パブリックアトリビューションとは？民間事業者が考慮すべき内容を解説

パブリックアトリビューションとは？

パブリックアトリビューションとは、法執行機関や政府機関が特定のサイバー攻撃者の所属（国など）や攻撃手法を公的に言及することを指し、主には被害を抑止することなどを目的とした政治的取り組みです。なお、これはあくまで本記事における定義を記載しており、パブリックアトリビューションという言葉の定義や目的については、複雑な面があり様々な解釈がなされています。
例えば防衛研究所の論文では、「各国政府が、サイバー攻撃の実行者ないしは責任を負う国家を名指しする政治的判断を公表し、そのうえで必要に応じ、関連情報の公表や、相手方への非難や懸念の表明などを伴う政策対応」として議論されています。
他にも公安調査庁の「サイバー空間における脅威の概況 2021」においては、「攻撃実行者と背後にいる国家機関を特定した上で、公開の場（起訴や制裁を含む）で当該国を名指しで非難する（中略）取組」と記載されています。

近年盛んに行われるパブリックアトリビューション

近年、上記の「パブリックアトリビューション」の取り組みが日本国内においても度々実施されています。
例えば2022年10月には、北朝鮮当局の下部組織とされる、「Lazarus」と呼称されるサイバー攻撃グループに関する国内向けの注意喚起が金融庁・警察庁・内閣サイバーセキュリティセンターの連名にて公表されました。
また2023年９月にも警察庁と内閣サイバーセキュリティセンターの連名にて中国を背景とするサイバー攻撃グループ「BlackTech」に関する国内向けの注意喚起が公表されています。
こうした活動は最近では毎年のように行われており、サイバー空間上での各国の試みが国家間の関係性にも重要な影響を及ぼすようになってきたことの表れとも言えるでしょう。
法人組織に勤める我々は、このパブリックアトリビューションから何を読み取ればよいのでしょうか。本稿では、パブリックアトリビューションの意義と国内事業者が注意するべき点について解説します。

パブリックアトリビューションの目的

そもそもサイバーセキュリティにおけるアトリビューションという言葉の意味については、過去の記事でも記載していますが、「攻撃の痕跡や、攻撃者の意図・動機・能力を分析し、攻撃グループの特定や特徴を解明するプロセス」を指します。これにより、ある組織にとって対応の優先度の高い脅威とその攻撃手法(TTPs)が明確になり、よりプロアクティブかつ効率的なセキュリティ対策が可能になります。

このようなインテリジェンスを公表するパブリックアトリビューションの目的には、先述のプロアクティブな防御という観点以外にも、攻撃者の抑止や政治的な目的を含む、下記の4つが挙げられます。
①攻撃者の目的を知ることでよりプロアクティブな防御につなげる
②サイバー攻撃に関連する人物の訴追などにより、対処・調査能力を示し、さらなる攻撃への抑止力とする
③攻撃グループの詳細と関連する国家を非難し、さらなる攻撃への抑止力とする
④サイバー攻撃が許容できないものであるということを示し、国際社会における模範・慣習などを醸成する

① 攻撃者の目的を知ることでよりプロアクティブな防御につなげる

①については、例えば特定の国家Aに対するサイバー攻撃の目的が、「妨害（サイバーサボタージュ）」である場合と「情報窃取（サイバーエスピオナージ）」である場合には、使用される攻撃手法が異なります。「妨害」の場合にはサービス拒否（DDoS）やワイパー（破壊型マルウェア）を用いた攻撃が展開される可能性が高いです。一方で、「情報窃取」の場合には、長期的に組織内に潜伏し情報送出を行うなどの工作活動が展開されるため、Living off the Land(環境寄生型)攻撃と呼ばれる、正規に認められた遠隔操作ツールなどを使用しセキュリティ製品に検知されにくい工夫を施した攻撃が実施される可能性が高まります。そうした目的や具体的な手段を一般に公開することで、各組織においても優先的に警戒すべき脅威の特定やより強化すべきセキュリティ対策の選定が可能となります。また攻撃者にとってはこれらの情報が出回ることで、手慣れた攻撃手法を変更するなどの必要性が生じます。こうした追加のコストをサイバー攻撃グループにかけさせることによって、活動の抑止効果を生むことができます。
なお、トレンドマイクロでもこうしたサイバー攻撃グループの手法や被害分析に関する研究結果をレポートやブログの形で度々公開しています。これは同様に各組織において優先すべき対策事項を選定いただくための情報提供を行うこと目的としています。

