第 28 回 ACFE 年次総会レポート(2 日目 昼食時講演(Working Lunch))

Eric O'Neill
「スパイは自分の住処から諜報活動をしている」

「ハッカーはもう存在しません。いるのはスパイだけです」と火曜日のワーキングランチの講演でサイバーセキュリティの専門家であるエリック・オニールは参加者に語った。「ハッキングは諜報活動が進化した必然の形です。我々がファイルキャビネットから情報を取り出して、それをデータベースにしたため、そして我々は迅速な情報伝達を望んで、それをインターネットに接続したために、自分自身を新しい諜報活動の危険にさらすことになったのです」

オニールは、諜報活動については少々詳しく知っている。2001 年に FBI の覆面捜査官、つまり「ゴースト」として働いているときに、何十年もの間ロシアのスパイとして活動していたベテランの FBI 捜査官であるロバート・ハンセン(Robert Hanssen)を捕らえるためのおとり捜査に従事していた。

 

FBI は本部に新しい部署を設立し、ハンセンを部長に任命し、オニールをアシスタントとして付けた。オニールは、FBI の執務室でハンセンのブリーフケースから彼のパームパイロット(Palm Pilot, 小型の情報端末機器)を持ち出し、別のフロアにある FBI の分析官にそれを届けた。彼らは直ちにそこから、ハンセンによるロシアへの情報の秘密の引渡しの情報を取り出し、オニールはパームパイロットをハンセンのブリーフケースに戻した。

オニールが、ハンセンを秘密裏に監視したことが、ハンセンの有罪と終身刑に繋がった。ライアン・フィリップとクリス・クーパーが出演した 2007 年の映画"Breach"(邦題「アメリカを売った男」)はこの話に基づいている。

 

オニールは、現在、ワシントン DC で、捜査セキュリティー・コンサルタント会社、ジョージタウン・グループ(The Georgetown Group)を経営し、マサチューセッツ州ウォルサムに所在するゼロ・ギャップ・エンドポイント・セキュリティー・プロテクション・ソフトウェアのプロバイダーであるカーボン・ブラック(Carbon Black)の国家安全保障戦略担当でもある。

オニールは参加者に問いかけた。「現在ビジネスで最もよく使われる情報伝達の手段は何でしょうか?」それは依然として電子メールであり、そこに現在進行形の問題が存在すると彼は述べた。

 

オニールは、参加者に向かって、かつてワシントンの政府職員をスパイとして雇おうとしていた GRU(旧ソ連の中央情報機関)が、彼らをサイバー諜報活動の訓練を受けたサイバーハッカーとして養成し、人々にリンクをクリックさせるフィッシングメールを送らせていると語った。「これが新しい諜報活動の方法です」とオニールは述べた。

「なぜ〔ロシアのスパイは〕、あなた方に電子メールを送り、コンピュータ上で採用活動ができるのに、あなた方を雇用するのに多くの時間を費やさねばならないのでしょうか。あなたの認証情報を盗むためです。あなたの会社のネットワークの中であなたになりすましてしたいことをするためです。あなたを悪者に仕立て上げ、しかもあなたはそれに気づきません」とオニールは述べた。

 

2014 年に北朝鮮の"Guardians of Peace"と呼ばれる集団がソニーのコンピュータシステムを攻撃して占拠した。おそらく同社が北朝鮮の指導者の架空の暗殺事件を題材にした映画"The Interview"を製作していたことへの報復だろう、とオニールは語った。ハッカーは機密の電子メールを盗み、そこに一度爆発するとコンピュータ上のデータを消去する「サイバー爆弾(cyberbombs)」を仕掛けた。

さらに、オニールは、ロシアのサイバースパイが、昨年、ヒラリー・クリントン(Hillary Clinton)の元大統領選対策委員長ジョン・ポデスタ(John Podesta)の個人電子メールアカウントを攻撃した経緯についても論じた。昨年のある日曜日の晩、ポデスタは次のような電子メールを受け取った。「あなたのアカウントは不正侵入を受けた可能性があります・・・。我々は、この企てを阻止しましたが、パスワードを変更されることを推奨します。このリンクをクリックしてください」。彼は疑念を抱いたのでこのメールを首席補佐官に送り、メールはそこから選挙対策委員会のハイテク・セキュリティの責任者に送信された。セキュリティの責任者は誤って、ポデスタにメールで次のように伝えてしまった。当初の疑わしいメールの要求は正当(legitimate)だが、直接 Gmail のウェブサイトに行ってそこでパスワードを変更してください。(IT の責任者は後で『不当(illegitimate)』)と書いたつもりだったと言っていた、とオニールは語った)。ポデスタは、IT 責任者のメールの最初の一行だけを読み、リンクをクリックした。その結果、彼の電子メールは全世界に暴露されてしまったのだ。

 

オニールは組織がサイバー攻撃と闘うための 3 つの方法を提示してくれた。

  1. テクノロジー:スマートフォン、ラップトップ PC、サーバー、サムドライブ(小型の外部記憶装置)などに末端防御に優れるセキュリティ対策製品をインストールして「ゼロトラスト」(訳注:従来安全とみなされていた社内ネットワークも決して安全ではないとする考え方) を機能させること。これはハリウッドの最高級クラブが抱える強大な用心棒のようなものであり、誰も (不正な方法で) 通り抜けることはできない。自分が実行したいプログラムや実行可能ファイルだけが、システム上での動作を許される。
     
  2. 人:テクノロジーを理解している人を雇用すること。もしそのような人材がいないのなら、すべては時間の無駄である。
     
  3. プロセス:人々を教育訓練すること。リンクをクリックしないことを学ぶこと。ジョン・ポデスタになってはいけない。そして、不正実行犯が上級経営者になりすまして従業員を欺き、電信送金をさせる"CEO Attack"を回避すること。
     

 

カンファレンス レポート

過去開催分のレポート