Hacker's Profiling Projectの内情

Federico-Biancuzzi(2006年11月3日(金))
シェア
侵入の被害に遭ったマシンに残された痕跡に基づき、攻撃者の次の一手を先読みできたらどうなるだろうか。これこそHacker’s Profiling Project(HPP)が目標とする、侵入者の残したデータ(ログやrootkit、何らかのコード)に対するさまざまな視点からの解析を可能にしようとするオープンな方法論であり、攻撃者のタイプ、ひいてはその手口や攻撃対象の候補を明らかにするプロファイリング手順を解析者に提供するものだ。

我々はこのプロジェクトについて共同設立者のStefania Ducci氏に話を伺った。彼女は国連地域間犯罪司法研究所(United Nations Interregional Crime and Justice Research Institute:UNICRI)に勤める犯罪学者でもある。2004年の半ば、Ducci氏はRaoul Chiesa氏と協力して後にHPPとなる取り組みに着手した。

NewsForge(以下、NF): Hacker’s Profiling Projectとは、どのようなものでしょうか。

Stefania Ducci氏(以下、SD): HPPは国際的な研究プログラムの1つであり、そのねらいは ― ログファイルまたはコンピュータフォレンジクス(コンピュータ犯罪の証拠保全)ダンプへの適用によって ― 攻撃を仕掛けてきた者のタイプを解析者が特定できるようにするオープンな方法論を生み出すことにあります。

ほとんどの研究は、コンピュータへの不正侵入の解析と技術的な解析かのどちらか一方だけに重点を置いて行われており、融合的なアプローチをとった例はこれまで見当たりませんでした。こうした背景から、私たちの研究プロジェクトでは侵入者の行為を明らかにし、情報技術(IT)/情報通信技術(ICT)による攻撃の根拠をもっと深く追求することに貢献して、その結果さらに効果的な対策を決定できるようにすることを目指しています。

この研究プロジェクトの新しい点は、複数の学問分野にまたがっていることです。HPPは、ハッカーをさまざまなタイプに分類することを目的として、犯罪学とICTセキュリティ科学を組み合わせています。ハッカーの分類では、手口(1人かグループか)、技術的スキル、動機、目的、攻撃対象、いわゆる「ハッカー倫理」へのこだわりの有無を考慮します。

簡単に言うと、HPPの活動範囲は次のようになります。

  • ハッキング現象の解析を、技術および犯罪学の各アプローチを通して、技術、社会、経済といったいくつかの側面で実施すること。
  • 種々の動機を理解し、関係者を特定すること。
  • 犯罪的行為の監視を「現場で」行うこと。
  • 収集したデータにプロファイリング手順を適用すること。
  • 得られた知見から学び、そうした知見を広く知らせること。
HPPは2004年9月に設立され、2006年6月にはISECOM(Institute for Security and Open Methodologies)の公式プロジェクトになりました。ISECOMというのは、ベンダー中立の立場をとるオープンソースの共同コミュニティです。

NF: なぜハッカーのプロファイルの調査や作成が必要なのですか。

SD: システムをより安全なものにするための対策を講じ、攻撃者をもっと迅速に特定するためです。どんな種類の攻撃を受ける可能性があるのか、どんなタイプの攻撃者が活動しているのかを攻撃対象となる側が意識していれば、システム管理者は起こり得る不正侵入のリスクを下げるために対策を打つことが可能になるわけです。

NF: このプロジェクトは、システム管理者がネットワークを守るにあたってどのような支援をしてくれますか。

SD: まず敵を知らなければ、自分の身を守る方法はわかりません。HPPは侵入に関する具体的で詳細なログやデータに根ざした攻撃者の実際のプロファイルを提供するので、このプロファイルがあれば、システム管理者はその攻撃者の目標や攻撃対象の候補に基づいてリソースをより効果的に利用できるようになります。

