ペガサスからポール・モールまで:攻撃的なサイバー能力のリスク管理
概要
商用の攻撃的サイバー機能には、脆弱性とエクスプロイト、監視に重点を置いたマルウェア、民間ベンダー(主に政府向け)が販売するコマンドアンドコントロール(C2)インフラストラクチャが含まれます。80 か国以上がこのようなツールを使用しています。
商用スパイウェアの悪用は、重大な脆弱性を増殖させ、特に監視が弱い国々で広範囲にわたる人権侵害を可能にし、サイバーエコシステム全体を脅かします。
25カ国が署名したポール・メル行動規範(CoP)は、透明性、監視、国際人権法との整合性を促進する自主的な措置を通じて、サイバー侵入ツールの無責任な拡散と使用を抑制することを目指しています。
明確な法的枠組みを実施する国は、自国で活動するサイバー侵入企業の合法性をさらに高め、責任ある使用をサポートする形で業界の成長を促進する可能性があります。しかし、権威主義の高まりにより、国際人権原則に違反する方法で使用される監視製品の代替市場が生まれる可能性が高い。
解析
商業的な攻撃的サイバー能力とは、通常はスパイ活動や監視を目的とした侵入的なサイバー活動を実行するために民間企業が提供するサイバーツール、プラットフォーム、およびサービスを指します。商用スパイウェア業界の規模は不明です。ある調査では、42 か国で 435 のエンティティが活動していることが特定されました。 しかし、これは、持株会社、ベンダー、個々の研究者、投資家を含むエコシステム全体の一部である可能性があります。80カ国以上がスパイウェアを購入したと報告されている。この業界の多くの企業は、通常は法執行、軍事、または諜報目的で政府にのみ販売していると主張しています。
図 1: 攻撃的なサイバー能力は、ベンダー、サービスプロバイダー、下請け業者、個々の研究者からなる複雑なネットワークを通じて提供される複数のコンポーネントで構成されています(画像: Recorded Future )
商用サイバー侵入機能の使用に関連するリスクには、主に 2 つのカテゴリがあります。1 つ目は拡散であり、サイバー侵入能力や脆弱性が管理されずに拡散し、サイバー エコシステム全体を脅かすことです。特に、パッチが適用されていない脆弱性は、意図されたターゲットだけでなく、関連するテクノロジを使用するすべての人にとってリスクとなります。最も悪名高い例の 1 つは、米国国家安全保障局 (NSA) によって開発されたとされるエクスプロイトである EternalBlue の漏洩であり、これは後にWannaCryランサムウェアで使用されました。さらに最近の例では、スパイウェアベンダーの Intellexa と NSO Group が以前に使用したエクスプロイトが、ロシア政府が支援する脅威アクターによってモンゴル政府の Web サイトを標的とした攻撃に使用されました。
リスクの2番目のカテゴリーは、人権と公民権の侵害です。Recorded Future の国別リスクデータによると、市販の監視ツールを使用していることが確認された国の 63% では監視能力が限られており、監視活動を監視および抑制できる独立した司法機関または監視機関が不足しています。世界中の数十カ国が、政治的反体制活動家、ジャーナリスト、弁護士などに対して商用の監視ツールを導入している。NSOグループが開発したペガサススパイウェアは、 2018年にトルコのサウジアラビア領事館でジャーナリストのジャマル・カショギ氏が殺害された 後、同氏とその家族および関係者のデバイスで 発見され た。各国は監視技術を利用して標的に嫌がらせや脅迫を行い、プライバシー、言論や集会の自由、移動の自由、その他の人権を侵害している。これはメキシコ、ギリシャ、スペインなどの民主主義国家で発生しており、監視ツールの悪用は権威主義体制に限った問題ではなく、世界的な課題であることを浮き彫りにしている。
図 2: Recorded Futureの国別リスクデータによると、商用の攻撃的なサイバーツールを使用していると評価または確認されている国の大半では、その使用に対する監視が限られている(情報源: Recorded Future )
