ENISAとEEASが分析、FIMI/偽情報の脅威状況
欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)と欧州対外行動局(EEAS:European External Action Service)は共同で、外国からの情報操作・干渉(FIMI:Foreign Information Manipulation and Interference)とサイバーセキュリティの関係などについてまとめた報告書を発表しました。なお、FIMIについては以下のように説明されています。
外国からの情報操作・干渉(FIMI)とは、価値観、手続き、政治プロセスに悪影響を及ぼす恐れがある、またはその可能性がある、大抵は違法でない行動パターンを指す。このような活動は意図的かつ組織的に行われる操作的な性格のものである。このような活動の主体は国家または非国家の主体である可能性があり、自国の領域内外の代理人を含む。
今回の報告書は、EUが防止・抑止・対応することを目指している活動への注意を喚起する方法として、FIMIや偽情報(disinformation)の作成や伝播の行動を記述する分析的アプローチを提案・検証するもので、現在進行中でかつ常に切迫した状態にある議論へのインプットを提供することを目的としています。その議論には、偽情報を含むFIMIの本質や原動力についてだけでなく、この現象に対して集団で対応する方法についての議論も含まれています。そして、これらの背景として、サイバーセキュリティのコミュニティとFIMI対策のコミュニティをより緊密に連携させる方法を特定することを意図していると説明しています。これを踏まえ、サイバーセキュリティとFIMI/偽情報の関係について、いくつかの暫定的な結論が提示されています。
- FIMI/偽情報におけるサイバーセキュリティの役割。サイバーセキュリティの分析は属性をはっきりさせる上で特に重要であるように思われる。分析された事象のうち、属性が付与されてきたものはサイバーセキュリティ分析に依拠している。さらに、サイバー攻撃はFIMI/偽情報の事象の初期段階においてより顕著であるように思われる。このことは、第一に、特定のサイバー攻撃手法がFIMI/偽情報の指標となり得ること、第二に、コンテンツの開発・取得を制限し、かつ普及を促進するインフラの侵害を制限するのに意識向上が重要であることを意味している。
- サイバーセキュリティコミュニティとFIMI/偽情報コミュニティの間の構造化されたシームレスなインシデント報告の重要性。データの一貫性とデータの質はドメイン横断の分析における制約の中心的な存在となっている。例えば、FIMI/偽情報の事象に関するオープンソースのデータはしばしば複数のインシデントを含むオペレーション全体をカバーしているが、その一方で「純粋な」サイバーセキュリティの観点では単一のインシデントに焦点を当てる傾向がよくある。また、FIMI/偽情報の事象に関するデータには、そのサイバーセキュリティの側面に関する情報が十分に含まれていないかもしれない。どちらの場合も、インシデント報告の方法を改善することが有効である可能性がある。
- サイバーセキュリティコミュニティとFIMI/偽情報コミュニティの間の相互交流はFIMI/偽情報との戦いに利益をもたらす可能性がある。インシデントハンドリングとインシデントレスポンスは長年にわたってサイバーセキュリティコミュニティの中核をなしてきたため、確立されたサイバーセキュリティの実践はFIMI/偽情報対策コミュニティが分析の成熟度を加速させるのに役立つ可能性がある。例えば、FIMIコミュニティはサイバーセキュリティの領域で広く使われている標準的な情報フォーマットを採用・適用することで、書面の報告による情報共有から移行することができる。逆に、見返りとしてFIMI/偽情報コミュニティは、新たに現れた動機、ターゲット、脅威のベクトルについての情報をサイバーセキュリティの実践者に提供することができる。
なお、上記に何度か登場する「FIMI/偽情報コミュニティ(FIMI/disinformation community)」は「FIMI/偽情報対策コミュニティ(counter FIMI/disinformation community)」の誤記または単なる省略表現と考えられます。
