米国サイバー軍は、Hunt Forward作戦と称して、海外にチームを派遣して活動しています。Hunt Forward作戦とは、一言でいえば、ホスト国のネットワークの中でマルウェアなどの脅威をhunt(狩る)する活動、マルウェア狩りです。米国がわざわざ外国まで人員を派遣してマルウェア狩りをするのは、なぜなのか、その実態や効果はどうなのか、サイバー軍の公表資料や報道を基に見てみましょう。
(1)背景:本作戦が開始された背景は、米国が2018年にサイバー戦略を改定してDefend Forward方針を採用し、サイバー軍の任務としたことです。Defend Forwardとは、敵対者のサイバー脅威が米国のシステムやネットワークに到達する前に可能な限り敵対者の策源地近くで対処する戦略であり、そのためには事前に敵対者のサイバー脅威を把握する必要があります。そこで生まれたのがサイバー軍の活動方針persistent engagement(持続的関与、或は持続的交戦)です。自分のネットワークで敵対者が攻撃するのを待つのではなく、サイバー空間で敵対者と常に迅速に対峙する方針で、その重要な要素がHunt Forward作戦(以下、HF作戦)です。つまり、米国から進出して外国のネットワーク中でマルウェア狩りをするのです。なお、言うまでもないことですが、HF作戦はホスト国とネットワーク管理者の同意を得て行うものです。
(2)実施組織:HF作戦の実施主体は、サイバー軍の直轄部隊であるサイバー国家任務部隊(Cyber National Mission Force、以下CNMF)です。サイバー軍は、全体で約7千人の組織ですが、CNMFは2022年12月現在39チーム2千人以上の軍人とシビリアンで構成されています。現在のサイバー軍司令官のナカソネ大将は嘗てCNMF司令官を経験しており、現CNMF司令官のハートマン少将は、次期サイバー軍副司令官(中将)に指名されています。CNMFがサイバー軍の中核組織であることが分かると思います。
(3)実施状況:現在までのHF作戦の実施状況を見ると、2018年に作戦開始以来2023年5月まで、21カ国にチームを40回派遣し、59のネットワークを調査しています。 派遣先はホスト国の同意がなければ公表されません。政治的な考慮から、米サイバー軍の人員が来て活動したことを知られたくない国もあるからです。現在判明している派遣先は、ウクライナ、リトアニア、エストニア、ラトビア、クロアチア、モンテネグロ、北マケドニア、アルバニアですが、他に中南米、アフリカ、中近東を含むアジアにも派遣されています。
チームの派遣期間は2~3月間だそうですが、現在、常に6~10チームがHF作戦に派遣されています。その効果が高いためか、派遣を要請する国が増加しているそうです。
(4)活動手順:派遣チームの具体的な活動手順ですが、通常は、先ず先遣隊を10日程派遣します。ホスト国の担当者との協議で必要な情報を交換して、調査対象のネットワーク図や必要なデータを入手して、一旦帰国します。そこで、調査の詳細計画を作成して、必要な機材を準備します。その後、本隊チームが機材を持って派遣されます。ホスト国では担当組織とネットワーク管理者の同意を得て、調査対象のネットワークに機材を接続します。そして、マルウェアが隠れていないか、外部から侵入されていないか、システムに脆弱なところはないかなど脅威を調査するのです。この調査は、ネットワーク分析官、マルウェア分析官、ホスト国分析官などが協力して当たります。
マルウェアやシステムの脆弱性、不適当箇所を発見した場合には、ホスト国担当者に知らせて、マルウェアの除去などの作業はホスト国に任せます。その際、派遣チームはネットワークをより安全にする助言をしますが、この助言は派遣チームのHF作戦の経験や、IT業界のベストプラクティスに基づく助言なので、納得してもらえるそうです。 なお、持参する機材は、特別な秘密の機材ではなく、商用機材だそうです。それであれば、ホスト国の担当者も使えるからです。
HF作戦の作業は、大体、ホスト国の担当者と協同して行います。信頼関係ができるまでは、ホスト国の担当者も米国が知らない間にバックドアを仕掛けるのではと疑念を持って監視する場合もあるようです。
(5)対象脅威:HF作戦が対象とする脅威は主に国家プレーヤであり、ロシアと中国が最大の脅威で、次にイランと北朝鮮。また他に、国際犯罪組織の脅威もあるそうです。
(6)成果:HF作戦の成果ですが、先ず当然のことながら、派遣先国のサイバーセキュリティの向上があります。