2024年、英国とフランスは、商業サイバー侵入能力(CCIC)を規制する国際的な枠組みであるポール・メル行動規範(CoP)を立ち上げました。25 の署名国は、説明責任、監視、正確性、透明性を促進することで、攻撃的なサイバーツールの拡散と悪用を制限することを約束しました。CoP は、脆弱性供給チェーンの透明性の向上、セキュリティリスクと攻撃的価値のバランスを取る開示ポリシーの採用、人権法に沿った商用ツールの使用の規制を奨励しています。 例としては、権利を濫用するエンティティへの販売を防止するための顧客認識要件の実装などが挙げられます。
図3 : ポール・モール署名国は非署名国よりも政府の監視プログラムに対する強力な監視を行っている可能性が高い(情報源: Recorded Future )
ポール・モール署名者は、サイバー侵入能力の使用と輸出を規制する国内法と規制を確立することを誓約します。ほとんどの国はすでに強力な監視メカニズムを備えており、サイバーツールの輸出を悪用する可能性のある国に制限するなど、既存のギャップを埋めるためにそれを拡大することができます。 ポール・メル行動規範は、米国主導の「政府による監視技術の使用に関する指導原則」 (フリーダム・オンライン連合での総意により策定)を含む、以前の自主的な外交公約に従っています。
図4 : 商業的な攻撃的サイバー能力産業は、おそらくポールモール署名者(青)と商業監視ツールを悪用するリスクの高い市場(赤)のいずれかにサービスを提供するために分裂するだろう(情報源: Recorded Future )
CoP は、Candiru、NSO Group、Intellexa などの主要なスパイウェア ベンダーを含む、署名国政府やそのパートナーと取引のある企業による不正使用を抑制する可能性が最も高いと考えられます。署名国は、これらのツールの無責任な使用を抑止または禁止する、輸出管理、ライセンス契約、調達管理などの法的枠組みと説明責任のメカニズムを自主的に実装することを約束します。ポール・モール署名者の大多数は監視プログラムを厳格に監視しているため、これらの法律は効果的に実施され、施行される可能性が高い。
しかし、ポール・モール署名者の半数以下が商用監視ツールを使用し、さらに主要な攻撃的サイバー企業を本拠地とする署名者はさらに少なく、CoPの影響は限定的になる可能性がある。また、一部のベンダーが規制の緩い環境に移行するため、新たな規制により西側諸国のサイバー能力産業が分断される可能性もある。
図 5: アトランティック・カウンシルの研究者は、サイバー監視業界の435の の評価に基づき、攻撃的なサイバー企業の大多数が3か国で活動していることを観察しました。これらの国のうち、イタリアのみがポール・メル・オンライン・パートナーシップ(Pall Mall CoP)の署名国または米国主導のフリーダム・オンライン・コアリション(Freedom Online Coalition)のメンバーです(情報源: アトランティック・カウンシル、画像:Recorded Future
さらに、ポール・メルCoPは、代替ツールや通信への直接干渉に依存した不正な監視慣行を行っている国々への影響はほぼ確実に限定的なものとなるでしょう。たとえば、ロシアは、自国の諜報活動システム(SORM)を近隣諸国に輸出しており、中央アジアやラテンアメリカのパートナーにも輸出を増やしており、ISP レベルで監視を組み込み、個々のデバイスに情報漏洩 / 侵害を与えることなく大量監視を可能にしている。 同様に、中国はアフリカのいくつかの首都でファーウェイベースの「セーフシティ」システムを推進している。中国は強力な脆弱性研究エコシステムもサポートしており、2024年に検出されたゼロデイ攻撃の30%を占めています。こうした慣行は、サイバー脆弱性リスクの大幅な増加を意味しており、ポール・モール指向の規制では抑制できない可能性が高い。
今後の展望
ポール・モール行動規範は、商業サイバー侵入業界の断片化を加速させる可能性が高い。行動規範に沿った規制枠組みを採用することで、署名者は責任ある使用を実証する企業とのみ協力することを約束する。この変化は監視機能の直接的な提供者だけでなく、そのベンダーや下請け業者にも影響を与え、サプライチェーンを再編することになります。その結果、業界は分裂する可能性が高く、一部の企業は CoP 市場に適応する一方で、他の企業は意図的にそれを回避し、規制対象企業と非規制対象企業の間の溝が深まることになります。これにより、スパイウェア業界の「ハブ」として機能する国も変化し、インド、イスラエル、イタリア以外の特定の市場に対応する新たな大国が形成される可能性も高くなります。
