サイバー攻撃とは誰がやっているのかが分からないものだとされてきた。つまり、アトリビューション問題である。アトリビューションとは本来、「所属」や「帰属」といった意味だが、サイバーセキュリティの文脈では誰がサイバー攻撃を行っているのかを特定することという意味である。
サイバー攻撃者はインターネットの雲の向こうに隠れており、何段にも渡って踏み石と呼ばれる第三者のシステムを経由して攻撃してくるので、誰が本当の攻撃者か分かりにくい。まして国境を越えてしまうと、その先の攻撃者に関する情報をつかむのはきわめて困難になり、相手国の政府が協力してくれる可能性は低かった。したがって、サイバー攻撃が犯罪行為であれ、戦争行為に近いものであれ、首謀者の特定・拘束よりも、とにかく自分のシステムを護ることが重要とされてきた。反撃するにしても、相手が誰だが分からないのだから、防戦一方にならざるを得ないとも考えられてきた。
サイバー攻撃の手法がどんどん高度になるにつれ、そもそも攻撃されていることにすら気づかないことが多い。あらゆる攻撃を想定してすべてに対応しておくことも困難になってきている。100%やられないというセキュリティはもはや期待できない。
しかし、それでも、孫子が「彼を知り己を知れば百戦殆うからず」と書いたように、自分のシステムの脆弱性を知り、誰がそれを狙っているのか、何をどうしようとしているのかを理解することは、サイバーセキュリティ対策を行う上で不可欠になりつつある。
サイバー攻撃を行うのは誰か
昨年、英国ロンドン大学キングス・カレッジ教授のトマス・リッドと、同大学の博士候補でコンピュータ・フォレンジック分析者でもあるベン・ブキャナンは、「サイバー攻撃を行うのは誰か(Attributing Cyber Attacks)」と題する論文を『戦略研究ジャーナル(Journal of Strategic Studies)』に載せた(この論文の翻訳は日本の戦略研究学会の機関誌『戦略研究』にまもなく掲載される予定である)。彼らは、アトリビューションとは白か黒か、1か0かというはっきりとした問題ではないという。それは、戦術レベル、作戦術レベル、戦略レベルの三つのレベルで行われる一連のプロセスであり、不確実性を最小化することである。
そして、アトリビューションを解明するプロセスは複雑であり、一人ではできない。さまざまな専門家による分業を要する。犯罪科学をフォレンジックと呼ぶが、それに見合う証拠を戦術レベルでは収集する。さまざまなログを解析し、IPアドレスをたどり、その利用者を特定し、証拠隠滅工作を暴く。しかし、それだけでは必ずしもアトリビューションにはつながらない。他の様々な情報源と照らし合わせる作戦術のレベルが必要になる。政府機関であれば、ヒューマン・インテリジェンス(HUMINT)やオープン・インテリジェンス(OSINT)とつきあわせることになる。各種のソーシャルメディアから漏れてくる情報も重要になるだろう。マルウェアに残された自然言語のかけらから推測することもある。
そして、政治的なリーダーたちによる戦略レベルでは、様々な地政学的な動向の分析と突き合わせ、下から上がってくる分析を検証する。100%の確証が得られることはまずない。しかし、さまざまな情報をつきあわせ、分析していくことで、ほぼ間違いないという段階に達することができる。
アトリビューションの公開という戦略的判断
分析の結果をうまく大衆に伝えることもアトリビューションのプロセスの一部だとリッドとブキャナンは指摘する。米国政府や米国のセキュリティ会社はこれまで何度もアトリビューションに言及してきた。有名なところではプロジェクト2049研究所やマンディアントによる中国人民解放軍61398部隊についての報告書、米国政府司法省による中国人民解放軍の5人の将校の訴追、2014年に起きたソニー・ピクチャーズに対するサイバー攻撃の実行者としての北朝鮮の名指しなどが有名な事例だろう。
