中国や北朝鮮によるサイバー攻撃を日本が名指しで非難　脅威アクターに対する「パブリックアトリビューション」の意義

サイバーセキュリティの専門家が登壇

寺岡篤志氏（以下、寺岡）：それでは、「彼れを知りて己を知れば、百戦して殆うからず　【スペシャル対談】専門家を唸らせた脅威アクター」。このタイトルで始めさせていただきたいと思います。まず、このブロックでお話しする人たちを紹介します。では大佐さん、よろしくお願いします。

大佐氏（以下、大佐）：よろしくお願いします。

寺岡：大佐さんは、顔出し・プロフィール公開NGの元海外特殊部隊員ということで、これを読むと「何者なんだ？」という感じですけれども。2023年もご登場いただいていましたが、簡単に自己紹介をお願いできますか？

大佐：基本的には、サイバーセキュリティのオフェンシブの部分をずっとやっています。攻撃の部分に関してというところで、今回は「APT」、いわゆる攻撃をしてくるような犯罪集団に特色を当てて、少しお話しできればと思っています。よろしくお願いします。


寺岡：よろしくお願いします。続いて、お二人目がpiyokango（ぴよかんご）さん。ブログなどをご覧になっている方は、ご存じの方も多いんじゃないかなと思うんですが、私も愛読者です。

いろんなインシデントの取りまとめのレポートを出していただいていてすごくわかりやすいので、みなさんも読んでいらっしゃるんじゃないかなと思います。piyokangoさんも、みなさんご存じのとおり、実名・顔出しNGの方なんですが、簡単に自己紹介をお願いできますでしょうか？

piyokango氏（以下、piyokango）：みなさんこんにちは、piyokangoです。寺岡さんは、（登壇者が2人も顔出しNGという）なかなか難しいファシリテーションをやっていらっしゃるなという感じで。

寺岡：（笑）。

piyokango：先ほど「人が」というお話があったんですけども、下手をしたら、人が寺岡さんしかいないんじゃないかという構成のメンバーではありますけども。私も今ご紹介いただいたとおり、主にサイバーセキュリティに関連するインシデントとかを調査・分析、時に発信ということをひたすら続けております。

この後ご紹介する各アクター、実際に起こったインシデントなんかも、過去にまとめた記事をちょっと取り上げながらお話をさせていただこうかなと思っております。よろしくお願いします。

サイバー攻撃者を知ることの意味

寺岡：よろしくお願いします。こういった専門家のお二人を迎えまして、私がファシリテーターを務めさせていただきます、日経新聞の記者の寺岡と申します。

サイバーセキュリティを専門に取材していまして、いろいろと幅広くコーポレートの（セキュリティ広報の）話をやったり、安全保障や影響力工作をやったり、OSINT（公開情報を収集・分析してインテリジェンスとして活用する手法）もやったりしています。では、この3人で今回お届けしたいと思います。よろしくお願いします。

「今日は敵について語りませんか？」というテーマですね。もちろん自社がどんなアセットを持っているかとか、それに対して適時適切な防御体制が引けているかというのはもちろん非常に重要なんですけども、インテリジェンスの世界ですね。


みなさんは、タイトルを見て孔子を思い浮かべたと思うんですが、「いかに敵を知るか」というのは極めて重要であると。なかなかこういうところまで手を出せる会社さんって、まだそんなに多くはないのかもしれないんですけども、脅威インテリジェンスの重要性は非常に増してきているのかなという認識でいます。

例えばログを見るにしても、やはりログが多すぎて追い切れないというお話があると思います。どういう敵が自分たちにとって脅威なのか、どういう脅威があるのかを知ることによって、ログの見方が変わってくるし、効率化も可能かもしれないとかですね。

あとは、けっこう取っていらっしゃる企業さんも多いと思うんですけど、ISMS（情報セキュリティマネジメントシステム）ですね。あの認証もバージョンが変わって、一応新しいものの中には「脅威インテリジェンス」という言葉も入っていると。

たぶん、そこまで深い意味での脅威インテリジェンスではないという理解なんですけれども、そういった言葉が大企業だけじゃなくて、いろんな企業にとって重要になってきているんじゃないかなという認識でおります。こういったテーマで、興味深いお話をいただけるので、ぜひ聞いていただければなと思います。

