Vision

技術セキュリティのジェダイになる方法 パート2:「スター・ウォーズ」前編映画から学ぶ6つの教訓

技術セキュリティのジェダイになる方法 パート2:「スター・ウォーズ」前編映画から学ぶ6つの教訓
写真はStarwars.wikia.com/より
写真はStarwars.wikia.com/より

多くの人と同じように、私も新作『スター・ウォーズ/フォースの覚醒』に備えて、過去の作品を全て見直しています。熱心なセキュリティオタクとして、情報セキュリティというフィルターを通してポップカルチャーに触れずにはいられません。この二つのテーマの間には(よくよく調べてみれば)驚くほどの相関関係が見つかるものです。

先月、スターウォーズエピソード4~6から得られるセキュリティのヒントをいくつか紹介しましたが、今度は、前編シリーズから情報セキュリティについて何を学べるかについて詳しく見ていきましょう。

DDoS攻撃による妨害戦術から地球を守ろう

『スター・ウォーズ エピソード1/ファントム・メナス』の冒頭で、通商連合のヌート・ガンレイ総督が惑星ナブーへの奇襲攻撃を計画していることが明かされます。アミダラ女王がこの攻撃を疑っているかと尋ねられると、ガンレイは「分からない」と答え、通信を遮断するために迅速に行動する必要があると語ります。その後、ナブーの総督は「通信の遮断はただ一つ、侵略を意味する」と語ります。

これは一般的な軍事戦術です。攻撃を隠蔽したい場合、敵の通信を遮断して混乱を引き起こし、情報共有を阻止します。残念ながら、これはデジタル攻撃でも比較的一般的な戦術となっています。高度なサイバー攻撃者の中には、煙幕として被害者に対して分散型サービス拒否(DDoS)攻撃を仕掛ける者もいます。あなたが膨大なトラフィックの流れを把握している間に、ハッカーはネットワークに侵入して機密情報を盗み出すための真の攻撃を開始します。DDoS攻撃は通信を妨害することで混乱を引き起こしているため、あなたは本当の攻撃に気づきません。

その好例が、2013年にカリフォルニアの金融機関を狙ったサイバー強盗です。ハッカーたちは、実際には90万ドルのサイバー強盗を隠蔽するためにDDoS攻撃を仕掛けました。実際、DDoS攻撃の煙幕はさらに古くから存在し、中にはスターウォーズに登場する物理的な軍事攻撃を模倣したものもあります。具体的には、2008年にロシアがジョージアへの軍事侵攻を開始しました。その攻撃以前にも、ジョージアはDDoS攻撃を受けていたと報じられています。そして、この戦術は非常に普及し、ミスター・ロボットシリーズのようなドラマでは、架空のハッカーが(現実的に)この戦術を使用するのを見るほどです。

つまり、DDoS攻撃はそれ自体が問題であるだけでなく、より悪質な攻撃が進行中であることを示す兆候でもあるのです。Nabooの事例から学び、DDoS攻撃に遭遇した場合は、他のシステムにも注意を払うようにしてください。攻撃者の真の動機が隠れているだけかもしれません。

ジャージャーHS-SWE組織のジャージャーを教育する

平均的なオタクなら、スター・ウォーズの前編を語るならジャー・ジャー・ビンクスのことを嘆かずにはいられない。うちの11歳の息子はジャー・ジャーを面白がっていたことは認めざるを得ないが、私の知り合いのスター・ウォーズファンのほとんどは、彼のドタバタ喜劇的な演出にうんざりしている。ジャー・ジャーは往々にして、ヒーローたちにぶつかったり、戦場でよろめきながら進んだり、まるで頭がおかしいかのように振る舞ったりと、実力以上にトラブルを引き起こしているように思える。しかし、どういうわけか、ジャー・ジャーのドジな行動はいつも魔法のように良い方向へ向かっているように思える。

ITプロフェッショナルなら、組織内にジャージャーのようなユーザーがいたという経験があるのではないでしょうか。誰もが目にしたことがあるでしょう。コンピューターを使うのが苦手で、単純なソーシャルエンジニアリングのトリックに騙されたり、組織を脅かすような危険な行動をとったりするタイプのユーザーです。実際、こうしたタイプの人を「ルーユーザー」と呼んだり、次のようなことを言ったりするITジョークは尽きません。

