Ipad

サイバーセキュリティのジェダイになる方法 パート4:「スター・ウォーズ/最後のジェダイ」から学ぶ3つの教訓

サイバーセキュリティのジェダイになる方法 パート4:「スター・ウォーズ/最後のジェダイ」から学ぶ3つの教訓
スター・ウォーズ/最後のジェダイ
(ウォルト・ディズニー・ピクチャーズ写真)

教育と学習は、より広範な文化現象と結びつけることで、はるかに魅力的で効果的なものになると、私は常々感じています。サイバーセキュリティの専門家として、ポップカルチャーを通して役立つサイバーセキュリティのヒントを紹介することを楽しんでいるのは、まさにこのためです。たとえそのポップカルチャーが情報セキュリティ(infosec)とは全く関係がなくてもです。今日の教育的ストローマンは、スター・ウォーズ最新作『最後のジェダイ』です。

ヒントを紹介する前に、個人的なミニレビューを共有させてください。「最後のジェダイ」、最高でした!ぜひ観てください。確かに、想像力を働かせ、少し現実離れした感覚を味わわせてくれるシーンもいくつかありますが、所詮は子供向けのファンタジー・スペースオペラです。シリアスなリアリティを期待して観るべきではありません。また、まだ観ていない方は、ネット上に奇妙な観客レビューがいくつかあるかもしれませんが(多くはボットによるものかもしれません)、気にしないでください。ぜひ映画を観て、ご自身の目で確かめてください。

それでは、「最後のジェダイ」からサイバーセキュリティの教訓を抽出していきましょう。もちろん、映画の重要な教訓を議論するためには、いくつかの重要なプロットポイントに触れる必要があります。これは重大なネタバレですのでご注意ください。まだご覧になっていない方は、戻ってサイバージェダイの訓練を後で受けてください。

スター・ウォーズ関連の情報セキュリティに関する以前のヒントをまだ読んでいない方は、最初の3つの記事もぜひお読みください。実際、スピンオフ映画「ローグ・ワン」で得られるセキュリティ上の教訓についても考察しました。スター・ウォーズシリーズには多くの共通点があるため、以前のヒントのいくつかはこの映画にも当てはまるかもしれません。しかし、この記事ではいくつか新しいヒントを紹介し、信頼、ソーシャルエンジニアリング、そしてミスディレクションというテーマに焦点を当てていきます。

よし、パダワン、君を警備担当のジェダイにしよう。

X-ウイングの「ヘッドフェイク」の犠牲者にならないように

スター・ウォーズ/最後のジェダイ
(ウォルト・ディズニー・ピクチャーズ写真)

映画は、新共和国の司令官でありXウイングの飛行士でもあるポー・ダメロンが、反乱軍を追い詰めるファースト・オーダーのドレッドノートを迎撃するためにジャンプするシーンから始まる。ポーは一見一人で現れ、ハックス将軍との交渉を申し出る。そこで彼は、敵を滑稽なまでにからかう。すぐに分かるように、ポーは実は将軍とファースト・オーダー艦隊の注意を逸らし、間もなく飛び込んでくる反乱軍の爆撃機を陽動させようとしていたのだ。ファースト・オーダーの圧倒的なTIEファイター防衛網は爆撃機のほとんどをあっさりと撃破するが、ドレッドノートの爆撃機を爆破することに成功した機体が1機存在する。

こうした「ヘッドフェイク」は現実世界の戦闘では珍しくありません。敵は正面から攻撃を仕掛ける大げさな演出をしますが、あなたが気を取られている隙に、何らかの側面攻撃を仕掛けてきます。残念ながら、この戦略は「サイバー」世界にも存在します。

2015年、複数のセキュリティ企業が、一部の高度な攻撃者が、より大規模な攻撃を仕掛ける前に、小規模な分散型サービス拒否(DDoS)攻撃を巧妙に利用し始めていると報告しました。IT部門やインシデント対応チームが、こうしたネットワークフラッドによって生成された数千ものパケットへの対応に追われている間に、攻撃者は脆弱なサーバーに対して、あるいはマルウェアをロードするために、より小規模な裏攻撃を実行していました。研究者たちは、この概念を軸に、「DDoS攻撃を通じたささやき」といった論文を発表しています。

サイバーセキュリティのジェダイとして、「これは罠だ!」と覚えておいてください。DDoS攻撃を目撃したら、それだけに集中してはいけません。すべてのハッチを閉め、調査中はすべてのネットワークサービスを防御してください。DDoS攻撃は単なるDDoS攻撃である可能性もありますが、反乱軍がいつそれを利用して本物のネットワーク爆弾をシステムに忍び込ませるかは分かりません。

犯罪者マスタークラッカーを決して信用してはいけない

スター・ウォーズ/最後のジェダイ
(ウォルト・ディズニー・ピクチャーズ写真)