それぞれ、脅威動向にお詳しい方々に来ていただいていますので、お二人を唸らせた脅威アクターと言いますか。特に日本に対してどうかとか、世界でどういうアクターが注目されているのか。どんな組織でどんな目的を持っているのか、どんな攻撃手法に気をつければいいのか。そういった観点から、お二人に語っていただきたいなと思います。

国が出す、サイバー攻撃に対する声明

寺岡：では、まず最初にpiyokangoさんからお話をいただければなと思います。画面で見ていただいているとおり、日本がしたパブリックアトリビューション、つまりある事件などに関して、「お前たちがやっただろ！」と名指しすることによって、次の事件を抑止する。



例えば、「こういった手口でバレるなら、次の手口をやらなきゃいけない」となると、相手（攻撃者）にコストがかかります。そういったかたちで抑止をすることを「パブリックアトリビューション」と言います。

今の日本のサイバー安全保障政策の中でも、1つの重要なテーマの1つとなっておりますが、これをテーマに、piyokangoさんにお話しいただければと思います。

piyokango：私からは、今ほとんどお話をいただいてしまった感はあるんですけども。

寺岡：すみません（笑）、失礼しました。

piyokango：いえいえ。国として名指しをするという。日本は「遺憾の意を出す」というので非常に有名な国ではありますけども、実際に関与国を名指しして、疑いがある、あるいは実際にやっているというかたちで、非難に近いかたちで主張をする。このパブリックアトリビューションを、日本でもやっています。

今回、ちょうど脅威アクターについて取り上げるというところもありましたので、そもそも日本がどんな国を想定して名指しするというか。実際に日本が脅威というかたちで、ある意味想定しているアクターにはどんなものがあるのかなと。

これは過去に私が確認したものですと、7例ありました。その事例をちょっと並べさせていただくと、アクターというかたちで言うと6つなんですね。「APT40」だけ2回あったので、アトリビューション例としては7例なんですが、6つのアクターになります。

ひと目見てわかるとおり、中国と北朝鮮に、それぞれ関連あるいは帰属が強く疑われるアクターが並んでおりまして。ただ、最近こそ注意喚起とか、私たちが実際に目にする機会が増えるというかたちでやられてはいるんですけれども。

最初の2017年とか2018年、「WannaCry」の時に関しては談話みたいなかたちで、実際に気をつけるというところまでのアクションにつながるかが若干微妙なかたちではあったんですけども。

おそらく日本も初めてに近いかたちでやられているところもあり、恐る恐るやったんだろうなとは思いつつ、2017年からこういったかたちでアトリビューションをやっています。

米国では攻撃に関与した人物を起訴するケースも

piyokango：ただ、先ほども言ったとおり、公表の形態が1つにまとまっているようなものではないです。アメリカですと、実際にこういったアクターに関与している人たちを特定して、起訴するなんていうケースもあったりはするんですけども。

日本はそこまではいってなくて。関係している人物を書類送検ぐらいはしていたとは思うんですけども、アクターが行っていた行為やキャンペーンに対しての談話や注意喚起（が主です）。

あとは、これも最近多いんですが、他の国と一緒に共同署名をするようなかたちですね。名を連ねて間接的に名指しする、パブリックアトリビューションを行っているケースがけっこう見られたなと。

ただちょっと微妙だなと思うのは、呼び方がけっこうさまざまで。「中国を拠点とする」とか、「どこそこを背景に持つ」というのは、読み手はどう解釈したらいいのかがなかなか難しい。意図してやっているのかどうかは、なんともわからない感じではあるんですけど。

そういったケースが多々あるんですが、せめてここに挙がっている名前ぐらいは、実際にどういった手口を行っているグループなのかとか、どういう分野をターゲットにしているかといったところは当然知っておいたほうがいいかなとは思っていて。「Tick」とか「BlackTech」は、たぶん新聞でもそのまま名前が載ったりすることも。

寺岡：けっこう大きく扱われましたね。

piyokango：はい、ありますよね。つい先日も報道がありましたけども、これはJAXAでしたっけ。

寺岡：ええ。この収録の2〜3日前に朝日新聞が（記事を）書いています。

国から声明が出た時は、「なぜ今なのか」に着目する

piyokango：やはりこういった事案は1回限りではなくて、ずっと続いているところがあります。これを読んでもらうとわかるんですけど、注意喚起もわりと当たり前のことしか書いてないところがあって、実際に何かしようというところへの結び付けが難しいところはめちゃくちゃあるんですけど。

