ハッキング、トローリング、偽情報のダークトライアド

4月 26, 2020 セキュリティとコンプライアンス, MOVEit

ダークトライアド*は、3つのオンラインサイバー攻撃、ハッキング、トローリング、偽情報、を統合した攻撃です。それぞれ単独でも十分脅威ですが、統合されてお互いに補完し合うように動作するとき、脅威はより強大化します。

*訳者注:ダークトライアドとは、自己愛傾向 (Narcissism)、マキャヴェリアニズム (Machiavellianism)、サイコパシー (Psychopathy) の3つのパーソナリティ特性の総称で、この3つの特性が高い人々は、犯罪を起こし、社会的苦痛を引き起こし、組織にとって重大な問題を引き起こす恐れがあるとされています(Wikipedia より引用)。ここでは、ダークな三本柱ということで、サイバー攻撃の代表的な3つが統合された場合の脅威について記述しています。

新型コロナウイルス禍のさなか、ニューヨーク市の Bill de Blasio 市長は、マンハッタン全体が検疫下にあり、封鎖されるという偽情報が Twitter とテキストメッセージで広範囲に広がっている状況を危惧して、住民にそれが偽情報であると警告しました。

同じころ、William Barr 検事総長や、G. Zachary Terwilliger 弁護士も、スピアフィッシングメール、偽 Web サイト、なりすまし電話、あらゆる種類のフェイク情報を伝えるテキストメッセージなどについて警告を発しました。

これらの攻撃の中には、無料の COVID-19 追跡アプリのように見せかけてマルウェアに導入するものや、ジョンズ・ホプキンス大学などの Web サイトを偽装して虚偽の情報を提供するものもあります。また、このパンデミックで生じた人々の心に広がる不安を食い物にするかのように、電話やテキストメッセージで、無料の iPhone や食料、治療などを提供すると伝えるような偽情報もありました。これはアメリカだけでなく、全世界で同様の攻撃が報告されています。

サイバー攻撃のダークトライアドとは?

このようなサイバー攻撃を互いに接続し、取りまとめたものが、サイバー攻撃のダークトライアドです。ダークトライアドは、各頂点または各辺が3つのサイバー攻撃、ハッキング、トローリング、偽情報、から成る三角形のようなものと考えることができます。それぞれの頂点の角度または辺の長さは様々に異なり、3つのそれぞれが種々の度合いで組み合わせられます。このブログは、恐怖を煽ることが目的ではなく、サイバー犯罪者が目標を達成するためにどのように行動するかを知ってもらい、備えてもらうことを目的としています。

ダークトライアドの先例としては、前回の合衆国大統領選挙への妨害活動があります。ロシアは、民主党全国委員会(Democratic National Committee、DNC)にハッキングし、盗んだデータを使って誤情報を流す Web サイトを作成し、情報を再構成、リツイート、拡散するトローリングキャンペーンを実施しました。それぞれを個別の攻撃と捉えた方が簡単かもしれませんが、総合的にトライアドを構成すると考えた方が、その本質や影響を理解しやすく、また対処する方策の立て方もより洗練されたものとなります。

サイバー犯罪者はソーシャルメディアを活用

トライアドは、ソーシャルメディアで偽のプロファイル、偽の電話番号、偽のメールアドレスを多用します。たとえば、ニューヨーク州エリー郡では、誰かが地元のテレビ局になりすまして、ウイルスに関する偽のニュースをツイートしました。誰でもソーシャルメディアや VoIP サービスにアクセスできることを考えると、このような攻撃は簡単に行えてしまいます。

コンテンツとプロファイルを管理する責任は個々のメディア組織に委ねられており、各組織の内部プロセス次第ということになります。プロセスはある程度は自動化されてはいますが、コンテンツの内容は微妙で曖昧であり、結局は雇用された何千人もの人間のキュレーターに依存しています。

しかし、通常の状況においてさえ、キュレーターの訓練や支援の欠如など、コンテンツを管理するプロセスには大きな欠陥があることがわかりました。パンデミック下では、多くのコンテンツキュレーターが在宅状態になり、自宅からコンテンツをチェックする作業は、コンテンツの性質上、不可能、もしくは非常に困難です。つまり、ソーシャルメディアがユーザーにとって最も重要であるときに、そのコンテンツは悪意が込められた偽情報に対して最も脆弱になっているということです。

一元化されたリポジトリの必要性

コンテンツとプロファイルの管理という重要な問題を個々のメディア組織の責任に委ねることには限界があります。組織ごとに個別のサイロを築こうとするのではなく、各組織が団結して協業する必要があります。考えられるのは、それぞれのメディア組織がプロファイルとコンテンツデータをプールする中央データリポジトリを作成することです。そのデータベースは、研究者やその他のメディア組織、特に攻撃を追跡するための技術的スキルや人的リソースが足りない地域のメディア組織、などからもアクセスできる必要があります。なりすましのプロファイルやなりすまし電話などを一元管理するリポジトリがあれば、攻撃が蔓延する前にそれを特定し、各地域の機関や住民に通知することができます。

