サイバーインテリジェンス組織 Digital Shadows は、企業の IT 管理者はスパイの策略に習い、オペレーション セキュリティ (OPSEC) をセキュリティ ポリシーと実践の中心に据えるべきだと主張している。
オペレーション セキュリティ (OPSEC) は軍隊に由来する用語で、プライバシーと匿名性を保護するために使用される戦術を指します。
サイバー防御者向けOPSECフローチャート出典: Digital Shadowsホワイトペーパー
OPSECは、歴史を通じて、民間組織や軍事組織がプライバシーと匿名性を保護するために用いる重要な戦術でした。犯罪者もまた、OPSECを目的達成のための手段として利用しています。つまり、検出を回避し、攻撃インフラの可用性を維持し、侵入した環境へのアクセスを維持することです。
防御側は、サイバー犯罪者やその他の敵対者が身元、法医学的証拠、盗難データの販売、その他の有罪の証拠を隠すために使用するツールや手法から学ぶことができます。
Digital Shadows の新しいホワイトペーパー「OPSEC の機会: 敵対者の OPSEC を理解してセキュリティ プログラムを改善する」では、サイバー犯罪者が法執行機関の監視を逃れるために OPSEC をどのように利用しているかをよりよく把握することで、商業組織が OPSEC を使用してハッカーやその他の敵対者からより効果的に身を守る方法について説明しています。
攻撃者のように考え、OPSECの実践を理解することで、防御者は露出とデータ漏洩を最小限に抑え、潜在的な攻撃者の攻撃をはるかに困難にすることができるとDigital Shadowsは主張している。
防御側は、攻撃者の脆弱なOPSECを巧みに利用することで、敵対者が利用する人材、プロセス、テクノロジーに関する洞察を得ることができます。変化する環境に合わせて進化できる強力なOPSECプログラムがあれば、柔軟で回復力の高いサイバーセキュリティプログラムを構築できます。OPSECの不備は、防御側と攻撃側の両方に重大な影響を及ぼす可能性があります。組織は、知らず知らずのうちに機密情報を漏洩し、リスクを大幅に増大させてしまうことがよくあります。場合によっては、従業員に対するソーシャルエンジニアリング攻撃の材料となる詳細情報を漏洩したり、機密文書が公開され、ブランドイメージが危険にさらされたりすることもあります。
この調査では、Tor、VPN、ビットコイン「タンブリング」によるマネーロンダリングなど、攻撃者がOPSEC対策に組み込むカモフラージュについて検証しています。また、これらのツールの使用や人間の行動におけるミスが、最終的にハッカーのプライバシーを侵害する原因となることにも焦点を当てています。例えば、Dridexボットネットの運営者であるAndrey Ghinkulは、自身のニックネーム「Smilex」を本名と関連付け、捜査当局に貴重な手がかりを提供しました。Digital Shadowsによると、私生活と脅威アクターとしての活動を区別しないことは、犯罪者によくあるOPSECのミスです。
その他のミスとしては、機密リソースにアクセスする際に Tor を使用しなかったために、その過程で証拠となる IP ログが残ってしまうことが挙げられます。これは、LulzSec の Hector Xavier Monsegur (別名 Sabu) を破滅に導いたミスです。
OPSECの実践は、ジャーナリストや活動家だけでなく、犯罪者やスパイにも利用されています。Digital Shadowsの戦略担当副社長、リック・ホランド氏によると、サイバースパイの技術を学ぶことで、防御側は組織の機密データをより効果的に保護する方法を学ぶことができます。
「OPSECの認識は、組織のサイバーリスク対策の基盤となるべきです」とホランド氏はEl Regに語った。「企業は何を守ろうとしているのかを理解し、優先順位をつけるべきです。どのような認証情報が漏洩しているのかを把握することで、対策を講じることができます。」
適切に実行されたOPSECは、組織や個人に危害を加えるために利用される可能性のある情報を敵対者に提供しません。「優れたOPSECは、ソーシャルエンジニアリングの脅威からも防御できます。例えば、最高経営責任者(CEO)が出張中の場合は、その情報が公開されないようにする必要があります」とホランド氏は付け加えました。
ホランド氏は、西側諸国の諜報機関など、最も熟練した、あるいは十分な資金を持つ組織と対峙した場合、うまく運営されているOPSECプログラムにも限界があると強調した。
「政府があなたを捕まえたいなら、何をしても侵入されるだろう。しかし、日和見主義的な犯罪者やハクティビストから身を守ることはできる」と彼は結論付けた。®
