F5 のグローバル インテリジェンス責任者、ダン ウッズ氏 – Q&A

F5のグローバルインテリジェンス責任者であるダン・ウッズは、サイバーテロを捜査する特別捜査官としてFBIに、サイバー作戦を専門とする技術運用責任者としてCIAに勤務するなど、地方、州、連邦の法執行機関や諜報機関で20年以上勤務しました。 私たちは彼に会い、これまでのキャリア、F5 での仕事、そして注目すべきサイバーセキュリティのトレンドについて聞きました。

FBIで働くのはどんな感じでしたか?

FBIでは、サイバー要素のあるあらゆる種類の犯罪を捜査しました。 これらは必ずしもサイバー犯罪ではなく、何らかの形でコンピューターやインターネットが関与するあらゆる犯罪です。 たとえば、私は全米行方不明・被搾取児童センター (NCMEC) と協力して児童ポルノを調査しました。また、2001 年に米国で発生した炭疽菌攻撃 (コード名 Amerithrax) に関連するデジタル証拠の分析に協力しました。さらに、インターネット犯罪苦情センター (IC3) から紹介されるオンライン詐欺事件を調査しました。さらに、テロリストの教化や資金調達の Web サイトを調査し、米国政府のコンピューターの侵害についても調査しました。 私の日々の仕事は、現在進行中の調査、または私がサポートしている別のエージェントの調査を進めるために必要なことすべてによって決まりました。 ある日、私は仕事場にずっといて、銀行の明細書、コンピューターのログや画像、電話の記録などを確認していました。 あるいは、現場で捜索令状を執行したり、聞き込みや監視を行ったり、あるいは訓練を受けたり、会議に出席したり、検察官と会ったりすることもあるでしょう。 FBI捜査官をしていて本当に楽しかったことの一つは、毎日が違っていて、新しい課題がもたらされたことです。 

あなたはCIAの技術作戦担当官でもありましたね。 そこでの仕事内容はどのようなものでしたか?

私は技術サービスオフィス (OTS) で働き始めました。 これには、世界中を旅して、ヒューマンインテリジェンス（HUMINT）の情報源に通信システムの使い方を教える必要がありました。 この仕事は楽しかったのですが、厳密にはサイバー関連ではなかったので、CIA で他の仕事の機会を探しました。

次の仕事は夢の仕事でした。秘密情報技術局 (CITO) のコンピュータ ネットワーク悪用および攻撃部門 (CNEAD) に配属されました。この部門は後に情報運用センター (IOC) の一部となり、現在はデジタル情報局 (DDI) の一部となっています。 この役割において、私はケースオフィサー（HUMINT情報源の募集と取り扱いを担当する人）を支援するために世界中を旅しました。 これには、HUMINT ソースを活用して、ある程度のアクセス権を持つコンピューターやその他の情報システムにアクセスすることも含まれていました。 たとえば、ケース オフィサー (CO) が重要ターゲットのインターネット サービス プロバイダーで管理人を採用した場合、CO と私はその管理人と会って、ISP の環境について質問します。 これには数か月にわたる多数の会議が必要になる可能性があり、その間に私たちは管理人に特別なツールと操作の各段階のトレーニングを提供し、最終的に CIA に ISP システムへのリモート アクセスを提供します。 この役職により、COになるために必要なトレーニングも完了することができました。 これにより、CO をより効果的にサポートできるようになりました。

これらの組織で働いている間に学んだ最も重要な教訓は何ですか?

ほとんどの人は、CIA と FBI での私の経験に興味を持ち、それらの組織について多くの質問をします。 しかし、私がこれまでに就いた中で最も興味深く、人生を変えるような役職は、90 年代初頭の巡査でした。 私はアリゾナ州フェニックスの都市部で標識付きパトカーを運転し、家庭内暴力、窃盗、偽造、個人情報盗難、発砲、殺人、ギャングによる暴力、器物損壊、違法薬物、行方不明の子供や社会的弱者の成人、盗難車、交通事故などに関する通報に対応しました。 長年にわたり、私はあらゆる分野の何千人もの人々にインタビュー（または尋問）してきました。 これらの交流を通して、私は思いやり、共感、教育の価値、そして最も重要なことに、効果的なコミュニケーションの重要性を学びました。  

近年、サイバーテロはどのように進化してきましたか? これに対抗するために最もよく使われるツールは何ですか?

予想通り、サイバー犯罪者は長年にわたってより巧妙になってきましたが、それは新たな対抗手段を克服するのに必要な程度までです。 たとえば、組織が不正ログインを防ぐためにブラウザ フィンガープリントを使い始めたとき、悪意のある人物はGenesis Marketplaceのようなプラットフォームを開発しました。このプラットフォームでは、ユーザー名とパスワードだけでなく、ブラウザ フィンガープリントの生成に使用される被害者のマシンの属性の多くも販売しています。 組織がテキスト メッセージ ベースの 2FA を使用し始めると、攻撃者は OTP ボットを使い始めました。 攻撃者は進化を余儀なくされるまで進化しません。 サイバーテロと戦うために使用されるツールは、他の種類のサイバー犯罪に使用されるものと同じです。 目的に関係なく、悪意のある人物がシステムに不正にアクセスするのを防ぐ必要があります。 

各国や組織はサイバーテロと戦う準備ができていると思いますか、それともまだ道のりは長いと思いますか?

