バカラサイト サービスが拒否されました
2014 年ワールドカップまでの数週間、ハッキング組織アノニマスがスポーツ イベントに関連するウェブサイトに対して分散型サービス妨害 (DDoS) 攻撃を開始したというニュースの見出しがいくつか出回りました。 DDoS 攻撃は、ホスト サーバーに大量のリクエストを大量に送信することで実行され、正規のユーザーがサイトにアクセスできなくなり、実質的にサイトがオフラインになります。しかし、DDoS 攻撃軽減サービス CloudFlare の共同創設者兼最高経営責任者であるマシュー プリンス氏は、DDoS 攻撃とワールドカップをめぐる見出しは恐ろしく聞こえ、関心を集めるかもしれないが、実際には、それらのサイトが実際に攻撃を受けているかどうかを知る方法はないと述べています。 DDoS 攻撃のように見えるものは、実際にはシステムの問題である可能性があると同氏は指摘します。 「どちらもインフラストラクチャに非常に大きなストレスのかかる負荷を生じさせるため、インフラストラクチャはオンライン状態を維持する必要があります。」
プリンスは、通常、Anonymous のようなツールを使用して個人から発生する DDoS 攻撃は、他のハッキング グループによる大規模な攻撃と比較すると比較的小規模であると説明します。 「アノニマスは顔も名前も無い恐ろしい存在なので大きく報道されますが、その性質上、誰でも自分がアノニマスの一員であり、攻撃を仕掛けようとしていると言えることを意味します」と彼は言う。 「これは素晴らしい見出しになりますが、ワールドカップとは関係なく、本当に恐ろしいことが現在起こっています。」
プリンスが指摘する憂慮すべき傾向の 1 つは、恐喝ベースの DDoS 攻撃の増加です。このような場合、企業はハッカーから実質的に身代金を要求する手紙を受け取り、一定の金額を支払わなければ DDoS 攻撃でオフラインにされると書かれています。 「私たちは恐喝ベースの攻撃を 4 年間見てきましたが、彼らが狙うサイトの範囲はかなり劇的に変化しています」と彼は指摘します。過去には、これらの攻撃はギャンブルやエスコート サービスなど、世間の同情をあまり集めそうにない非末端サイトを狙っていました。しかし、「最近、恐喝ベースの攻撃の数が大幅に増加しています…より主流の企業をターゲットにしています。」
DDoS 軽減サービスを提供する別のサイバーセキュリティ会社、Incapsula の Igal Zeifman 氏は、モノのインターネットの増加、つまり Web 接続を備えたデバイスの増加により、攻撃を開始することがかつてないほど簡単になっていると指摘しています。 「これらのハッカーは現在、より多くのトラフィックを生成し、基本的により多くの損害を引き起こし、大企業さえも危険にさらす可能性のあるマシンにアクセスできるようになりました。」同氏によれば、最悪の被害をもたらす高度なハッカーは、攻撃を仕掛けることで生計を立てている人々だという。 「これは彼らが 24 時間年中無休で行っていることなので、特に彼らからより高度な戦術が出てくることもわかります。」
それでも、ザイフマン氏は、適切な対価を支払う意思があれば、誰でも DDoS 攻撃を仕掛けることができると指摘しています。 「ビットコインを購入したり、PayPal アカウントを開設したり、これらの DDoS レンタル サービスのいずれかでアカウントを開設したりすれば、ほら、誰かを攻撃できるのです。」
DDoS 攻撃の規模を測定するには 2 つの方法があります。 1 つは、入ってくる帯域幅の量によるもので、CloudFlare などの DDoS 軽減策を提供する組織が測定できる帯域幅です。測定単位はギガビット/秒 (GPS) で、サーバーに到達する「ping」またはリクエストの数を測定します。
「現在、当社のネットワークに侵入する最大の攻撃は毎秒 400 ギガビットに達しており、これは非常に大規模な攻撃です」とプリンス氏は言います。これらの攻撃はレイヤー 3 攻撃と呼ばれ、物理的に処理できる量を超えるトラフィックをネットワークのポートに送信します。
ボットネット、ホストサーバーによってリモート制御されるマシンがリクエストの送信に使用されます。 (攻撃ベクトルで言及されている「レイヤー」は、通信のサイバー業界標準であるオープン システム相互接続モデルによって定義されています。)
DDoS 攻撃の規模を測定するもう 1 つの方法は、サーバーに送信されたリクエストの数です。各リクエストにはホスト サーバーが応答する必要があります。これは、誰かがノックするたびに家のドアに応答しなければならないようなものです。 「したがって、これらのリクエストのそれぞれは非常に小さい可能性がありますが、それらに対処する必要があり、最大のリクエスト フラッドは、ネットワークのエッジに到達する毎秒数億のパケットに達するでしょう。」とプリンス氏は述べています。
