激化するサイバー戦「ハッカー視点」で攻撃を予知

取材 : 上阪 徹  /  編集 : 丸山香奈枝

『007』や『ミッション:インポッシブル』といったスパイ映画の話ではない。

ハッカー集団が暗躍するディープウェブ・ダークウェブ上に点在する28万件以上の膨大なデータソースから、リアルタイムに情報を収集・解析し、顧客企業に提供する会社が実在する。その会社とは、サイバー脅威インテリジェンスのリーディングカンパニーである、サイファーマ株式会社だ。

国家的なスポーツイベントを控えている日本では、企業や組織、重要インフラを標的としたサイバー攻撃がさらに増加すると予想(※公安調査庁より)される。こうした状況の中、我々はどのような脅威にさらされ、日本はいま何が起きているのか、代表取締役の中江剛介氏にお伺いした。

ハッカー集団の成長速度は脅威的

顧客情報の漏洩、機密情報の流出……。サイバーセキュリティに関わるニュースが、報じられると、多くの企業はその対策としてエンドポイント管理ツールを入れたり、ファイアウォールを構築したり、ネットワーク監視サービスを導入するなどの対策をするが、実はこれはやってもやっても際限がない、と中江氏は語る。

中江:「それは言ってみれば、要塞化なんですね。自分たちのネットワークをどんどん堅牢にしていく。お堀を掘ったり、石垣を高くするのと同じことです。ところが、サイバー攻撃やサイバー犯罪の技術はどんどん進んでいるんです」

それこそ、お堀や石垣を作ったのに空からドローンが飛んでくるようなことが起こりうるのである。

中江:「では、いつ、誰が、何を目的に、どこから攻撃を仕掛けてくるのか。それが少しでも先回りしてわかれば、もっと効率的かつ効果的に防御を固めることができるのではないか。サイバー犯罪者やハッカー集団の動きを事前に察知して、攻撃を予知できたらいいのではないか。そうした情報を脅威インテリジェンス情報として提供しているのが、私たちサイファーマなんです」

過去にどんな攻撃があったか。最近はどんな攻撃が流行っているか。こんな新しいウイルスが広がっている……。こうした既知の情報を知っておくことも大事だが、ハッカーの手口はどんどん進化しているのだという。

中江:「つい最近あった手口と、同じ手口でやられるとは限りません。ひょっとしたら、自分の会社が新しい手口の最初の標的になってしまうかもしれない。過去の事例を材料としたインテリジェンス情報ではなく、検知した予兆に基づく予知型の脅威インテリジェンス情報を提供していることが、サイファーマの大きな特徴です」

創業者は元英国諜報部員、サイバーテロ対策のプロフェッショナル

サイファーマの特徴の一つは、ハッカーの動きを事前に予知して知らせることだ。では、なぜ、そんなことができるのか。

中江:「今のハッカーは、集団でチームを組んで行動します。彼らはいろんなところで情報交換をしています。いわゆるダークウェブの中には、限られた人しか入れない招待制のクローズドなフォーラムやサイトがあるんです。そこでは犯罪情報が常にやりとりされています。その会話の内容をモニターする特殊な技術を私たちは開発しましたので、そこから情報を集めることができるのです」

これこそが、他のサイバー脅威インテリジェンス情報を提供する会社が真似することができない強みではないかと語る。

中江:「サイファーマの創業者のクマール・リテッシュは、英国の諜報機関でサイバー攻撃やサイバーテロ対策で活躍していたプロです。彼の持っていた技術がベースになっています」

創業者は英国の諜報機関で経験を積んだ後、オーストラリアの大手資源開発企業のCISO(チーフ・インフォメーション・セキュリティ・オフィサー)に就任。民間企業としても、政府の諜報機関が持っているような情報を活用することで情報セキュリティのレベルを高められると考え、このサービスを事業化したのだという。

中江:「ただ、“お客さまが狙われています”という情報は提供しますが、“どうやって守るのか”に関してはお客さま次第になります。言ってみれば、台風の予測を行う天気予報のようなものです。フィリピン沖で台風が発生し、北上している。日本のどこそこに上陸しそうだ。どのくらいの勢力で雨台風なのか風台風なのか、という予報は出しますが、屋根の養生をしたり、塀に板を打ったり、表の植木を取り込むのは、天気予報から得た危険レベルを認識したユーザー自身の判断に委ねられます」

