IT・セキュリティ担当者も知っておくべき？JPCERT/CC佐々木勇人氏が語る「サイバー安全保障」の考え方

“サイバー安全保障的”な対応のキーワード「攻撃キャンペーン」とは？

　従来の行政による情報セキュリティ政策は、いわゆる「リスク行政的対応」であり、事故報告が十分に集まったところでガイドライン化あるいは法制化し、対策基準を高めるというアプローチが採られていた。

　しかし、攻撃アクターが急激に増加し、標的範囲が大きく拡大している現在、このアプローチでは対処しきれない。そこで、攻撃状況そのものを早期に国が把握し、予防的措置を含んだより前のめりな対応を行う「サイバー安全保障的な対応」へと各国ともに変わってきている。

　そのキーワードとなるのが、「攻撃キャンペーン」の概念を基軸とした対抗オペレーションだ。攻撃キャンペーンとは、主に「APT（Advanced Persistent Threat）や標的型サイバー攻撃のアクターが、数ヵ月～1年かけて同じ攻撃インフラ・侵入方法・マルウェアを繰り返し使う攻撃活動の一つのまとまり」を指すと佐々木氏は説明する。

　そして対抗オペレーションとは、「攻撃キャンペーンを中断させるか、目的達成を阻止し、攻撃者の意思決定や継戦能力に影響を与えて次の攻撃キャンペーンを遅らせる、または抑止する」ことを目指すものだ。具体的な手法として、C2サーバーのアクセス無害化、技術情報配布による攻撃有効性の低下、注意喚起・情報共有などが挙げられる。

　高度なアクターは、攻撃キャンペーンを長期間にわたって繰り返す特徴を持っている。なかには10年以上活動しているアクターもいるとのことだ。佐々木氏は、この“繰り返し構造”を逆手に取った対抗策の可能性を示唆している。

　実際の対抗オペレーション事例として、同氏は前CISA長官のジェン・イースタリー（Jen Easterly）氏のコメントを引用し、2024年に北米主要ISPを侵害したアクターである「Salt Typhoon」への対応を紹介した。

　「この事例では、政府ネットワークを積極的に調査することでSalt Typhoonの活動を捕捉し、攻撃者が使用していたC2サーバーを特定して調べました。そこに格納されていた情報から、被害に遭った民間組織の被害情報を逆算的に認知し、これを被害組織に通知したのです」（佐々木氏）

　この一連の流れは、政府による積極的な攻撃インフラへのアクションと、機微な情報の迅速な民間提供によって為されたものである。