2.実例

(1)脅威インテリジェンスの活用

 国家は、国際違法行為(国際法上の義務違反または不履行)を行った場合には、国家責任を負うが、その行為が国家に帰属することが要件とされる。

 すなわち、国際的に違法なサイバー行為が行われた場合、その行為者が特定され、かつ、その行為者と主権国家との関係が立証されなければ、当該国の国家責任を問うことができない。

 これが、サイバー空間の「帰属問題(アトリビューション)」と呼ばれるものである。

 米国は、これまで中国のほかにイラン、北朝鮮、ロシアの国家主体のハッカーを次々と起訴している。

 米国は起訴にあたり、ハッカーの氏名のみならず顔写真も公表している。米国はなぜ、ハッカー個人を特定することができたのか。

 パケットのヘッダーには送信元IPアドレスと宛先IPアドレスが含まれている。

 IPアドレスから、IPアドレスの所有者(会社の電話番号や住所)や通信プロバイダー(ISP)が分かる。

 従って、国内外のISPの協力が得られれば、個人を特定することができる。

 しかし、海外の国家主体のハッカーは、IPアドレスを詐称する可能性があるばかりでなく、被攻撃国との外交関係が悪い。

 かつ、法執行機関同士の協力がない複数の国を経由して攻撃を行ったり、あるいは匿名の通信システムTor(トーア)を使用したりする。

 ゆえに、海外から不正アクセスがあった場合、誰が攻撃したのかを絞り込むことは容易ではない。

 発信源の逆探知についてはいくつかの対策が考案されているが その中で最もシンプルな方法は、特定のパケットの送信元を追跡するIPトレースバック技術である。

 一般に、IPトレースバック技術とは、IPパケットの送信元IPアドレスが詐称されたとしても、発信源を特定できる技術の総称である。

 さて、完全なトレースバック技術をもってしても、発信源の組織の名称や住所に到達できても個人に到達することは不可能であろう。

 個人に到達するには、当該組織の発信・受信するすべての電子メールや音声通信を傍受するほか、当該建物に出入りするすべての者を監視するなどのヒューミント情報(インテリジェンス情報)との組み合わせが必須となるであろう。

 ちなみに、各国はインテリジェンス活動から得られた脅威インテリジェンス(Threat Intelligence)をサイバーセキュリティ活動に統合しようとしている。

 米国は2015年に「サイバー脅威情報統合センター(Cyber Threat Intelligence Integration Center:CTIIC)」を設立した。

 CTIICは、外国のサイバー脅威および米国の国益に影響を及ぼすサイバーインシデントに関する統合されたオール・ソースの情報分析を提供し、サイバーセキュリティとネットワーク防護に責任を有する米国政府の各センターを支援し、外国のサイバー脅威に対処する政府の努力を促進・支援することを任務としている。

 そして、CTIICが設立された2016年以降、米国が国家主体のハッカーを起訴する事例が増加している。

 これはCTIICの成果によるものと思われる。

 上記の事例は、今日のサイバー攻撃は、これまでのサイバーセキュリティ対策だけでは対応できず、インテリジェンスの能力が必須となっていることを示している。