『最後のジェダイ』のサイドクエストの一つで、フィンとローズはスノークのスプレマシー級メガ級スター・デストロイヤーに侵入し、反乱軍の宇宙船が気付かれずに謎の地点へジャンプするのを阻止している追跡装置を無効化しようと試みます。スプレマシーに潜入するに​​は、彼らの宇宙船がスプレマシーの強固な防衛網を突破するための暗号を解読できる「マスタークラッカー」の力を借りる必要がありました。彼らは最終的に、カリスマ性があり吃音症のDJという犯罪者と出会います。彼は彼らをファースト・オーダーの防衛網を突破し、追跡装置へと導きます。しかし、そこで彼らはDJが最高額の入札者に彼らを売り渡し、ハックス将軍に引き渡して反乱軍の最終脱出計画を漏らしたことも知ります。

犯罪者を決して信用してはいけないということを思い出させます。近年、ランサムウェアはサイバー犯罪者にとって最も効果的なマルウェア攻撃の一つとなっています。一部の報告によると、被害者の少なくとも3分の1が最終的に身代金を支払っています。そのため、多くの被害者は「効果ありそう」なランサムウェアに慣れてしまっています。身代金を支払えばファイルが戻ってくるように見えるため、ランサムウェア攻撃は毎回確実な結果が期待できる、予測可能な攻撃のように思えます。実際、多くの保険会社はランサムウェアに慣れすぎて、恐喝保険を提供し始め、顧客のために身代金を支払うためだけに多額のビットコインを保有しています。身代金を支払うことでランサムウェアの被害が増えると思うかと聞かれると、「泥棒にも仁義がある」と答える人もいます。これは、一度身代金を要求された犯罪者は、二度と手を出さないという意味です。

その考えは最悪だ!泥棒に仁義はない。DJがより良い条件を提示されるとすぐに反乱軍に背を向けたように、ランサムウェアの作成者であろうとサイバー犯罪者であろうと、報復される可能性がある限り、何度でも喜んでハッキングするだろう。

光のジェダイを自称するなら、どんなに魅力的に見えても、フォースのダークサイドには決して加担してはいけません。もし相手が犯罪歴のある人物であれば、機密情報を共有したり、そもそも協力したりしてはいけません。さらに重要なのは、サイバー空間で身代金を支払ってはいけないということです。そうすることで、犯罪を助長する者たちに、犯罪は利益をもたらすと信じ込ませるだけです。

ダークサイドを誘い出すためにサイバーデコイを展開する

スター・ウォーズ/最後のジェダイ
(ウォルト・ディズニー・ピクチャーズ写真)

DJが漏らす以前、アミリン・ホルド中将のファースト・オーダー艦隊からの脱出計画は実に独創的だった。ホルドは、反乱軍艦とファースト・オーダー艦隊の間に十分な距離があるため、ハックスのシステムは反乱軍主力艦しか追跡・観測できず、小型のクローキング輸送船は追跡できないことを知っていた。主力艦が逃走を試みる様子が続く中、ホルドは反乱軍の乗組員を乗せた小型輸送船を密かに派遣し、近隣の惑星クレイトにある旧基地へ向かわせる計画を立てていた。つまり、反乱軍主力艦は囮として機能し、その間に本物の反乱軍は姿を消すのだ。

信じられないかもしれませんが、デコイ、別名「デセプションテクノロジー」は、サイバーセキュリティの新たなトレンドとなっています。デセプションテクノロジーには様々な種類がありますが、一般的には、本物のサーバーに見せかけた「偽の」システムを社内ネットワーク上に設置します。これらのシステムの目的は、サイバー攻撃者を騙して攻撃に集中させ、本来の貴重なシステムを見逃したり、無視したりすることです。これらのデコイは、犯罪者が実際のシステムに侵入するのを防ぐだけでなく、ハッカーが他の防御システムを侵害したという警告としても機能します。ジェダイの用語で言えば、デセプションテクノロジーは攻撃者に「これらはあなたが探しているサーバーではありません」と伝える能力を提供します。

マスター・ジェダイを目指すなら、こうした技術的なデコイを使ってシスのハッカーを騙す方法を考えてみるのも良いかもしれません。最新のデコイ技術は複雑で高価であり、すべての企業に適しているわけではないことは認めます。しかし、無料のオープンソースのハニーポットを使って、一部の攻撃者を欺くことも可能です。

ご覧の通り、スター・ウォーズ映画は単なる娯楽作品ではありません。そこで得られる教訓は、情報セキュリティのパダワンからマスターへと成長するのに役立ちます。しかし、「ジェダイはフォースを知識と防御のために使い、決して攻撃のためには使わない」ということを忘れないでください。

スター・ウォーズのセキュリティ分析はこれで終わりです。次回もぜひご覧ください。それまでの間、ぜひスター・ウォーズのセキュリティに関するご意見を下記にご投稿ください。サイバーフォースが常にあなたと共にありますように。