これらの攻撃は多くの帯域幅を占有しないかもしれませんが、対処するのがより困難になる可能性があります。大量のパケットをネットワークに送信するキャンペーンは、レイヤー 4 攻撃と呼ばれます。
攻撃の最後の分類であるレイヤー 7 は、アプリケーションに接続を開いたままにし、サーバーのリソースを効率的に消費します。そのレベルに到達するには、ハッカーはボットの身元を隠し、正規のユーザーとしてすり抜けることができなければなりません。
ネットワークを保護するには、DDoS 攻撃を吸収するためにより多くの帯域幅が必要です。企業の社内アプライアンスが 10 GPS しか吸収しない場合、11 GPS の攻撃を受けるとオフラインになります。 DDoS 軽減サービスは、世界中からリソースをプールしてクラウド上に巨大な保護ネットワークを構築することで、企業に「追加の」帯域幅を提供します。 「事前に保護策を講じていれば、こうした攻撃への対処は非常に簡単です」とプリンス氏は指摘します。 「攻撃を受けているときにこれらの保護を設定しようとすると、攻撃を軽減するのが非常に難しくなり、さらに困難になる可能性があります。」
Zeifman 氏は、DDoS 攻撃を受けたサイトの風評被害は取り返しがつかない可能性があると付け加えました。 「今のところ、代替できない(オンライン)サービスはありません。誰にとっても代替手段はあり、より優れた代替手段である必要があります。より回復力のあるサービスである必要があり、オンラインを維持するサイトである必要があります。」
需要の高いハッカー
1955 年から 1972 年まで、冷戦時代の 2 つの国家が宇宙開発競争で互いに戦った。米国とソ連は両国とも宇宙飛行能力でお互いを上回ろうと努力しており、その火は主に1957年にロシアが軌道に乗った最初の人工衛星であるスプートニクを打ち上げたことによって煽られた。この偉業は、ソ連に勝つのに十分な科学者、技術者、数学者がいないのではないかという米国の懸念に拍車をかけた。このような人材不足を解決するには、米国の若者が上記の分野のいずれかに参入するよう動機づけられることから始まります。レースが始まったとき中学1年生だったある人は言う。その人が修士号を取得する頃には、宇宙開発競争は減速しつつあった1969年になっていた。 1972 年までに、「終わりのない成長の時代は震えるほど終わりを迎え、多くの人員削減が続いた。もしこの人物がキャリア全体にわたってその道を続けていたら、浮き沈みがあっただろう。そしてすべてはうまく終わったかもしれないが、教育への取り組みが行われたときほどうまくはいかなかった。」
これは、ランド研究所が 6 月に発表した『ハッカー募集: サイバーセキュリティ労働市場の調査』というタイトルのレポートで使用された例で、現在米国に存在するサイバーセキュリティ専門家への高い需要の実際の可能性を示しています。しかし、研究では宇宙開発競争の概要を概説しているが、その主な理由として、ネットワークへの依存が増大していること、この分野に対する政府の多大な関心、そしてサイバー空間における進化し続ける高度な脅威があることから、そのような結果が出る可能性は「ありそうにない」としている。 「脅威が存在する限り、サイバーセキュリティ サービスに対する十分な需要があると考えられます」と研究では述べられています。
ランドランドの報告書は、連邦政府や民間部門の仕事を含む「米国を守るために雇用されている」人々に特に焦点を当ててサイバー専門家の雇用市場を調査し、その人材不足を解決するために現在行われている対応を検討している。潜在的に問題に対処するためのいくつかの推奨事項を示します。
この調査は、ブーズ・アレン・ハミルトン、戦略国際問題研究所、国土安全保障省国土安全保障諮問委員会などの企業が実施した、「サイバーセキュリティ人材のニーズ」に関する多数の包括的な報告書を検討することから始まる。この報告書が早い段階で明らかにしているメッセージの 1 つは、対処が必要なさまざまなサイバー問題と、政府機関や企業が職務を分類する方法が異なるため、サイバーセキュリティ専門家の厳密な定義が存在しないということです。しかし、報告書が述べているように、「彼らの根底にあるメッセージは同じです。不足が存在しており、それは連邦政府にとって最悪であり、国のサイバーセキュリティを損なう可能性があります。」