ただ、「なんでこのタイミングで、このアクター、このグループが名指しされたのか」という経緯や背景は、やはり十分に理解してもらったほうがいいなとは思っています。本当に手口も、「フィッシング」とか「脆弱性を使った」とか、言葉尻だけ見れば「またか」と取られかねないんですけども、使い方・やり方は日々進化しているので。

私たち側が取っている対策は、実はすでにこういったアクターが行っている攻撃に対して、十分に有効とならない可能性もあるので、「なんでこのタイミングで出たのかな？」というのは、流し読みだけせずにしっかり見て（いただきたいです）。

特に事案とだいたいセットで名指しされることがあるので、どういった事案とセットで行われているのか。JAXAやさまざまな日本のIT事業者など、いろいろなケースがあるんですけども、そういったところは見ていったほうがいいなと思いましたので、今回ちょっと取り上げさせていただいた感じです。

日米に見られる、パブリックアトリビューションの相違点

寺岡：ありがとうございます。今触れていただきましたけども、「どういうふうに企業が使うか」というところですね。実を言うと、私もちょうど少し前に、日本と英国と米国のパブリックアトリビューションを5年間ぐらい遡って、全部いちいち見るという仕事をしていたんですけど。

piyokango：すばらしいですね。

寺岡：一番大きく違うなと思ったのが、日本はいわゆるIoC（Indicator of Compromise：システムやネットワークに侵害や攻撃があった際に残されるデータ）を1件も公開してないんですよね。

IPアドレスなどが（損害）指標になるので、例えばSIEM（セキュリティ機器などのログデータを収集し、リアルタイムで脅威を自動で検出、通知するセキュリティ管理システム）に入れたら検知ができますよというものを、日本は1つも利用している案件がなくて。

実を言うと、警察庁の人とかにも「なんでですか？」と聞いたんですけど、よくわからない答えが返ってきちゃいまして。そういう意味で、まだ日本のパブリックアトリビューションには、わかりやすい自分たちの防御の活かし方というものがないなという認識でいます。

もちろん先ほど言ったとおり、抑止が第1目的なので、必ずしも注意喚起が第1目的ではないのかもしれないんですけど、企業側として日本のパブリックアトリビューションのどこに着目すればわかりやすいですかね？　IoCを公開してくれるほうがいいのかもしれないですけど、それが駄目だった場合、どこに着目するとわかりやすいですかね？

日頃からセキュリティ事故に関する情報を見ておく必要性

piyokango：やはり日本が（パブリックアトリビューションを）行っているので、どうしても政治的要素が切っても切れない関係になると、やはり「なんでこれが出たのか？」というところを気にする必要はあるんですが。

一方で、寺岡さんがおっしゃっていたように、結局出ている注意喚起を、私たち自身が具体的にどうやって対策に活かすんだというところに落とし込もうとすると、どうしてもそこの情報がすっぽり抜けちゃうのが実際のところではあるので。

先ほどもお話ししたんですけども、具体的な事例が出てきた時に、やはりこれ（なぜ出たのか）をセットにして見ていかないといけないなと。この手の話は、どうしても時間軸ではきれいにつながってなくて、やはり「インシデントが起きました」というのからしばらく経ってから、こういうアトリビューションをされます。

寺岡：そうですね、どうしてもタイムラグは（ありますね）。

piyokango：どうしてもあるので、やはり急に脅威アクターの名前が出てきた時に、「これ、何だっけ？」というところから入ってしまうと、実際に対策・対応しようとすると「これに関連した事案は何だっけ？」というふうに、どんどん遡ることになります。また、遡ろうとしても当時の情報がないことがけっこうあります。

やはりインシデントというかたちで公開されている情報を常々整理しつつ、脅威アクターやアトリビューションの情報が出た時には、そのへんの話がうまくつながるところがないかを見ていっていただく。実際に企業側のサイバーセキュリティに対応されている方からすると、やはりそういったことが必要となってきてしまっているのかなとは思いますね。

民間企業の自助努力によるセキュリティ対策の課題

寺岡：そうですね。そういえば、IoCもなかったんですけど、MITRE ATT&CK（攻撃者の行動を理解するため）のフレームワークも、英米はけっこうあるのに日本だけないというのもありました。

