与が早ければ早いほど助けられることは増えるとし、FBIを信頼して欲しいと訴えています。

 講演後の質疑応答は、時間の都合もあってか、2つの質問にまとめられています。1つ目はFBIにおける人材確保についての質問で、これに対してレイ氏は、サイバーセキュリティの分野でFBIで働きたいと希望する人は増えており、さまざまな人材を適性に応じて配置するようにしていると回答しています。さらにFBIでの仕事について、給与の面では確かに民間企業と勝負できないが、使命感では勝負できるとした上で、犯罪に立ち向かうために、民間では違法となる行為がFBIでならできる、「それは楽しいこと(fun)だ」と半ば冗談めかして語っています。2つ目の質問としては、ランサムウェア被害に遭った企業の経営者向けのアドバイスを求められました。これについてレイ氏は、身代金の支払いに難しい判断が求められることに対して十分に理解を示した上で、それでもFBIとしては兎にも角にも支払わないで欲しい、また、どのような決断を下したとしても、できるだけ早くFBIに通報し、助けを求めて欲しいと重ねて強く訴えています。

 ロシアや中国、イランの脅威を感情に訴えるかたちで強調するなど、少々偏った内容ではありましたが、FBIのサイバー犯罪関連の部門が現在、何に注力しているかがよく分かる講演でした。もちろん、講演で紹介されたものが注力している対象の全てではないでしょう。また、ほかにもFBIとの普段からの協力関係の重要性や、いざというときのFBIへの速やかな通報を強調しているのも印象的でした。これは、FBIに通報されるケースが実際には(FBIが期待するほど)多くないことを示唆しているのかもしれません。実際、2022年6月に行われた「RSA Conference」での講演の中で、FBIと米司法省の関係者は、2020年にブルガリアにあるNetWalkerランサムウェアのバックエンドサーバーを押収した結果、NetWalkerの被害者の報告率が25%に過ぎなかったことが判明したと明らかにしています。

Source