  • 「これはレイヤー8の問題だ」
  • 「ペブカック」
  • 「ID-10-Tエラーでした」
  • 「愚かさを補うパッチはない」

実のところ、ジャー・ジャーのような無知なユーザーは、ハッカーの侵入を許してしまうような基本的なミスを犯し、組織にリスクをもたらす可能性があります。そして現実の世界では、物事が魔法のようにうまくいくとは限りません。ジャー・ジャーは「偶発的な内部脅威」、つまり意図しないミスによってビジネスを脅かす人物の好例です。

ユーザーにセキュリティ意識向上トレーニングが必要なのは言うまでもありません。ジャー・ジャーのような従業員に対して犯しがちな致命的なミスの一つは、彼らを無能だと決めつけることです。前述のITジョークの中で、私が嫌いなのは「愚かさにはパッチはない」というものです。しかし、パッチはあります。それは教育です。誰もがITやセキュリティの専門知識を直感的に身に付けているとは期待できません。しかし、基本を学び、ジャー・ジャーのようなやり方を磨くことは期待できます。ユーザーを教育し、追放されたジャー・ジャーではなく、ジャー・ジャーのような外交官のように振る舞えるようにしましょう。

組織内に潜む悪意あるシスマスター内部者にご注意ください

友人:「ジャー・ジャー・ビンクスが実はシスのジェダイ・マスターだって知ってた?」

私:「えっ!そんなわけないでしょ。ジャー・ジャーはバカだし、大嫌いなキャラクターよ。」

これは、友人から聞いた最近の噂に対する私の反応です。ご存知ない方もいるかもしれませんが、Redditのスレッドと関連動画が最近話題になっており、ジャー・ジャーの新たなストーリー展開の可能性を示唆しています。詳細は伏せますが(動画をご覧ください)、最終的に作者はジャー・ジャーがアミダラ姫とジェダイを操る邪悪なシス・マスターである可能性について、かなり説得力のある主張を展開しています。結局のところ、これは単なる陰謀論の域を出ないかもしれませんが、議論のために、この可能性を想像してみましょう。

私はジャー・ジャーの愚かな性質に基づいて彼を偶然の内部関係者と比較しましたが、この別の理論が真実であれば、ジャー・ジャーは内部から故意に私たちのヒーローを操作していたことになり、悪意のある内部関係者ということになります。

情報セキュリティにおいて、悪意のある内部関係者は無視できない存在です。私たちは皆、一緒に働く人たちを完全に信頼したいと思っていますが、倫理観に問題があり、不満を抱えた従業員が脅威となるケースもあります。こうした人物は、機密データや顧客の機密情報を無断で持ち出すことが知られています。悪意のある「シス」のような内部関係者から身を守るには、以下の対策を講じましょう。

  • 最小権限の原則を実装して、従業員がアクセスすべきでないデータに触れることを防ぎます。
  • 従業員がデータをどのように使用しているかを追跡できるデータ監視またはデータ損失防止ソリューションを検討してください。

信じられないかもしれませんが、企業は悪意のある内部関係者よりも、偶発的な内部関係者から多くのデータを失います。1ドルしか投資できないなら、セキュリティ意識向上トレーニングの方がより大きな効果が得られる可能性が高いでしょう。

パドメグリーンスクルショットパドメのハニーポットから学ぶ - それは彼女を安全に保つ

このタイトルは少しきわどいように聞こえるかもしれませんが、聞いてください。パドメは優秀なセキュリティ専門家だったのです!第一作で明らかになった大きな事実は、「アミダラ女王」は囮であり、彼女の「侍女」の一人が実はナブーの真の女王だったということです。パドメは危険にさらされていると悟り、セキュリティチームは自分のなりすましをするボディーガードを任命しました。暗殺未遂事件では、犯人は間違った人物を狙うため、パドメは攻撃を察知し、反応するか逃げるかのチャンスを得るのです。

これは、セキュリティ業界で「ハニーポット」と呼ばれるシステムの好例です。元々はセキュリティ調査ツールとして設計されたハニーポットは、正当なシステムを装いながらも、実際にはハッカーを誘い込むために設計されています。マルウェアや攻撃を安全に誘い込み、分析することで、新たな防御策の開発に役立てることができます。しかし近年、組織はハニーポットを、真の標的から攻撃を逸らすだけでなく、侵入されたかどうかを知らせる「炭鉱のカナリア」として活用し始めています。

重要な資産を守りたい企業は、ハニーポットのような新しい形の欺瞞防御を検討すべきです。

防御をすり抜ける「チェンジリング」の脅威に注意

前編映画は誰もが好きというわけではありませんが、これらの作品で成功していた点の一つは、賞金稼ぎを再び登場させたことです。ボバ・フェットはスター・ウォーズファンの間で人気が高いので、ジャンゴ・フェットとその手下たちを登場させたのは賢明な判断だったと言えるでしょう。