サイファーマが行うのは、数万にもおよぶハッカー達のフォーラムや裏社会の人間が使うサイトにもぐりこんで情報を取ってくることなのだ。

中江:「複雑なのは、一つのサイトの中で情報がやりとりされているのではなく、いろんなサイトやフォーラムをホッピングしながら会話が行われていることです」

さらに、会話の中にはフェイクニュースやガセネタも含まれているという。こうした会話のデータを丹念に集め、マシンラーニング、AIでフィルタリングをかけ、情報として抽出した上澄みをつなぎ合わせて、全体の背景を含めたコンテキストを洗い出していく。顧客となる企業の名前や商品などをキーワードに、解析・分析を推し進めていくのである。

「脅威」とは国によって見え方が違うもの

サイファーマの何よりの特色は、日本をベースに事業を展開しているということだ。2017年の設立だが、顧客も日本企業に集中している。

中江:「外資からの出資を受けていますが、海外のベンチャーキャピタルの出資を受けて、シリコンバレーで起業して、うまくいったので日本に現地法人を作りました、というベンチャー企業ではありません。創業者はシンガポールに住んでいましたが、日本で事業をスタートさせるために、日本に引っ越して来ています。現在9割を超えるお客さまは日本企業です」

アメリカやイスラエルには、国の諜報機関の技術や経験をベースにしたサイバー脅威インテリジェンスを提供する会社はすでに存在する。

中江:「しかし、天気予報でいえば、メキシコ湾でハリケーンが発生したニュースは、日本人の生活にはあまり役には立たないわけです。このように脅威というのは、国によって見え方が変わってきます」

そして何より、これまで日本を中心に日本に特化したサイバー脅威インテリジェンスを提供している専業ベンダーがなかったことも大きい。

中江:「日本には世界的なリーディングカンパニーがたくさんあるにも関わらず、です。個人情報、技術情報など、ハッカーが狙いたい情報は、そこかしこにあります。また、国際的なイベントも控えていて、これもまたハッカーの標的になりやすい。そこで、この事業の出発点として日本を選んだのです」

サイファーマのウェブサイトにはサイバー犯罪の傾向と分析がレポートされている。2021年の「10大脅威予測」なんてものもある。

中江:「サイバー攻撃はさまざまな方向から、予期せぬ多彩なアプローチで攻めてきます。個人情報や財務情報を盗まれ、お金を払わないと公開するぞ、と脅す暴露型ランサムウェア攻撃。ネットワークに侵入してサーバーを停止させることで、業務を継続できなくするものもあります。標的型メール攻撃で詐取したID・パスワードを利用した攻撃も後を断ちません。」

社長になりすまして最高財務責任者に「秘密裏にお金を送れ」と緊急性を装って指令し犯人に送金させる手口もあるという。海外のハッカーの日本語レベルもどんどん上がっており、手口も巧妙化・多様化している。

リモートワークの拡大はリスクの温床になり得るのか

中江:「前述したようにサイバー犯罪や攻撃をより複雑化させている近年のトレンドとしては、ハッカー集団が協力、協働するようになっていることです。例えば、サイバー攻撃を仕掛けようとするときに、他国のハッカーにアウトソースします。これなら身元がわかりづらくなります。経済封鎖されている国や、外貨を稼げない国にとっては、これはビッグビジネスにつながります。大陸間弾道ミサイルを作るより、腕利きのハッカーを育成したほうがコストも安くて儲かります。そこでハッカー集団を作って、他国からの依頼で攻撃して成功報酬をもらうような動きがあるんです」

だからこそ攻撃はより複雑で高度化したものになる。

中江:「日本でサイバー攻撃に遭ったケースでは、被害に遭った企業はみな、それなりの防御をしているんです。でも、攻撃者は攻撃対象の情報をどんどん手に入れていきますから、やはり攻撃側が有利なんですね。そこで、できるだけ先回りして、脅威インテリジェンスを活用することで、未然に防御策を講じてほしいのです」

