Langley のサイバーノーガード日記 サイバーセキュリティとおとり捜査(1)
筆者は、サイバーセキュリティというか、侵入とか、データ漏えいとか、ネット詐欺とかの事件では、「罠」あるいはそれに類するものが必要ではないかと思っていた。
特集
特集
なぜかといえば、今のインターネット環境では、ネット上に残された痕跡だけで元の人物にたどりつくのはきわめて困難だと思っているのである。匿名性の高いサービスを利用したり、海外を経由したりされたら、かなり追跡は困難になるだろう。
そんな時に有効なのが「罠」だと思うのである。
そもそもサイバーセキュリティで被害が発生してから、被害にあったクライアントやサーバから跡をたどるのは、言ってみれば相手の手の内で踊っているようなものである。仕掛けてきた相手は、攻撃対象にどのような情報が残っているかを、あらかじめ知っている可能性が高い。攻撃者に気づかれないようにログを取ったりしているだろうけれども、攻撃者の方が分が良い。なぜなら殆どの場合、同じ社内の人間なら比較的容易に情報を入手できるからである。システム構成から導入されているツール、ログの取り方など、同じ社内、さらに言えば同じ部門あるいは外注先なら、かなり知っているであろう。
被害状況のみから、攻撃者にたどりつくのは難しい。
被害状況以外の要素というと、いわゆる「情況証拠」や「補助証拠」を収集して、あやしい人物をあぶり出すことになる。アリバイ、日頃の態度、経済状況、過去の経歴あるいは、うらみなども勘案することになるのであろう。だが、こうした間接証拠が有効なのは、攻撃者が想定範囲である場合に限られる。元社員とか、直接の接点は全くない相手には無力である。
さらに付け加えると、基本的には直接証拠がなければ、犯人と断定することはできない。
となると、「罠」をかけてそこで直接証拠をつかみ、攻撃者を特定することが必要となってくるような気がする。
こうした考えは筆者だけが思っているわけではなく、世界的にも感じている人が多いようである…
【執筆:Prisoner Langley】
執筆者略歴:
民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
4コママンガを描くこともある。執筆依頼はSCAN編集部まで
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》