いわゆる攻撃手法のナンバリングみたいなものもなかったので、「もうちょっと情報を出さないんですかね？」と、この間NISC（内閣サイバーセキュリティセンター）の人たちにもチクリと言ってきましたが（笑）。すみません、大佐さん、さえぎっちゃいました。

大佐：いえいえ。あんまり政府を頼りにしないほうがいいですよ。

寺岡：そうですか（笑）。

大佐：というよりは、顧問弁護士みたいな感じで、お抱えのセキュリティ企業を。いつでも相談できる窓口や専門家を抱えているところに専門的なアドバイスを求められるように、ちゃんと顧問契約を結んでおいたほうがいいと思います。それこそ網屋さんとかね（笑）。

脅威インテリジェンスといっても、結局APT（標的に対して継続的かつ長期間にわたって検知されない攻撃）にしろ、他のめいめいにしろ、いろんな犯罪集団がタケノコのように出てくるので。

ある程度のモニタリングや脅威の認識は、情シス部門や経営者は絶対にしないといけないんですけれど。商売をやっているイチ民間企業が、自分たちの自助努力でそうした能力を有することが、果たして経営指標的に正しいのかと言われると、わりと懐疑的です。

それよりも、経営層に向けてという意味合いでいけば、専門家といつでもコミュニケーションを取れたり、定期的に情報交換を行う体制を作ることのほうが、政府発表を待って、自分たちで内助努力するよりも効果的なんじゃないかと感じますけどね。

セキュリティ対策を内製化するか・外部委託するかの判断基準

寺岡：そういう意味ですと、どうでしょう。私も自前の脅威インテリジェンスチームを持っている企業さんってもちろんいくつか知っていますけど、やはり超大手企業で、しかもけっこうなインフラ系の企業というイメージがあって。

現状、自前でやらなきゃいけないところと、今言ったようにアドホック的に相談できるところがあればいいレベルは、どこらへんで決まるものですかね？

大佐：うーん、まず実際に自分たちのところで抱えている情報資産の算定を行ったほうがいいと思いますね。いわゆる顧客情報1つがいくらというのも分類が細かくありますし、それ自体が漏洩するといくらという副次被害の計算式もあるんですけれど。

自分たちの持っている情報資産を守るために必要な体制として、「人件費をかけて内製化して、それに対応することがコスパがいい」と考えられるくらい情報資産を持っている大企業は内製すべきですし。

「外出しでコスパが合うよね」というところは、ある意味、外部委託で補助を行うのが経営指標的にプラスであるという。そこはシンプルにコスパで分けちゃえばいいんだろうとは思うんですが、まず一番最初に考えるべきは、自分たちが保有している情報資産。

情報資産はもちろん多岐にわたっていて、金銭的な情報や認証情報、個人情報などが含まれますが、まず情報資産の価値を試算するところから、各企業がやるべきだとは思いますね。

それさえ決まってしまえば、計算式は複数あるので、一概に「これだけ」という方程式というのはないんです。それは特許の価値を決めるのと近かったりするので何ともですが。

自分たちの保有している情報の価値。ないしは漏洩した時の被害から逆算した、想定被害に基づく情報資産の価値みたいなところで、どれぐらいのコストをかけてそれらの情報資産を守るのかというところで、シンプルに考えればいいんじゃないかなと思います。

寺岡：ありがとうございます。

大佐：私見ですが（笑）。

寺岡：（笑）。いや、いろいろな背景のある正しい私見だと思うので。

大佐：たぶんけっこう正しいことを言っている気がするんやけど、っていう。

イランやロシアからのサイバー攻撃への声明は？

寺岡：（笑）。あと、ごめんなさい、あえてちょっと素人質問といいますか。やはりこういったパブリックアトリビューションで言いますと、いわゆる「usual suspects」といいますか。中国、北朝鮮と、あともう2つ。やはり他の西洋諸国だと、イランとロシアが出てくると思うんですけど。

現状日本は、この2つに関してはあまり何も出してないと思うんですけど、お二人はどのように捉えていらっしゃいますか？

piyokango：私からですかね。実際に攻撃に遭っているかどうかという意味では……。

寺岡：まずそこですよね。

piyokango：当然遭ってはいるとは思うんですけども、今回はだいぶ格式が高いというか、国が実際に名指しをするような状況ではあるので、そのレベルまで至るような情報が（あるのかどうか）。