他方、米国にとっての成果もあります。それは、敵対国のサイバー攻撃の戦術tactics、技術techniques、手順procedureを探知把握し知識経験を蓄積して、それを自国システムのセキュリティ強化に役立てることです。実際、マルウェアについても、敵対国は、米国のネットワークに対して使う前に、米国外でテストする傾向があるそうです。米国は、HF作戦によって、国外でいち早くマルウェアを入手して自国防衛のため対策を講じることができるのです。 サイバー軍は、HF作戦で探知した知見やマルウェアを、FBIやDHS(CISA)、そして民間企業と共有します。2018年以来、HF作戦で入手したマルウェア・サンプル90以上をサイバーセキュリティ関係者に開示しています。
なお、ホスト国の中には、感謝の印として、米国派遣チームにマルウェアを提供する例もあるそうです。そのマルウェアは、米国派遣チームの調査対象ではない別のネットワークから、ホスト国担当者が独自に発見したものです。正に、米国派遣チームにとっては最高のプレゼントです。
(7)能力の源泉:HF作戦に従事する国家任務部隊CNMFの能力の源泉はどこにあるのでしょうか。CNMF司令官のハートマン少将によれば、第1にNSAサイバーセキュリティ局との緊密な協力です。CNMFはNSA本部とフォートミード基地で同居しているので、サイバーセキュリティ局が保有する敵対国のシギント部隊(ハッカー集団)についての情報を容易に入手できます。第2に民間企業との協力です。NSAは民間企業との協力組織Cybersecurity Collaboration Center(サイバーセキュリティ協働センター)を設置しています。その目的は、NSAのシギント活動から得た機密の知見と民間企業の持つ脅威情報・専門技術とを総合して、脅威対抗のための有効情報を民間企業に迅速に提供することです。2023年6月現在の参加企業は、IT企業、サイバーセキュリティ企業など500社近くに及んでいます。CNMFはそこに「Under Advisement(相談中、又は検討中)」と称するチームを派遣して民間企業からの情報収集に努めています。ハートマン少将によれば、米国の民間企業のサイバーセキュリティ能力は極めて高いそうです。NSAや民間企業との協力から、HF作戦に従事するチームは、(敵対国の)容疑性の高い特定IPアドレス情報を入手し、或は、既知のマルウェアの特徴指標(signatures)を集めたキットを持参します。
更に、HF作戦の派遣チームの能力自体が向上しています。メンバー個人もそれまでのHF作戦で得た経験を蓄積しています。現在は、各回の派遣チーム員の半数は経験者だそうです。また、経験を基礎に訓練方法も向上し、一定の対処法が定着しています。その結果、以前は60日間の任務で対象ネットワークに本当に詳しくなるのに50日も掛っていましたが、現在は2週間以内で成果が上がるようになっているそうです。
(8)「Under Advisement」:最後に「Under Advisement」の活動について、隊長シールズ中佐の取材記事を基に説明します。「Under Advisement」の発端は、2020年米大統領選挙のサイバー防衛だそうです。当時、IT業界から大統領選挙を外国の不当な干渉から守るために協力の意向が寄せられました。そして、システムへの侵入(Compromise)の徴候や潜在的悪意あるサイバー活動の情報を提供したのです。これを契機に、民間企業も政府も同じサイバー攻撃を受けているのだから、互いに協力しようという機運が高まりました。「Under Advisement」はその民間との協力の窓口です。成果が大きいために、人員は現在12人ですが、来年には倍増するそうです。
その成果としては、例えば、サイバー軍は2022年には、民間企業22社と協力して、悪意あるサイバー活動の特徴指標149を提供しました。また、民間企業は、怪しいIPアドレス情報やマルウェアの断片を「Under Advisement」に持ち込みます。それが外国のものと判定されれば、他の企業や政府諸機関と共有し、HF作戦の担当チームにも提供されます。他方、HF作戦チームが海外で新種のマルウェアを発見すれば、「Under Advisement」がNSAのCybersecurity Collaboration Centerを通じて民間企業に警告を発し、民間企業は攻撃される前に対策を採れるわけです。
以上、HF作戦の概要を理解していただけたでしょうか。また、米国企業は金儲けばかりしているような印象がありますが、やはり国益のためには国に協力するのですね。