そして新型コロナウィルスが広がり、リモートワークが拡大したことで、リスクはこれまで以上に高まってきているという。

中江:「会社の中のシステムは閉じた形で管理監督されていましたが、コロナ感染拡大対策でリモートアクセスによる在宅勤務を導入した会社が少なくありません。しかも、常日頃からリモートアクセスを前提としたシステムを作っている会社ばかりではないため、急ごしらえでリモートアクセス対応に移行した結果、セキュリティまで手が回っていないことが多いのです。ハッカーはそこを見逃さず、攻撃してくるのです」

ネットワークやシステムのセキュリティホールとなる脆弱性見つけられてしまったり、フィッシングメールに引っかかってマルウェアを取り込んでしまったり。

中江:「私たちのモニタリング調査では、あるハッカー集団が日本のある企業に対して偵察活動を行った、といった情報も入ってきます。あの会社のサーバーにはセキュリティホールがあった、などという情報がやりとりされていたりもします」

実際、驚くべきことに日本の企業が海外にある現地法人が管理するサーバーのセキュリティホールから侵入され、当該企業のシステムの中を横移動し、日本にある本社が管理するサーバーから情報を窃取されるという被害に遭ったケースもあるという。

中江:「お客さまに関連するキーワードをベースに、ハッカー目線で攻撃予兆につながる情報を探り出すことができれば、早期警戒情報を出すことが可能になります」

ネットに一歩足を踏み入れれば紛争地帯を丸腰で歩いているようなもの

中江氏は2019年11月にサイファーマに入社。それまでは三菱商事に36年間勤務し、長く情報産業系の仕事に携わってきた。

中江:「シリコンバレーに2度、駐在していますし、ITやネットワーク、通信などの業界で育ってきました。中でも情報セキュリティ関連には10年近く携わってきました」

こうした中でサイファーマの創業者と出会い、一緒に仕事をすることを決めた。

中江:「長く情報セキュリティの仕事をしていましたし、日本という国がこの問題にきちんと向き合うための解決策を提示することができれば、日本の国のためにもなります。日本企業の活躍や世界の発展にも多少なりとも寄与できたら素晴らしいことだと思いました」

日本は世界的にみても治安が良く安全な国だが、それが盲点にもなっているという。

中江:「インターネットの世界は、ネットワークにつながった瞬間にどこにでも行けてしまうし、存在できてしまいます。それこそ、中近東の紛争地帯を丸腰で歩いているような状況にもなりかねないわけです。しかも、そこで被害に遭っても日本の警察は助けてくれません。インターネットの世界に入った瞬間に、国が守ってくれる世界ではなくなります。自分で考え行動しないといけなくなります。これは企業にも同じことがいえます」

社員数は世界に約50名。日本、シンガポール、インドに拠点を持つ。解析・分析はインドのバンガロールを中心に行っている。

中江:「経済産業省によれば、日本のセキュリティ人材は20万人規模で不足しています。優秀な人材がいても報酬は高額。そこで、解析する部隊はインドに置いています。実のところ、ネットワークにつながっていれば、世界のどこからでもアクセスできますので」

日本は営業とユーザーサポートを中心にスタッフが約10名。Global Business Hub Tokyo(GBHT)は、何より立地の良さ、そして環境の良さが魅力だという。

中江:「小さなスタートアップです。会議室のような100%使っていないスペースを確保するのは、なかなか難しいですよね。ましてや、卓球台を置くスペースなんて作れるはずがない(笑)。共有スペースもゆったりしていて、会議室も大中小織り交ぜてありますし、アメニティも充実していますね」

そしてハード的なものに加え、ソフト面でも満足度が高いと語る。

中江:「受付の方の対応もそうですが、スタッフみなさんのホスピタリティが素晴らしいんです。気配り、笑顔、心遣い。心地良く、仕事させていただいています。あ、もちろんセキュリティも万全です」

サイバー被害は今、明らかに増えているという。

中江:「大きな心配は、日本の進んだ技術が盗まれないかということです。窃取した技術を競争相手の企業が入手すれば、研究開発費をかけずに日本企業並みの質の高い製品が作れてしまう。こんなことは許されません。より一層、日本企業のお役に立てるよう、事業を推し進めていきたいと考えています」

国によって脅威の見え方が違うのであれば、我々は「視座」を変えて対抗していくしかない。

撮影 : 刑部友康