参考記事：2023年サイバー脅威総括：日本の安全保障に影響を及ぼすサイバー脅威とは？

② サイバー攻撃に関連する人物の訴追などにより、対処・調査能力を示し、さらなる攻撃への抑止力とする

次に②については、先日の攻撃インフラのテイクダウンや関与者の訴追が行われたLockbitのように、サイバー攻撃者本人が特定されたり、逮捕されたりといった事実が、別の攻撃グループにも「明日は我が身」と感じさせることで、攻撃の手を緩めさせたり、モチベーションを下げさせるといった抑止効果を生むことができます。サイバー攻撃グループも一枚岩でなく、一般の企業のように内部関係者間で様々な不満がやりとりされていたり、「退職者」がでたりといった実情があることはトレンドマイクロの過去のリサーチからも明らかになっています。

③ 攻撃グループの詳細と関連する国家を非難し、さらなる攻撃への抑止力とする

③については、特定のサイバー攻撃グループの攻撃手法や詳細な分析結果を元に、どこの誰がやっているかわからないサイバー攻撃のグループと特定の国家の関連を結びつけることで、政治的な意味での批判を行い、「目をつけている」ことをアピールします。
なお、この目的においては、攻撃グループの詳細な分析から国家との関連の証拠が提示される、または証拠を見つけたことが宣言されることも多いです。しかし同時にサイバー攻撃の発信元の特定は非常に困難であるため、情報取得者はアトリビューションには不正確な情報が含まれることを前提として認識しておく必要があります。

④ サイバー攻撃が許容できないものであるということを示し、国際社会における模範・慣習などを醸成する

最後に④については、②や③に近い部分もありますが、サイバー攻撃を野放しにせず国際社会全体として、批判や検挙を行う姿勢を示すこと自体が抑止力に繋がります。これには特定の国と国でのやりとりではなく、国際社会全体の総意といった模範を示すことにより、国際的な協力を実現・強化したり、国を越えた制裁の効果を拡大させたりといった狙いが含まれていると考えられます。

なお、本記事ではパブリックアトリビューションのより対外的な上記4つの目的に焦点をあてて記載しています。パブリックアトリビューションの目的についても、複数の解釈・定義があることにご注意ください。例えば、世界規模で出版業を展開するRoutledge社から出版されている、軍事や外交戦略研究を対象とした「Journal of Strategic Studies」においては、パブリックアトリビューションの目的は、①規範の設定②強制③脅威への対抗④予防と防御⑤コミュニティの構築⑥正当性・評判などとされています。本稿では大きく扱っていませんが、パブリックアトリビューションの目的として、他国と共同で実施することによる連携の強化やメディアの注目を広く集めることによる正当性の確保やそれに紐づく予算確保なども目的の一部として記載されています。

パブリックアトリビューションに含まれる情報の種類

ここまで見てきた通り、パブリックアトリビューションは複数の目的を同時に含んだ国家的な活動です。パブリックアトリビューションが実施される際には、おおよそ攻撃グループやその背後にいる国に関する情報も合わせて公開されます。具体的に記載されている情報を何かを整理する為、技術的なアトリビューションの取り組みで得られる情報の粒度に分けて表に記載します。

攻撃者に関する情報	特定の根拠となる情報	情報を公開する狙い
攻撃グループ/キャンペーン	Malware/TTPの類似性, C&C インフラの重複, Victimology	・注視すべき攻撃グループの最新の動向を知り攻撃に備える
背後にいる国家	検体内の文字列, 攻撃インフラの場所, 活動時間帯, Victimology, 地政学的分析, ハックバック, 法執行機関による捜査	・国家を特定/非難することにより攻撃の抑止力につなげる
帰属する組織	各諜報機関のミッション, Victimology, 地政学的分析, OSINT (SNS含む), アングラの監視, ハックバック, 送金処理も対象にした法執行機関による捜査	・具体的な組織まで特定することにより、対処能力のアピールと攻撃の抑止につなげる・攻撃のMotivationに関いてより具体的に把握できる
グループに属する個人	OSINT (SNS含む),アングラの監視, ハックバック,送金処理も対象にした法執行機関による捜査	・訴追の証拠になる・個人の活動を制限することにより、攻撃の抑止につながる

