もしあなたのコンピュータがハッキングされたら、デール・ドリューは実際にそれについて何か知っているかもしれません。
彼は、大手インターネットバックボーンプロバイダーであるLevel 3 CommunicationsのCSO(最高セキュリティ責任者)です。同社はネットワークレベルでのサイバー攻撃を常に監視しています。同社は世界中で1億5000万以上のIPアドレスを悪意のある活動に関連付けています。
つまり、これらすべての IP アドレスの背後には、分散型サービス拒否攻撃、電子メール スパム、または企業サーバーへの侵入に関与している可能性のあるコンピューターがある、とドリュー氏は述べた。
ハッカーはこれらのコンピューターを乗っ取って「インターネットに危害を加える」ことに成功しているが、所有者は必ずしもそのことに気づいているとは限らないとドリュー氏は述べた。
Level 3 の追跡機能は、インターネット サービス プロバイダーがインターネット上の悪意のあるアクティビティのパターンを見つけ出し、サイバー犯罪に使用されている IP アドレスを正確に特定する方法を明らかにします。
さらに極端なケースでは、レベル 3 は本質的に悪質なトラフィックをブロックして被害者を苦しめる可能性があり、ハッカーの攻撃を効果的に停止または妨害する可能性があります。
では、なぜISPはサイバー犯罪の取り締まりを強化しないのでしょうか?問題は、ISPが通常のインターネットトラフィックと悪意のあるトラフィックを区別する能力には限界があり、適切な対応策を見つけることが、新たな問題を引き起こす可能性があることです。
悪意のあるパターン
レベル3は、1億7800万件のIPアドレス(そのほとんどが静的IPアドレス)のデータベースを構築し、悪意のある活動の疑いがあるものと関連付けています。ドリュー氏によると、これは「既知の正常な」インターネットトラフィックから逸脱するパターンを特定することで実現しています。彼はそれを郵便局の運営に例えました。レベル3はインターネットトラフィックの内容や通過する「封筒」を検査しているわけではありませんが、誰が何を誰に送信しているかは把握しています。
例えば、「このユーザーはXさんから赤い封筒を受け取るたびに、スパムだと文句を言います」とドリュー氏は言います。「ですから、その行動からヒューリスティックを構築していくことができます。」
不正な行動パターンは、Level 3が不審なトラフィックを識別するアルゴリズムを構築する上で役立っています。同社が追跡している数百万のIPアドレスのうち、60%はボットネット、つまりDDoS攻撃に利用可能な感染コンピューターの集団に関連している可能性が高いです。
Level 3 では、さらに 22 パーセントが電子メール フィッシング キャンペーンに関連しているとしています。
レベル3がなぜこれらのIPアドレスをインターネットからブロックしないのかと疑問に思う人もいるかもしれません。しかし、それは問題になりかねません。ハッキングされたコンピューターのユーザーは、自分のマシンが侵害されていることに気づいていないことが多く、それらのマシンの一部が合法的な金融取引などの重要な目的にも使用されているかどうかが不明瞭な場合があります。
ドリュー氏は、これらの機械をブロックすれば、数百万ドル相当の取引が停止される可能性があると述べた。
レベル3 Level 3 の最高セキュリティ責任者、デール・ドリュー氏。
代わりに、同社はこれらのIPアドレスをユーザーに通知しようと試みます。多くの場合、企業は迅速に対応できるとドリュー氏は言います。しかし、一般消費者の場合、個人とIPアドレスを結び付ける電話帳は存在しません。そのため、Level 3はユーザーに連絡を取るためにホスティングプロバイダーと協力する必要があります。
限界に立ち向かう
全体的に見て、これは困難な戦いになりかねません。「修復したIPアドレスごとに、侵害されるIPアドレスが増えています」とドリュー氏は言います。
ヨーロッパを含む他のISPも、顧客のマシンが感染している可能性がある場合に通知を行っている。これは長年行われてきた慣行だが、感染したコンピュータをユーザーに修復してもらうのは必ずしも容易ではないと、ケンブリッジ大学のセキュリティ研究者で同大学のクラウドサイバー犯罪センター所長であるリチャード・クレイトン氏は述べている。
ISPがユーザーに警告メッセージを送ったとしても、その後どうなるのでしょうか? クレイトン氏は、「すべてのPCユーザーがマルウェア感染の解決方法を知っているわけではない」と述べています。ISPにとっては、コストの問題にもなり得ます。
「もちろん、ISPには協力してもらいたいですが、彼らは競争の激しい市場に身を置いています」と彼は述べた。「彼らは可能な限りコスト削減に努めており、顧客と話し合い、メッセージを伝えるのは容易なことではありません。」
さらに、ISPは悪意のあるサイバー攻撃をすべて特定できるわけではない。ほとんどのハッキング攻撃は通常のトラフィックを装っており、ISPの検出方法でさえ時折エラーが発生することがあるとクレイトン氏は述べた。
「学術論文で99%の検出率を謳うなら、それは素晴らしいように聞こえる」と彼は言った。「しかし、それはつまり100回に1回は明らかに間違っているということを意味するのだ。」
魔法の弾丸はない
そのため、ハッカーの疑いのある人物を排除するには、脅威を徹底的に調査し、その実在性を確認した法執行機関とセキュリティ研究者による共同行動が通常必要となります。政府やISPも、ユーザーにPCを効果的にクリーンアップする方法を教えるウェブサイトやサービスの作成に関与するようになりました。
ウイルス対策ベンダーのトレンドマイクロの最高サイバーセキュリティ責任者、エド・カブレラ氏は、ISPにとってこれは難しい綱渡りだと語る。「ISPは多くの検知を非常に簡単に行える。しかし、ブロッキングに関しては責任を負いたがらない」
サイバー犯罪者も常に手口を巧妙化しており、検知が困難になっています。「この問題は白か黒かで判断できるものではありません」とカブレラ氏は言います。「ISPの対策が不十分だとすぐに言われますが、多くの場合、それは不公平だと思います。」
Level 3のドリュー氏は、世界のサイバーセキュリティ問題は魔法の弾丸で解決できると考えるのは魅力的だと述べた。しかし今のところ、インターネットをクリーンアップし、今日のデバイスを保護するには、ISP、政府、企業、そして消費者の共同の努力が必要だ。
「たとえ、悪質で醜悪なトラフィックを分析するための徹底的な技術を導入できたとしても、感染したデバイスを修復することはできません」とドリュー氏は述べた。「エンドユーザーには、デバイスに適切なパッチを適用する役割が依然として残っています。」
同氏はまた、すべての ISP に対し、Level 3 のアプローチを採用し、顧客のコンピュータがハッカーに乗っ取られたときには顧客に通知するよう奨励している。
もっと多くのISPがこれを実行すれば、「影響が出るかもしれない」とドリュー氏は語った。