先ほど、大佐さんから「政府は頼りない」みたいな話もあったんですけど、もしかすると、政府側ではっきりと言及できるような情報の分析がまだ足りていないところがあるのかもしれないなと。実際、イランは何とも言えないですけど、ロシアに関しては本当に日本をターゲットにしたキャンペーンというのは（ありました）。

寺岡：そうですね。民間レベルだと。

piyokango：ベンダーのレポートを見ていると、実際にあるところではあるので、ここに入っていてもいいぐらいではあるんですけど。勝手な想像ではあるんですが、そういう状況なのかなと思います。

寺岡：なるほど。

企業にとっては、国に情報共有するメリットがない状態

大佐：（企業にとっては）被害に遭ったところで、それをパブリックに共有するメリットがないんですよね。

piyokango：そうですね。

大佐：強い政府でもないというところはそうですし、「じゃあNISCに共有したから何かやってくれるの？」と。

寺岡：（笑）。

piyokango：そうそう、何かやってくれるのかという。下手をしたら逆に報告事項みたいな仕事が増えてしまうんじゃないかとか。

寺岡：今、サイバー安全保障に関する専門家委員会をやっていますけど、そこはたぶん非常に重要なテーマの1つになっているという理解ですね。そもそもインセンティブがないじゃないかという。

大佐：そうです。民から徴収する手法って、恩賞か懲罰以外にないと思うんですよ。

寺岡：そうですね。でも、重要インフラに関しては義務化すると言っていますからね。

大佐：そうです。この後にも話しますが、内閣府で重要インフラに関する行動指針自体は6月にも出ているんです。そこ単体というよりは、例えばイギリスにしろ、アメリカの各州ごとに違いますが、そういった罰則規定が存在していたり、いわゆる情報の共有をしないことに対する罰則規定があったりですとか。

逆に共有したのであれば、何かしらのメリットを準備する。どちらかの手法もしくは両方でもって吸い上げを行わないと、政府として動くのはかなり難しい部分じゃないかなとは思います。

情報を公表すると被害者が叩かれる文化

寺岡：正直に言うと、私はマスコミは大いに反省しなきゃいけないなと思っていまして。やはり被害者を叩く文化というのがいまだに多いんですよね。本当に憎むべきは犯人でしょうという、基礎的なところがあんまりちゃんと浸透していなくて。

実はこの間、某被害を受けた方と某政府側の方が会話をしている場に立ち会うことがあったんです。政府側の人は、「あなたたちが事件のことをもうちょっと公の場で話してくれると、すごくみなさんの勉強になるので」と言ったんですけど、被害者側は「私たちに何のメリットがあるんですか？　言ったところで、またマスコミに叩かれるじゃないですか」とおっしゃっていて、それは……。

大佐：懲罰部分は一応、構造上は存在しています。例えば、取締役の善管注意義務みたいなものは存在するんですよ。いわゆるサイバー体制の構築に関わった取締役は、任務懈怠に基づく損害賠償請求の対象となるというのは内閣府も発表しているので。

寺岡：方針、ガイドラインですね。ありますね。ただ、日本だと実際に裁判は起きてないですよね。

大佐：そうそう、そもそも株主代表訴訟自体が起きづらい構造にあるので。ベネッセ以来ぐらいじゃないですか？

piyokango：確かにね（笑）。

寺岡：アメリカだと、裁判どころか逮捕されますからね。

大佐：秒で株主代表訴訟が起きるので。いわゆる株主代表訴訟用のファンドみたいなものが出てきたら変わるんでしょうけどね。

寺岡：（笑）。そこを厳しく見る。

大佐：被害が出てから6ヶ月経てば、株主代表訴訟を最低単元株数からでも行えるので、それでいわゆる空売りをかけるような。中国のマディ・ウォーターズみたいな会社ですね。

いわゆる探偵を行って、粉飾決算を見つけてレポートを出して、株価が下がるから、株ショートから売りをかける中国の企業があったりするんですが。それが日本でも出てきたら、株主代表訴訟がめっちゃ起きるようになるかもしれないですね。すみません、脱線しました。

寺岡：お二人ともどうもありがとうございます。