表：技術的なアトリビューションによって取得される情報とその根拠となる情報の例（トレンドマイクロにて作成）

攻撃グループは、使用しているマルウェアの機能や攻撃の手法、C&C基盤、被害者の傾向などからその関連性が分析されることで形作られます。これらの情報は上述の目的①に沿っており、攻撃対象となり得る組織にとってみれば、自組織のセキュリティ強化ポイントを検討する際の重要な要素の1つを担います。

攻撃者の背後にいる国家に関する情報は、検体内の文字列や使用されている言語、インフラとなるIT設備の現実空間での位置、活動の時間帯、その時の情勢とVictimologyとの関連など様々な推測要素を加味して推測できることがあります。

パブリックアトリビューションでは一般的に、関与が疑われる国家だけなく、攻撃者の帰属する具体的な組織にまで言及します。アメリカ政府などではロシアにおけるGRU（ロシア連邦軍参謀本部情報総局）など個別の諜報機関を名指しするケースも確認しています。国だけでなく、組織まで特定しているということがより高いサイバー攻撃への対応能力を攻撃者に示すことに繋がり、また攻撃のMotivationについてより具体的に把握できるようになります。

パブリックアトリビューションを行う政府機関にとって、サイバー攻撃キャンペーンの被害減少のため、サイバー攻撃のインフラとなっているサーバをテイクダウンすることはもちろん、特に犯行主体である個人を特定することは効果的と言えます。攻撃主体の個人の特定は、国際的な指名手配や法的強制力を利かせる為の根拠となります。個人を特定する上では、ダークウェブ上での活動の痕跡や個人口座への送金履歴、攻撃に使用されたサーバや各種ウェブサービスへのアクセス履歴なども捜査の対象となります。発表する側は、このような捜査から得られた情報を公開することによって、実際の検挙まで至らずともサイバー攻撃を行う個人の活動に大きく制限がかかる可能性もあり、攻撃抑止の効果を期待しているというわけです。

国内の法人組織が注意するべき点は？

ここまで見てきた通り、パブリックアトリビューションは主に政府機関が攻撃抑止の目的に向けて、公表するものであることが分かったかと思います。
ではこの情報を受けて、一般の組織や企業に所属するセキュリティ担当者はどういったことを優先すべきでしょうか。

企業や組織のセキュリティ担当者は、パブリックアトリビューションで名指しされている攻撃グループについての情報を収集し、自組織に対するリスクを見積もり、必要に応じて攻撃に対するプロアクティブな防御体制を築いておくことが重要です。
例えば、名指しされている攻撃グループが、初期侵入の手段として、フィッシングでの情報窃取やソーシャルエンジニアリングの手法を用いることが分かっている場合には、メールゲートウェイの強化や従業員向けのソーシャルエンジニアリング教育の再実施などが優先される対策となります。
技術的には攻撃グループが用いるサーバのIPアドレスが分かっていたり、マルウェアが判明したりしている場合にはそれらをブロックリストに登録するなどの対策を事前に実施できます。

攻撃グループに関する情報は、冒頭で紹介した政府機関から出る注意喚起に掲載されています。まずはこの内容を把握し、自社で採用すべき対策を検討することが重要です。その上で、さらに防御体制を高めたい場合には、各セキュリティベンダから出ている分析レポートを参考にするとよいでしょう。より現場レベルで活用できるセキュリティアドバイザリを取得することで、自社の防御体制構築が促進されます。
攻撃グループにも多くの種類があり一概には言えませんが、特に、国家に関する機密情報や先端技術に携わる機会のある業務を行っている組織においては、他国の諜報機関などが該当の情報を求める場合、攻撃対象となる可能性が高まります。組織的にも技術的にも、より対策を素早く確実に行うことが求められるため、パブリックアトリビューションについて継続的に注意しておく必要があるでしょう。

監修

サイバーセキュリティ・イノベーション研究所
スレット・インテリジェンス・センター

トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。サイバースレットリサーチを通じ、日本社会と国内組織の安全なセキュリティイノベーション推進を支援する研究組織。日本国内を標的にした高度なサイバー攻撃や国家が背景にあるサイバー攻撃など、グローバルとリージョン双方の視点で地政学的特徴や地域特性を踏まえた脅威分析を行い、日本社会や国内組織に情報提供や支援を行う。