米国政府が、サイバー攻撃者に対する「逆ハッキング」を企業に認めることを検討しています。ACDC（Active Cyber Defense Certainty Act）は、サイバー攻撃への報復を目的とする限定的な攻撃を認める、Computer Fraud and Abuse Act（コンピュータ不正行為防止法）の改正案です。この改正案の全文は、PDF でオンライン公開されています。英国 The Register 誌の記事で紹介されているいくつかの意見からもわかるように、この改正案については、その主旨と効果を疑問視する声が多く、我々も検討すべき、次のような問題があるようです。

なぜ、企業に逆ハッキングを許可するのか

逆ハッキングが有効な手段であるとされるのには、いくつかの理由があります。1 点目として、どの国の政府も海外に住む多くのサイバー攻撃者を逮捕することはできず、そう考えると、警察ができることはそれほど多くありません。場合によっては、ハッカーが休暇で移動するのを待って逮捕することになりますが、海外で活動するサイバー犯罪者が旅行する可能性は高くないでしょう。さらには、警察がプライベートネットワークを監視して攻撃を止めさせようとすると、それを国家権力によるスパイ行為だと糾弾する市民もいます。

逆ハッキングの有効性を示す、いくつの実例もあります。Brian Krebs 氏著「Spam Nation」では、海外の組織化されたスパム犯罪集団が疑いを持たない多数の組織のコンピュータを感染させて、そこから不特定多数に大量の迷惑メールを送信していた例が紹介されています。私も、2005 年頃に 1 日のスパムメッセージが 900 件を超えたために、すべてのメールのヘッダを調べてスパムの発信元を調べてみたことがあります。驚いたことに、それらの電子メールが Microsoft や HP がホスティングしているサーバや大手マネージドホスティング会社を利用している多数の小規模企業から送られてきていることがわかりました。

Blue Frog という会社が、スパムメッセージを受信するたびに発信元のサーバに返信メールを送るスパム対策サービスを始めたことがあります。大量の返信メールの送信が一種の DDoS 攻撃となって、スパムサーバの速度が低下し、結果として、スパムを送信する速度が低下して、スパムサーバとしての役割を果たさなくなるというものでした。サーバの速度が低下し、問題が解決したのであれば、このサービスは成功したことになりますが、果たして、その結果はどうだったのでしょうか。しばらくは効果がありましたが、その後の経緯については、前述の本でご確認ください。

逆ハッキングによって、どのような問題が発生する可能性があるのか

私は以前より、テスト用ネットワークを使って、ブロックされたポートにアクセスしようとする IP アドレスの調査を続けており、先日も、自分が用意したファイウォールにアクセスを試行した 500 個の IP のリストを公開しました。以前のブログ記事でご紹介しましたが、トラフィックの送信元を調べてみたところ、トラフィックの大部分が家庭のネットワークから発信されたもののようでした。以下のツイートでも言及されているように、他のセキュリティ研究者もこれと同じことに気付いているようです。

Krebs 氏の本で紹介されているいくつかの悪名高いネットワークからの攻撃もありましたが、それらのトラフィックのかなりの部分が、ハッキングされたルータや、一般ユーザの家庭用ネットワークあるいは ISP が提供する家庭用インターネットサービスに含まれる ISP デバイスが送信元であると思われるものでした。関係するマシンのほとんどで間違いなくマルウェアが動作しているはずですが、そのようなマシンの持ち主は、自分のシステムが不正活動に加担していることに気付いていません。

事実、一般ユーザや商用の IP アドレスを使用すると謳うプロキシサービスや VPN サービスをオンライン販売する人もいます。そういったサービスの 1 つをリツイートしたところ、その Twitter アカウントからブロックされてしまった経験がありますが、Twitter で家庭用のプロキシや家庭用の IP といった条件で検索すれば、これに類似するサービスが見つかります。

おそらくは、家庭用の IP アドレスの所有者は、このようなネットワークの一部になることに同意しておらず、その事実にも気付いていないはずです。これらのプロキシ IP アドレスによって、攻撃者は、サービスを使用し、攻撃を実際に実行する IP アドレスを隠匿することができます。「Security for Complex Networks on AWS」というプレゼンテーションで、私は、プロキシの仕組みを紹介しましたが、これについては、今後の記事で詳しく説明する予定です。

たとえば、ある企業の誰かがこれらのデバイスすべてを「逆ハッキング」するスクリプトを書いたら、どうなるでしょうか。何も知らない一般ユーザは、インターネットの速度が低下したり、動作しなくなったりするという影響を受けることになるでしょう。米国内のインターネットの速度が低下したり、使えなくなったりする恐れもあります。この改正案は、報復の範囲を米国内に制限しているため、報復を仕掛ける側が自らの行動を正しく理解しなければ、国中を巻き込む DDoS 攻撃に加担することになる恐れがあります。改正案にはいくつかの制限が設けられていますが、何らかの被害を伴う可能性があります。

企業が自らのネットワークを保護できないのであれば、報復として他のネットワークを攻撃することにどれほどの価値があるのでしょうか。

ネットワーク保護という異なるアプローチ

これらの記事で概説している方法でトラフィックログを監視し、不正ネットワークをブロックするルールを作成してみることで、実際の課題や問題がすぐに明らかになります。悪意ある送信元からのトラフィックを回避するのは時間のかかる作業ですが、すべてのトラフィックの送信元、すなわち、多数のユーザのコンピュータやデバイスに存在するボットネットやマルウェアが問題の根源であることが理解されるようになれば、生産的な会話を始めることができます。

たとえば、ネットワークトラフィックのパターンや不正侵入の報告に基づいてデバイスでマルウェアが動作していることを顧客に知らせるサービスを ISP が提供できないでしょうか。あるいは、ISP や政府機関が、他人の IP アドレスを許可なく使用するプロキシ、VPN、DDoS サービスを停止できるでしょうか。IoT デバイスの製造元が、自社製品のセキュリティ強化に取り組むようになるかもしれません。

攻撃者は、他人のコンピュータ、デバイス、ネットワークを使って悪事を働きます。私自身、この問題に対するすべての答えを持ち合わせているわけではありませんが、問題の本質を理解し、それを食い止めるためには、さまざまな知識を活用する必要があると考えます。私が公開した 500 件の不正 IP アドレス、不正トラフィックを継続的に発生させているネットワーク、ウォッチガードが四半期ごとに公開しているセキュリティレポートなどの情報が、セキュリティ問題の根源を明らかにし、インテリジェンスに基づくソリューションによって問題を解決するのに役立つはずです。— Teri Radichel（@teriradichel）