ロンドン五輪でサイバー攻撃を防いだ「アプライド・インテリジェンス」のソーシャル分析

一田和樹

February 3, 2015 08:00
by 一田和樹

前回の「『テロ対策特殊装備展』で英国とイスラエルのサイバーセキュリティ企業に話を聞いた」に続き、今回はイギリスのBAEシステムズについてお伝えしたい。前回の原稿でも述べたが、BAE Systemsは、英国に本社を置く航空防衛企業で、100カ国以上に顧客を持ち、2013年には連結ベースで3兆円を超える売上を達成している。3兆円という金額は軍需産業の中でも群を抜いて高い。

同社は2008年から2011年の間に5つのサイバーセキュリティ会社を買収し、旧来型の重くて金のかかる防衛(飛行機や戦車など)から負担の少ない防衛への変化に対応した。その後も買収を続けており、直近では2014年10月にSilverskyというサイバーセキュリティ専門会社を200億円以上で買収している。アプライド・インテリジェンスは、そのBAE Systemsのサイバーセキュリティの中核部門だ。政府、金融、エネルギー、インフラなどを対象としたビジネスを展開しており、買収されたSilverskyもこの部門の傘下に収まった。

アプライド・インテリジェンスのモートン・ハンセン氏によると、同社ではロンドンオリンピックの際にサイバー攻撃を防ぐためのソーシャルメディア分析を行ったという。このプロジェクトはロンドンオリンピックが開催される4年前の2008年に始まり、開催終了の2012年まで実施され、問題が起きる前に未然に防ぐための様々な知識を蓄積したという。そのノウハウは、ソーシャルメディアの分析にとどまらず、データセンターの数や物理的なセキュリティの設計方針にまで及ぶ。

ソーシャルメディアの分析は、いわゆるビッグデータ分析であり、大きくふたつのステップで行われる。最初のステップでは、莫大なソーシャルメディアの発言から必要と思われるものを抽出するフィルタリングを行う。ロンドンオリンピックでは、開催期間中におおよそ1200万の発言があったのを、フィルタリングによって約2%まで絞り込んだ。

次のステップはトレンド分析を行う。ソーシャルメディアの発言数と内容から予想される脅威をあぶり出すもので。発言内に含まれる言葉がポジティブであるか、ネガティブであるかを元に分析すると、そのオリンピックに対する社会の反応が分かるという。これを「感情分析」と呼ぶ。

同社ではノウハウ構築のための社内研究として、ソチオリンピックにおいてもソーシャルメディアの分析を行い、ロンドンとソチの違いを観察している。主としてメディアで使われていた言葉をもとに感情分析を行ったところ、口調の変化(Tonal Shift)からロンドンとソチの大きな違いが見えたという。ロンドンオリンピックでは多くのメディアがポジティブだったのに対して、ソチではネガティブな言葉が増加している。

感情分析は言葉に注目して分析を行う手法だが、発言数そのものに注目するアプローチもある。ソチオリンピックでは、AnonymousがDDoS攻撃を仕掛けてきたが、その徴候を事前に彼らのツイートから読み取り対処することができたという。攻撃と関連がありそうなハッシュタグを含むツイート数が増加すれば、その後アタックが発生する可能性が高くなるため、ツイートの増加を検知して政府側で対処すれば未然に防ぐことが可能になる。同様のトレンドは、中東のISISやアルカイダのツイートにも見られるため、あらかじめ攻撃を検知して対処することもできるという。

ハンセン氏によれば、ロンドンやソチでの経験から言えることはいくつかある。まず、できるだけ早く準備を進めることが重要で、ロンドンオリンピックでは4年前から準備を始めたが、充分とは言いがたいのでもっと早く準備を開始すること必要があると語る。また、攻撃やボットネットやマルウェアの動きを検知するためのネットワークの監視も不可欠だ。そのためには、専門家の助言を取り入れた総合的な監視システムを早い段階で構築しなければならない。

ハンセン氏の説明は包括的ではあったものの、具体的な示唆に富むものだった。例えば、ソチオリンピックにおいてDDoS攻撃発生の危険水域となるツイート数は1分当たりおおよそ5000で、1万5000を超えると大規模な攻撃が発生するリスクが高まる。ハッシュタグを含むツイートの増加から攻撃発生までのタイムラグの時間も分かっている。こうした具体的な数値は、経験がなければ出てこないものだろう。そして、具体的な数値がなければ予防も対処もできない。

ハンセン氏は締めくくりに、物理的セキュリティもソーシャルメディアからの情報収集と分析を行うことで、事前に備えることができるようになると念を押した。

一田和樹

一田和樹

「サイバーミステリ作家。『犯罪「事前」捜査』(角川新書)、『原発サイバートラップ』(原書房)、『サイバー戦争の犬たち』(祥伝社)、『公開法廷 一億人の陪審員』(原書房)、『天才ハッカー安部響子と五分間の相棒』(集英社)など著書多数。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…