ランド研究所の上級管理科学者であり、この研究の共著者でもあるマーティン・リビッキ氏は、米国は一夜にして不足に陥ったわけではなく、また、それほど長くは解決しないだろうと述べている。 「追加供給の創出、つまりサイバーセキュリティに熟達した人材の創出には長い時間がかかります」と彼はセキュリティ管理部門に語ります。
彼はサイバーセキュリティ専門家の不足を石油市場の不足に例えています。もし今日石油価格が2倍になったとしても、需要の増加に見合うまでにはしばらく時間がかかるでしょう。 「埋蔵量を見つけ、井戸を掘削し、抽出し、精製しなければなりません。」
サイバーセキュリティ専門家を雇用する際に企業が直面する課題はさまざまです。大企業、特に民間部門は、既存のリソースをプールし、社内プログラムを通じて従業員を訓練することができます。 「民間も公的も大規模な組織は、主に内部昇進と教育を通じて、労働市場の逼迫に対処する方法を見つけているが、費用をかけて教育した人材が他の雇用主に研修を持ち込まれることを(当然のことながら)恐れている小規模な組織にとっては、この方法はあまり魅力的ではない」と報告書は述べている。多くの場合、大規模な組織は、最も才能のある経験豊富な労働者を引き付けるために、より競争力のある給与を提供することもできます。
一部の政府機関は民間企業と競争することが困難ですが、米国空軍などの大規模な軍事防衛機関や国家安全保障局 (NSA) などの諜報機関では、サイバーセキュリティ専門家の離職率が低くなります。 RAND の研究者は空軍にインタビューを実施し、空軍が「基本的なサイバーセキュリティのニーズが満たされることに満足しているが、そのために上級専門家の誘致に依存していないため、これは私たちの観察では真実である可能性がある」ことを知りました。 NSA は IT セキュリティの仕事を外部委託する可能性が高い一方で、RAND は同局とのインタビューで、サイバーセキュリティ専門家を「退職よりも自主退職」で失っていないことを明らかにした。
不足を解決するために、報告書では多くの政策変更が検討されています。その1つは、サイバースキルを持つ外国人の入国を容易にするために米国の移民政策を変更するという、よく宣伝されるコンセプトだ。 「このようなアイデアには一般的な利点があるにもかかわらず、これがどれほど役立つかを誇張するのは簡単です」と報告書は述べています。 「サイバーセキュリティ業務の大部分は海外で実施される可能性があり、米国市民権の要件により、そのような個人の数を増やしても国家安全保障のニーズを満たすことができる支援は限られています。」
重要なのは、最初からより強化されたネットワークを構築するには、より安全なシステムとソフトウェアのプログラマーが必要であり、これによりサイバーセキュリティ専門家の需要が減少する可能性があるとランドが指摘していることです。この研究では、教育政策が不足に対処する上で大きな役割を果たしていると述べている。リビッキ氏は、学生に人生の早い段階、特に中学生や高校生の時期にサイバーセキュリティに興味を持たせ、参加させることで、時間の経過とともに不足に対処できる可能性があると述べています。同氏は、大学が最近、サイバーセキュリティに重点を置いた教育の提供に積極的に取り組んでいることを指摘しました。報告書では、学校がサイバーセキュリティの提供をより具体的にしていると述べています。 「大学も、探求すべき個別のニッチ分野を見つけるという信頼できる仕事をしてきた。私たちがインタビューした大学の中には、産業制御システムを専門とする大学、大規模なアプリケーションを専門とする大学、サイバーセキュリティ管理を専門とする大学、そしてサイバーセキュリティ公共政策を専門とする大学が 4 つある。」
学生とサイバーセキュリティに取り組んでいる企業の 1 つが ESET です。ESET は、サンディエゴの北米本社で高校生を対象に毎年サイバー ブート キャンプを主催しています。学生たちは一週間をかけて、企業環境を再現したネットワークで「倫理的ハッキング」スキルを学びます。学生は、キャンプで学んだスキルを永久にのみ使用するという同意書に署名する必要があります。 ESET の上級セキュリティ研究員、スティーブン コブ氏は次のように述べています。「ハッキング スクールと呼ばれる学校に生徒を連れて行く場合、私たちは生徒を適切に指導する必要性を非常に真剣に考えています。」
コブ氏は、RAND報告書はサイバーセキュリティの人員配置における多くの課題に確かに取り組んでいるが、重要な要素であるサイバー犯罪については十分に対処できていない、と述べた。 「特にサイバー犯罪が民間部門の需要の主な原動力であるため、サイバー犯罪対応のための人員配置ではなく、サイバー犯罪削減にリソースを投入することの相対的なメリットについて、もっと分析してほしかったと思います。」と彼は言います。