各国や組織は十分な準備ができていません。 理由は州や組織によって異なりますが、一般的な理由としては次のようなものがあります。 1) 組織が攻撃を検出し、防止するために直接的または間接的に協力する必要がある人々の間に、協力関係がないこと、または時には敵対関係があること。2) 合併、買収、またはその他のイベントにより組織が変更されたり、まったく異なるシステムが急速に統合されたりすること。3) 人事異動により組織の知識が失われること。4) 悪意のある内部関係者。5) 適切な訓練を受け、十分な資金が確保されたセキュリティ チームの不足。 多くの場合、政府や組織は、特定の機能を第三者にアウトソーシングする方がよい選択肢であるにもかかわらず、すべての課題を社内で解決しようとします。 たとえば、顧客の ID とアクセスの管理、セキュリティ デバイスとシステムの監視と管理、行動バイオメトリクスの収集と分析、悪意のあるボットの識別と防止などです。 これらはすべてアウトソーシングできる、またアウトソーシングすべき領域です。 

サイバーテロとの戦いで犯される主な間違いは何ですか?

これも、誰が戦いに参加しているかによって異なりますが、大きな間違いを 1 つ挙げるとすれば、組織が攻撃を検出して防止するために直接的または間接的に協力する必要がある人々の間に、協力が欠けていること、または時には敵対関係になっていることだと思います。 これは、セキュリティ チームとネットワーク運用チーム間の摩擦、セキュリティ チームとビジネス ユニット間の連携の欠如、さらには組織とその組織が運営されている州 (複数可) 間の目的の矛盾などである可能性があります。 主な間違いは技術的なものではなく、人的なものです。つまり、他の領地を犠牲にして 1 つの領地を拡大または保護すること、予算を蓄えること、コミュニケーションが効果的でない、ポリシーと手順が時代遅れであること、そして全体的なリーダーシップの欠如です。 

最近、欧州防衛基金（EDF）は、サイバーセキュリティ能力の向上とサイバー戦争および情報戦争に対抗するためのツールの開発のために6,700万ユーロを解放しました。 これで十分でしょうか、それともさらなる投資が必要でしょうか?

全然十分じゃない。 この問題は解決されることは決してありませんが、漸近的に解決に近づくには、費用は数十億ドルになるでしょう。 そして、上で述べた人間の問題にも対処する必要があります。 

F5 のグローバル インテリジェンス責任者としての役割について説明してください。

私は、F5 のネットワークを毎日流れる何十億ものトランザクションを調査するデータ サイエンティスト、エンジニア、アナリストと協力しています。 これらの取引は、世界中の人々が毎日オンラインで行っていることと関連しています。 これらのトランザクションに関連するクライアント側のシグナルを分析すると、悪意のある攻撃の証拠、攻撃者が使用する攻撃インフラストラクチャ、新しい攻撃ツール、新しい収益化スキームが見つかり、定期的な脅威ブリーフィングを通じてお客様と共有します。 また、これらの調査結果をフィードバック ループとして使用し、F5 のセキュリティ製品スイートの有効性を継続的に向上させています。

今後数年間のサイバーセキュリティのトレンドはどうなると思いますか?

組織は次の脅威に目を向け、計画を立てなければなりません。 しかし、組織は現在直面している実際の問題を解決することよりも、次に何が起こるかを推測することに多くの時間と労力を費やしていることが多すぎます。 たとえば、クレデンシャルスタッフィングは依然として機能します。 これは、悪意のある人物が 1 つ以上の組織で有効なユーザー名とパスワードのペアを何百万、あるいは何十億も購入または入手し、それらを他の組織のログイン アプリケーションに対してプログラム的に試行する場合です。 また、ユーザー名とパスワードを再利用する消費者の習慣により、これらの攻撃では試行されたアカウントの 0.1% ～ 3.0% が侵害されることになります。 これらの攻撃が機能し続ける限り、攻撃者には進化する動機がなくなります。

また、組織が 2FA をより広範囲に使用し始めると、攻撃者は SS7 の侵害、通信会社の内部関係者、モバイル デバイスのマルウェア、ソーシャル エンジニアリング、OTP ボット、ポート アウト、SIM スワップなど、それを破る方法を見つけ続けるでしょう。 今後、組織は、ユーザーの摩擦を増やすセキュリティ対策を導入するのではなく、ユーザーの認証を支援するためにクライアント側のシグナルにさらに重点を置く必要があります。 これには、行動バイオメトリクスのほか、デバイス、ユーザー エージェント、ネットワークからの信号が含まれます。 これらのシグナルを組み合わせることで、ユーザーの負担を増やすことなくセキュリティを向上させることができます。
_______

ダン・ウッズの最近のブログ投稿をもっと読んでみてください。