『クローンの攻撃』には、女性と思われる賞金稼ぎが毒のあるワームのような生物を使ってアミダラを暗殺しようとするシーンがあります。オビ=ワンとアナキンはそれを察知し、阻止し、コルサント上空で暗殺者を追跡します。最終的に、彼らはバーで人間の暗殺者を追い詰めますが、彼女がチェンジリング、つまり他の姿に変身できるエイリアンであることに気づきます。これは、暗殺者や賞金稼ぎが捕獲や発見を逃れるために役立つスキルであることは明らかです。

チェンジリングの能力は、高度なマルウェアの優れたメタファーでもあります。特定のパターンを探すシグネチャベースの防御を回避するため、高度なマルウェアは常に変化するように設計されています。サイバー犯罪者は、バイナリレベルで異なるようにマルウェアを継続的に再パッケージ化する技術的なトリックを駆使します。最終的には、以前見たランサムウェアと全く同じものになるかもしれませんが、従来の防御を回避するために、新しい方法で繰り返しパッケージ化されます。この種の脅威を捕捉する唯一の方法は、外部パッケージを無視し、脅威の行動に焦点を当てることです。

高度なマルウェアを捕捉するために必要なジェダイのスキルが必要な場合は、行動分析と機械学習を使用して新たな脅威を捕捉する、より高度な脅威保護ソリューションを検討してください。

皇帝シディアスシス卿がFUDを利用して絶対的な権力を獲得するのを許してはならない

ということで、もしあなたが前編3作すべてを観ていないなら…ネタバレ注意!シリーズの終盤では、パルパティーン元老院議員が一連の欺瞞的な策略の張本人であり、それが彼の権力の台頭につながったことが明らかになります。彼は通商連合の攻撃の背後にいて、その状況から生まれた恐怖を利用して現議長を排除し、最終的に自ら議長の地位を手に入れました。彼はドロイド軍のリスクにつけ込み、「緊急時用大権」を自らに与え、クローン軍を統制しました。そして最終的に、彼が最初からダース・シディアス、つまりシスの暗黒卿だったことが判明しました。つまり、パルパティーンは恐怖、不確実性、疑念(FUD)を利用して、本来は賢明な人々に自由を手放させ、単一の権力に徐々に権力を与えていったのです。

これは聞き覚えがありますか?

歴史的に、国家が現実の、あるいは脅威と認識される事態に直面し、国民を守るための解決策を模索してきた例は数多くあります。しかし残念ながら、こうした状況はしばしば恐怖心から煽られ、特に実際の攻撃を受けた後にはそれが顕著です。このような事態が発生すると、当局に新たな権限や能力を与えるなど、自国を守るための新たな、極端な手段を模索するのは当然のことです。

しかし、一つの存在にどれだけの力を与えるかには注意が必要です。「絶対的な力は絶対的に腐敗する」とよく言われます。いつか「ダース・シディアス」のような人物が昇進し、本来意図していなかった方法でその力を使うかもしれないのです。

これは情報セキュリティとどう関係するのでしょうか?現在議論されている暗号化バックドアに関する議論です。

最近、法執行機関や情報機関は、暗号化されたデジタル通信を傍受し、場合によっては解読する手段がなければ、テロの脅威から国民を守り続けることはできないと主張しています。彼らは、当局が特定の通信を何らかの方法で復元できるようなソリューションを商用ベンダーが設計する必要があると主張しています。時には、最近の脅威に対する国民の恐怖を利用して、この主張を推し進めようとすることもあります。

問題は、私たちは暗号化を、個人的な通信やビジネス上の通信を犯罪者から正当に守るためにも利用しているということです。暗号化のバックドアを作ることは、たとえ善意からであっても、悪意のある人物が最終的に悪用する可能性のある新たな弱点を生み出すことになります。

将来、政府がどのようなサイバーセキュリティ権限を持つべきか(商業データの暗号解読能力も含む)を考える際には、ダース・シディアスの物語を思い出してください。強大な権力は、抑制されなければ、共和国を転覆させ、ダーク・エンパイアを樹立する恐れがあります。

スター・ウォーズの前編が好きだったか嫌いだったかに関わらず、それらは多くの重要な情報セキュリティの教訓を示す良い寓話となっています。スター・ウォーズの世界観からどんなセキュリティのヒントが明らかになるのかご興味があれば、今後数週間、私と一緒に『スター・ウォーズ/フォースの覚醒』を探ってみましょう。