サイバー空間で「機動的に反撃」
ACDとは、リアルタイムで攻撃を検知、分析し、ネットワークや国の境界を越えた合法的な対策の積極的な使用を組み合わせて、ネットワーク・セキュリティ侵害を軽減することと定義できる。
また、アカデミックな世界でよく使われる定義によれば、ACDは「サイバーインシデントが発生する前、または発生している最中に攻撃者に関与する対応」と定義される。対策の内容には、ハニーポット(サイバー攻撃者をおびき寄せる罠)の使用、ビーコン(サイバー攻撃で奪われたファイルから信号を発して、攻撃元を知らせるプログラム)の使用、シンクホール(攻撃者が使うドメインを合法的に乗っ取って監視・無力化する手法)、欺瞞工作など、干渉、遅延、妨害、策略によって攻撃者のコストを増大させるような幅広い対応が含まれる。
これらの技術の典型的な例としては、攻撃者がどの文書を盗み出すかを確認するためにハニーポットを使用したり、ファイルにパッシブな透かしを入れて盗み出した文書をリモートで追跡したり、感染したコンピューター上のマルウェアを攻撃者ではなく安全なサーバーと通信するようにリダイレクトしたり、攻撃者に虚偽または誤解を招くような情報を含む文書を盗み出させたりすることが挙げられる。
また、被害側のネットワーク外でのより積極的な対策には、リモートでコンピューターを制御して攻撃を停止させたり、攻撃してくるコンピューターに対するDDoS攻撃を行ったりすることが含まれる。
このACDの概念は、アメリカで2010年頃から学会を中心に議論され、2015年のアメリカ国防総省のサイバー戦略で、悪意あるサイバー行為者に対する「包括的抑止」という考え方に結実した。
ACDが最初にアメリカで議論されたのは、全米学術会議工学物理学部門の通信・コンピューターサイエンス委員会に設置された攻撃的情報戦研究会がまとめた2009年のレポートが初出である。同レポートでは、「攻撃者の攻撃能力を無力化することと、攻撃のためのコストを攻撃者に課すことが、積極的防御である」と述べている。
この考えは、もともとアメリカ軍内で使用されていた「積極的防御」という軍事概念であり、受動的防御が敵の攻撃を難しくする固定陣地のような防御であるのに対して、積極的防御は攻撃者を消耗させるために機動的に反撃することを意味していた。学会での議論の影響もあり、2011年7月に発表されたアメリカ国防総省の「サイバー空間作戦戦略」では、同省のネットワークとシステムを守る新しい戦略として、「Active Cyber Defense」を採用することが明記された。
ACDの概念をさらに精緻化したのは、デニス・ブレア元国家情報長官、マイケル・チェルトフ元国土安全保障省(DHS)長官が参加し、2016年に実施されたジョージ・ワシントン大学のプロジェクトである。このプロジェクトでは、図2に示したように、自己の情報ネットワーク内における対策を「受動的防御」、攻撃者の情報ネットワーク内での妨害・破壊を「サイバー攻撃」と位置付け、その間の自己のネットワーク外において行われる様々な対策を「能動的防御」と位置付けた。ちなみに日本のサイバーセキュリティは、この「受動的防御」にあたる。
アメリカにおけるACD戦略は、トランプ政権下の2018年の「国家サイバー戦略2018」において、技術対処に加えて政策的対処を行うことが盛り込まれ、ほぼ完成形になっている。
同戦略では、「悪意のあるサイバー攻撃者を抑止し、さらなるエスカレートを防ぐためには、アメリカはコストを課す政策選択」をするとして、サイバー脅威に対応するため、サイバー攻撃の帰属(アトリビューション)を明確にした上で、「外交力、情報力、軍事力(物理的戦力とサイバー戦力の両方)、資金力、情報力、公権力、法執行能力」などあらゆる手段を用いて、アメリカに対する悪意あるサイバー活動を特定し、抑止し、防止し、結果責任を問うとしている。
また、同戦略では、新たに「前方防衛(Defend Forward)」という概念が提示された。「前方防衛」は、悪意のあるサイバー活動をその策源地(攻撃側のネットワーク内)で妨害し、停止させるために、武力紛争未満の活動を含む防衛行動を前方(敵の領域内)で行うというものである。
このような国家サイバー戦略の制定を受けて、アメリカではアトリビューションの特定に資する技術的な手段として、通信傍受、メタ・データの収集・集約、ハックバック(サイバー攻撃者への逆侵入)が実施されている。ハックバックについて、アメリカ国家安全保障局(NSA)は「コンピューター・ネットワーク探索活動(CNE)」という名称で、ハッキングを用いて、特定のネットワークやコンピューターに逆侵入して、情報収集も行っている。
また、能動的防御の技術対応として、アメリカ司法省と連邦捜査局(FBI)は、合衆国法典の中の民法の不正行為防止法を根拠として、犯罪捜査、被害防止のため、C&Cサーバー(攻撃者が攻撃の指令に利用するサーバー)との通信に対するシンクホールの実施を行っている。これはアトリビューションの特定目的だけではなく、テイクダウン(停止措置)による被害防止の目的でも行われている。
さらに、能動的防御の政策対応として、2014年5月にアメリカ企業のネットワークに情報を窃取する目的で侵入し情報を窃取した疑いで、中国の攻撃グループ「APT1」の実行犯として、中国軍61398部隊に所属する将校5名を訴追したのを皮切りに、中国、ロシア、北朝鮮、イランのサイバー攻撃者を相次いで特定して司法訴追している。
このようなACD戦略は、アメリカだけではなくイギリスでも行われている。イギリスでは、2016年の「サイバーセキュリティ戦略」で、戦略文書の中でACDが明確に位置付けられた。同戦略では、「イギリスのネットワーク全体のサイバーセキュリティのレベルを大幅に向上させるためのACDを開発・適用する」との宣言がなされ、イギリスのサイバー空間全体に対して、このACDを適用し、自らのネットワークに対する脅威を理解し、それらの脅威に積極的に対抗するための対策を考案し、実施するとイギリス政府は表明した。
イギリスでも、サイバー攻撃者の特定のために、2016年調査権限法に基づいて、通信の傍受、メタ・データの収集・集約、ハックバック、ダークネットでの情報収集などの多岐にわたる活動をインテリジェンス機関、法執行機関、国防情報機関が実施している。
また、能動的防御の技術対応として、国家サイバーセキュリティセンター(NCSC)において、ドメイン名保護、ウェブチェック、テイクダウンなど10の技術的ACDを実施している。このうち、悪意のあるサイトのテイクダウンでは、毎年20万件近くがテイクダウンされ、サイバー攻撃が引き起こす被害軽減に貢献している。