偽情報を含むFIMIにセキュリティの要素があることはすでによく知られていますが、今回の報告書では相互の関係を整理し、具体的な連携について記載されていますので、セキュリティに関わる方でFIMI対策に取り組んでいる方や関心のある方には一読をお勧めします。
ENISAによる2030年までの脅威予測
欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)は、2030年までに現れる可能性のあるサイバーセキュリティ上の脅威トップ10を紹介しています。
1. ソフトウェアが依存するサプライチェーンの侵害
2. 高度な偽情報キャンペーン
3. デジタル監視権威主義の台頭とプライバシーの喪失
4. サイバー=フィジカル・エコシステムにおけるヒューマンエラーとレガシーシステムの悪用
5. スマートデバイスのデータによって強化される標的型攻撃
6. 宇宙基盤のインフラやオブジェクトの分析・制御の欠如
7. 高度なハイブリッド型脅威の台頭
8. スキル不足
9. 単一障害点としての国境を越えたICTサービス・プロバイダー
10. 人工知能の悪用
それぞれの項目については以下のように説明されています。
1. ソフトウェアが依存するサプライチェーンの侵害
サードパーティのサプライヤーやパートナーからのコンポネントやサービスの統合が進むと、サプライヤー側や顧客側のセキュリティ侵害を伴う今までにない予期せぬ脆弱性につながる可能性がある。
2. 高度な偽情報キャンペーン
ディープフェイク攻撃は政治的(地政学的)理由や金銭的利益のためにコミュニティを操ることができる。
3. デジタル監視権威主義の台頭とプライバシーの喪失
顔認識、インターネットプラットフォームにおけるデジタル監視、デジタルIDのデータ蓄積が犯罪グループのターゲットになる可能性がある。
4. サイバー=フィジカル・エコシステムにおけるヒューマンエラーとレガシーシステムの悪用
IoTの急速な普及、レガシーシステムの改修の必要性、現在もあるスキル不足によって、サイバー=フィジカル・エコシステムに関する知識やトレーニング、理解が不足するようになるかもしれず、それらが不足しているとセキュリティ問題につながる可能性がある。
5. スマートデバイスのデータによって強化される標的型攻撃
インターネットに接続されたスマートデバイスから得られるデータを通じて、攻撃者は目的に適合して一段と洗練された攻撃を行なうための情報にアクセスすることができる。
6. 宇宙基盤のインフラやオブジェクトの分析・制御の欠如
宇宙では民間と公共のインフラが交錯しているため、宇宙基盤のインフラに対する理解、分析、制御が不十分では攻撃や機能停止に対して脆弱になる可能性があるので、これらの新しいインフラや技術のセキュリティを調査する必要がある。
7. 高度なハイブリッド型脅威の台頭
スマートデバイス、クラウド利用、オンラインID、ソーシャルプラットフォームの増加によって物理的またはオフラインの攻撃が進化し、サイバー攻撃と組み合わされることが多くなっている。
8. スキル不足
能力(キャパシティ)およびコンピテンシーが不足していると、技能が最も不足し、かつ成熟度が最も低い組織がサイバー犯罪グループに狙われるようになる可能性が考えられる。
9. 単一障害点としての国境を越えたICTサービス・プロバイダー
国境を越えてサービスを提供する交通、電力網、製造業などの重要なサービスをつなぐICTセクターは、バックドア、物理的操作、サービス運用妨害などの手法で狙われたり、将来的には紛争時に武器化されたりする可能性が高い。
10. 人工知能の悪用
AIアルゴリズムや訓練データの操作は、偽情報や偽造コンテンツの作成、偏見の悪用、生体認証などの機密データの収集、軍用ロボット、データポイズニングなどの悪質な活動を強化するために使われる可能性がある。
セキュリティに関わる者にとってはいずれも予想可能なものではありますが、ENISAがあえて紹介しているということは、それだけ深刻なものと考え、備えるつもりであるとの意思表明なのでしょう。