NF: HPPは具体的に何を最終成果としてもたらしてくれるのでしょうか。

SD: HPPが最終的な目標としているのは、ハッカーのプロファイリングを実施するための完成度が高く現実に即した方法論であり、またこれをGNU/FDLの下で公開することです。つまり、私たちの研究プロジェクトの終了時には、次のようなことが可能になります。侵入に関連した(できるだけ詳細な)ログが企業から送られて来ると ― まさにC.S.I.(Crime Scene Investigation)というテレビドラマの中で犯行現場から証拠をつかむように ― 私たちはその攻撃者のプロファイルを提供できるのです。私たちの言う「プロファイル」とは、たとえば攻撃者のスキル、想定される地理的な位置、手口の分析結果のほか、実行の現場に残された大小多くの痕跡のことを指します。

このプロファイルによって、私たちは新たな攻撃トレンドの監視と可能な範囲での予測を行い、急激かつ大幅な攻撃行為の変化を示して、最終的にはハッキングの世界の実像とその国際的状況を捉えることも可能になります。

NF: ハッカーがあなた方に協力する必要があるのはどうしてですか。

SD: この研究の目的が、ハッカーの日常的な生活を客観的に説明し、ハッキングの状況やデジタル世界の裏側をあまり知らない人々にマスメディアや個人の偏見の影響を排した明確な洞察を与え、ハッカーの世界にまつわるすべての固定概念を取り払うことにあるからです。

NF: プロファイリングの過程で必要なデータはどのようにして集めるのですか。

SD: 攻撃者のプロファイルの概要を捉えるのに役立つデータは、プロジェクトの3つの段階を通して収集されます。時期的に一部重複するところもありますが、こうした話題に関する既存文献の調査、アンケートの配布、そしてハニーネットの設置という流れになっています。

文献の調査はプロジェクト発足時から行っており、プロジェクト終了まで続ける予定です。この第1段階と並行して、現在進めているのがアンケートの作成と配布です。またハニーネットの設置により、ハニーネットのシステムに侵入しようとするハッカーの攻撃や動向に関する情報の登録および自動収集が可能になります。さまざまなタイプに分かれるハッカーの犯行プロファイルの作成は、アンケートを通じて収集されたデータ、ハニーネットからの入力情報、この手の話題を扱った文献で得られた情報の相関関係を分析した結果に基づいて行います。

NF: アンケートについてもう少し詳しく教えてもらえますか。

SD: このアンケートは3つのモジュールに分かれています。モジュールAは個人的なデータ(性別、年齢、社会的地位、家族構成、就学/仕事)についてのものです。モジュールBは交友関係のデータ(政府当局、指導者/従業員、友人/同僚、他のハッカーとの関係)を扱います。モジュールCは技術的および犯罪学的なデータ(攻撃対象、ハッキングの技法およびツール類、動機、倫理、自らの行為に対する違法性の認識、犯行歴、抑止策)を対象としています。また、すべての質問に匿名で回答できます。

Raoul Chiesa氏と私は、心理学者であるElisa Bortolani氏のありがたい支援を受けて、アンケートに2通りのパターンを用意しました。モジュールA、B、Cのすべての分野を必須とする「完全」版と、3つのモジュールから一部の分野だけを抽出した「コンパクト」版です。コンパクト版は、オンラインでの実施が可能です。一方の完全バージョンは、ハッカーの裏世界に属していると私たちが確認した人だけに配布されます。この完全版の対象グループは、コンパクト版に回答した人々に対する統制グループとして作用します。虚偽の回答を避けるために、私たちはアンケートで得られたデータと新世代のハニーネットを通じて得られたデータとの比較も行いますが、これにはアンケートから明らかになった単独ハッカーの類型パターンがその分類にふさわしい技術的な特徴、手口、スキル、ターゲット、動機を有しているかどうかを検証するねらいがあります。

このアンケートによって、仕事上の目的とは関係なく暇な時間にハッキングを行うハッカーたちのプロファイルが得られるはずです。サイバーウォーリア、産業スパイ、政府機関のエージェント、軍事ハッカーなど、職業柄ハッキングを実施する人々は、そうした活動には明らかに用心深さが求められることから、アンケートに回答することはないでしょう。したがってアンケートのこうした欠陥は、ハニーネットが生成するデータによって埋められることになります。