権威主義的統治の拡大は、大規模監視の法的隠れ蓑となる可能性がある。権威主義的な政府はますます、反体制派を監視し、オンラインでの言論を抑圧するために監視に頼るようになっている。保護された行為を犯罪としたり、監視機関を弱体化したりすることで、人権に基づく輸出規制を回避しようとする国もあるかもしれない。ポール・メル協定は国内法の例外を認めているため、署名国がこの抜け穴を悪用し、協定の有効性を低下させる可能性もある。
民間セクターの攻撃作戦に対する態度の変化により、サイバー攻撃ツール市場が拡大する可能性があります。米国の大手通信会社 9 社に対するソルト タイフーンによるハッキングにより、「ハッキング バック」、つまりサイバー攻撃に対抗するための攻撃作戦の実行に関する議論が再燃しました。これが許可されれば、攻撃的なサイバーツール市場が民間企業に開放され、拡散のリスクが大幅に増大することになる。この業界に対する規制では、透明性と責任ある使用を確保するメカニズムを含め、将来の非政府ユーザーの可能性を考慮する必要があります。
軽減策
防御側は、特に弁護士、ジャーナリスト、政治的野党勢力などの価値の高い標的に対して、サイバー衛生のベスト プラクティスに優先順位を付けることで、商用サイバー侵入能力に対する回復力を強化できます。
- 安全なモバイル プラクティスの実施:個人用デバイスと企業用デバイスを厳密に分離し、すべてのデバイスを最新の状態に保ち、ロックダウン モードや定期的な再起動などの機能を有効にして、モバイル スパイウェアのリスクを軽減します。
- スパイウェアが使用する情報漏洩/侵入 (IoC) の指標を監視: Recorded Future 、スパイウェアの存在を検出するために使用できるCandiruやその他の商用攻撃的サイバー ツール プロバイダーが使用するインフラストラクチャを追跡します。 ( Recorded FutureのSecOps IntelligenceとThreat Intelligence 、これらの取り組みをサポートするのに役立ちます。)
- デバイス管理を実装する:モバイル デバイス管理 (MDM) ソリューションを使用して、従業員のデバイス全体のセキュリティ制御を監視および適用します。
- 人間の防御を強化する:スピアフィッシングのリスクを軽減し、侵入の影響を緩和するために、従業員のセキュリティ意識向上トレーニングに投資し、データの公開を最小限に抑える文化を促進します。
インパクト
シナリオ:大きな成功を収め、成長を続けるサイバー侵入サービス プロバイダーがデータ侵入を報告し、エクスプロイトやターゲット情報を含むさまざまな機密データが情報漏洩/侵入されたことを示しています。
第一段階の意義
主な利害関係者: 影響を受けるサイバー侵入サービスプロバイダー
データの漏洩または盗難:
運用ツール、
ゼロデイ、顧客名簿、ターゲット情報は
流出した。攻撃者はこのデータを漏洩したり、
それを他の侵入に再利用します。
二次的な影響
主な利害関係者: 脆弱な技術のベンダー、開発者、ユーザー
サイバー兵器の拡散
企業は、公開されたゼロデイ脆弱性の修正に競い合い、一方で犯罪者は新たに公開されたツールを悪用しています。急速な悪用により、モバイル エクスプロイトが急速に拡散するリスクが高まります (たとえば、Insikt Group の「Mobile NotPetya」に関するレポートを参照)。
第三次的な影響
主な利害関係者: 国際政府および監視対象
外交的影響:関係悪化
サイバー監視ツールを展開している人物が明らかになる。制裁の強化やその他の経済的懲罰措置により、国際的な
貿易。
監視と嫌がらせの強化
反体制派:ツールと標的の暴露は、各国を政治的アクター/敵対者に標的にするよう促す。
投獄、嫌がらせ、暗殺:
監視は人権侵害のリスクを高める。
監視や嫌がらせの強化:
これらの能力を利用する国は、
scrutiny.