William Barr 検事総長は、アメリカ合衆国の人々に、COVID-19 関連のサイバー攻撃を、National Center for Disaster Fraud に報告(1-866-720-5721 に電話するか、disaster@leo.gov に電子メールを送る方法で)するよう求めました。FTCFBI(IC3 専用レポートポータル)など、他の多くの連邦および地方機関も、同じように報告を収集しています。

いろいろな組織が個別のポータルを作って報告を求めると、リソースの浪費やユーザーの混乱につながるのはもとより、不必要に同じことを繰り返さなければならなくなるので、これらの取り組みも統一する必要があります。ソーシャルメディアで使われる偽のプロファイルや偽の電話番号が再利用できるのと同様、スピアフィッシングのメールアカウント、ハッカーが使う巧妙な手口、どんなマルウェアが含まれるのか、といった情報も共有して広く利用できるはずです。

報告を一元的に収集し、消費者向けの情報ポータルを開発することで、攻撃を追跡し、威力の高い攻撃を特定し、ユーザーにサポートを提供することができます。在宅業務で自宅からネットワークを使用し、IT 部門からの専門的サポートが受けられないユーザーも支援できます。

ところで、こういったこと以外で、IT 部門がエンドユーザーを積極的に保護するためには、何ができるでしょうか?

IT 部門が考慮すべき事項

IT 部門が考慮するべき一番のポイントは、社員個人のセキュリティが、企業の IT インフラストラクチャのセキュリティにとってこれまでになく重要になっているということです。社員が私生活でのネットワーク・アクセスでフィッシング攻撃にひっかかってしまったら、業務遂行時にも影響が及ぶ可能性があります。よく発生する問題の1つは、個人アカウントとビジネスアカウントに同じパスワードを使用することです。1つのアカウントが侵害されパスワードが盗まれた場合、もう1つのアカウントも侵害されます。

IT 部門としては、このような間違いを犯す社員を叱責したくなるかもしれませんが、それは最善策ではありません。ダークトライアドの攻撃の罠にはまってしまいそうな社員が、確実により厳密なトレーニングを受けられるようにすることを目指すべきです。テストの設定が考えられます。KnowBe4 のようなサービスと提携して、社員が偽情報、トローリング、フィッシング攻撃にどのように反応するのかを理解することを推奨します。このタイプのプログラムに社員の個人電子メールを含めて、就業中でないときに警戒心が弱まっていないかどうかを確認することも賢明かもしれません。

そして、パンデミック危機で社員が在宅勤務している間に、ビジネスサービスとアプリケーションを強化することを検討します。多要素認証とシングルサインオンは、機密性の高いビジネスデータとインフラストラクチャにアクセスするユーザーの認証プロセスをより堅固にするための優れた方法です。ビジネス保護のためにできるもう1つの方法は、シャドーITを可能な限り排除することです。テレワークする社員は、独断で自分が使いたいハードウェアとソフトウェアを使ってしまうことがあり得ますが、これを行うと、IT 部門がインフラストラクチャ全体を可視化して把握することができなくなり、また、データコンプライアンスの問題にもつながりかねません。ビジネス継続性を確保しながら、効果的で安全なコラボレーションを促進するツールの導入を検討してください。

まとめ

不安で押しつぶされそうな時期には、人々は他者が発する様々な情報と社会的サポートを追い求めます。したがって、偽情報を蔓延させないようにし、ダークトライアドの相乗効果で攻撃の威力が強大化しないよう最善を尽くす必要があります。

そのためには、インターネットに流される情報について警戒する必要があります。受け取った情報のソースを確認し、それを裏付ける他の情報をオンラインで検索し、悪意ある活動を発見したら報告し、他の人々にとって信頼できる責任あるコンテンツキュレーターになる必要があります。

こうした努力を協力して積み重ねていくことで、この危機を克服することができるはずです。ウイルスも、ダークトライアドも、それに打ち勝てるかどうかは、私たち個人個人が自分の責任を果たせるかどうかにかかっています。

Arun Vishwanath

Dr. Arun Vishwanath is an expert on the “people problem” of cybersecurity. He has authored more than two-dozen peer reviewed research papers on the science of cybersecurity. His research has been presented to the principals of national security and law enforcement agencies around the world as well at institutions such as the Johns Hopkins Applied Physics Lab, the U.S. Army Cyber Institute at West Point, and at cybersecurity conferences such as Black Hat.