NF: これまでに収集されたデータを見て、どんなことが言えますか。

SD: 一般的に言って、ハッカーはたいてい聡明で想像力があり、意志の固い人物であることがわかっています。彼らは概して、市民の自由を脅かす権力や度量の狭さに対して怒りや抵抗を感じています。また、ハッキングは生活に目新しさを与え、自らに試練を課すための方法として、あるいは政治的および社会的問題についての一般大衆の意識を高める効果を持つ強力なツールとして認識されています。通常、ハッキングは知識を強く求める気持ちから行われます。とはいえ、私利の追求を目的として、フィッシング/ファーミング(自動的に偽サイトに誘導するオンライン詐欺)、カーディング(クレジットカード情報の売買)、産業スパイといった行為を働くハッカーも存在します。彼らが好んで攻撃する対象には、軍事関係および行政機関のシステムはもちろん、企業、電気通信業界の組織、学校、大学のシステムだけでなく、エンドユーザやSOHOも含まれます。

大半の(技術スキルの低い)ハッカーは侵入の困難なシステムを敬遠し、LinuxやWindowsのような「扱いやすい」OSを対象に選びます。反対に、レベルの高いハッカーは「侵入不可能」と考えられているシステム(*BSD、Solaris、HP/UX、VMS、IOS、Symbian)にしか興味を示しません。通常、彼らは自らの攻撃行為を、システムの適切な保護(または安全なプロトコルや標準企画の考案/定義)ができなかったとしてシステム管理者(またはソフトウェア開発者)のせいにします。

いわゆる「倫理的ハッカー」は、システム管理者に対してシステムの脆弱性や侵入事実の通知(またはセキュリティ欠陥の修正への協力)を行いますが、たいていはそれも裏世界のハッカーたちに触れ回った後のことです。また、倫理的ハッカーはシステムを破壊しないこと(破壊が起こるとすればそれは偶発的であり、経験不足によるもの)、またデータに対しては盗用、削除、修正のいずれも行わないことがわかりました。彼らの目的は、システムのセキュリティを向上させ、システム管理者の意識や関心を高めることなのです。

さらに、新しいタイプのハッカーの存在も明らかになりました。軍事ハッカーです。もともと彼らは、将来起こり得る情報戦に備えて軍の組織が長期的に雇用した選り抜きのハッカーたちです。

私たちのもとにどのようなアンケート結果が集まっているかを読者の皆さんに知ってもらうために、以下に回答済みのアンケートの一部を引用しましょう。

Q:ハッカーの倫理に従いますか? 従わない場合、その理由は何ですか?
A:自分の倫理観や自分で決めたルールには従うが、一般の倫理には従わない。他の人々が従うものには従いたくないのだ。倫理というのは規則や法律と同じで、誰かが一般の人々のために書いているものであり、たとえ公平で妥当なものに思えることがあっても、その甘く偽善的な言葉の裏には必ず個人の自由を奪う罠がある。自分は一般の倫理や法律による規則に従うような愚か者ではない。

Q:ご自身のハッキング/フリーキング(電話システムの悪用)行為をどのように認識していますか? 合法性や違法性の点ではどうでしょうか?
A:そうした用語に対して合法とか違法という捉え方はしていない。そういう捉え方をすると、自分とは相容れない人々と同じ見方をすることになってしまう。自分の場合、活動内容は合法的なものだ。

NF: このプロジェクトに取り組んでいるのはどんな人たちですか。また他の人々はどのような形であなた方に協力できますか。

SD: プロジェクトには技術者のグループがありますが、そこにはプロジェクトのWebサイト作成に貢献したAlessio Pennasilico氏のような人物もいます。

実行しなければならない仕事の膨大さを考慮して、私たちは協力者、特に犯罪学、社会学、心理学、情報技術の専門家を求めています。また、これまでは自前で資金を確保してきましたが、資金援助の申し出も受け付けています。

NewsForge.com 原文