攻撃者を泣かせる : ディセプションで出し抜く

Black Hat 2025 カンファレンスのためにラスベガスへ行く予定がある方は、Fastly の最新セキュリティイノベーションをいち早くご覧いただけるチャンスをお見逃しなく。今回のテーマは「攻撃者を泣かせる」です。

Fastly は、お客様のセキュリティツールボックスにさらに高度な防御手法を提供しつつ、これまで通りの使いやすさを維持しています。Fastly Next-Gen WAF は、従来のブロック/許可という Web アプリケーションファイアウォールのパラダイムを超えた進化を実現しました。

今回、Next-Gen WAF に新しいアクションタイプ「ディセプション (欺瞞)」を導入したことで、お客様がサイバー攻撃者やボットオペレーターを欺くことができるようになりました。このアクションを使用すれば、セットアップやメンテナンスの手間を一切かけずに、アカウント乗っ取り (ATO) という一般的な攻撃ベクトルに対して新しいユニークな方法で対抗することができます。

この新しいアクションにより、攻撃者は侵害された認証情報が無効であると考え、検出されて追跡されたとは思わなくなります。そのため、攻撃者は時間とリソースを無駄にし、自分のツールキットに疑問を抱き、気付かないうちに捕まってしまいます。目的は、攻撃者がイライラして諦めてどこか別の場所に行くようにすることですが、まずは捕らえられることです。

(図1 : 設定)

このアクションを設定したルールがトリガーされるたび、Next-Gen WAF はディセプションレスポンスを示すシグナルを生成します。

（図 2：リクエストとシグナル）

この新しいアクションは、攻撃者の好奇心と粘り強さを逆手に取り、形勢を逆転させるのに役立ちます。これにより、WAF をご利用のお客様の防御体制を大幅に強化し、よりインテリジェントで適応性の高いセキュリティ対策を構築するための継続的なフィードバックループを実現することができます。

まず最初に、欺瞞とは何ですか？

サイバーセキュリティにおいて、ディセプション (欺瞞) は新しい概念ではありません。歴史上、特に戦争において、欺瞞作戦は多くの状況で成功裏に実施されてきました。また、カモフラージュや擬態など、自然界にも同様の特性が存在します。たとえば、木の枝に似た昆虫や、有毒種と似た縞模様を持つ無害な蛇を想像してみてください。

歴史やセキュリティの分野でよく知られている古典的な例としてはトロイの木馬が挙げられます。これは有名なサイバー攻撃ベクトルの名称にもなっています。ディセプションには、わざと脆弱性を放置した複製のアプリケーションサーバーを稼働させて攻撃者の注意を本物のサーバーからそらす単純な手法から、攻撃者が真実と虚偽を見分けられないように混乱させる (ガスライティング) 高度な手法まであります。

ディセプションとは、単にリソースへのアクセスを拒否するのではなく、精巧に作られた誤情報やシミュレートされた動作によって潜在的な攻撃者を巧妙かつ戦略的に誘導する手法です。これにより、サイバー攻撃者に混乱、摩擦、フラストレーションを与え、攻撃を諦めさせ、より簡単な標的へと移動させます。さらに、攻撃者を「安全だ」と思い込ませることで油断させ、ディセプションシステム内での行動を観察することで、実際に活用できる有益な情報を引き出すこともできます。

欺瞞行為については、倫理的に問題がある、または組織の価値観に反すると考える人もいるかもしれませんが、これらの手法は効果的であり、攻撃者が不正な目標を達成できないようにするための「ノイズ」の層として責任を持って運用できることが研究で証明されています。つまり、「火をもって火に対抗する」ことができるのです。

問題 : 攻撃者は愚かではない

ディセプションといえば、ハニーポットインフラストラクチャを想像する人が多いでしょう。これは、攻撃者を本物ではない複製されたシステムに誘導する方法であり、アプリケーション・サーバー・インスタンスの追加やネットワークインフラストラクチャ全体の並列実行などが必要になる場合があります。これらの手法は数十年にわたって使用されており非常に効果的ですが、多くのリソースが必要になり、管理が複雑で、リスクも伴います。

また「アプリケーションのセキュリティが実際よりも堅牢であるかのように装う」ディセプション手法もあります。これは、玄関に偽の防犯カメラを設置したり、脅威に直面した鳥が羽を膨らませて体を大きく見せたりするような方法です。これらは十分に確立された手法であり、(鳥などは特に！) 現場で実証済みです。

このような実績ある手法にはどのような問題があるのでしょうか？まさにあなたが考える通りです。攻撃者は賢く、ハニーポットや他の従来のディセプション手法について知り尽くしており、これらの戦術を常に警戒しています。つまり、玄関に設置された防犯カメラが偽物であることを知っているのです。

解決策 : 攻撃者を泣かせる

進化する攻撃手法に対抗するには、ディセプション手法も進化する必要があります。攻撃者の行動を理解するには、人間の学習、行動、意思決定の仕組みを理解することから始めなければなりません。攻撃者は人間であり、自動化された攻撃も人間によって設計・実行されるため、人間の行動から学んだ原則を活用することで攻撃に対抗することができます。

Web アプリケーションファイアウォールの例に戻りましょう。従来の WAF によるブロックの仕組みは、攻撃者が侵入を試み、WAF がそのリクエストを検出してブロックするという「いたちごっこ」です。リクエストが WAF によってブロックされると、攻撃者は自分が検知されたことを認識し、防御策を回避するための方法を即座に再構築し始めることができます。ディセプションは、このいたちごっこのルールを変え、攻撃者を混乱させ、適応を難しくします。

Next-Gen WAF におけるディセプションを見てみましょう。アカウント乗っ取り攻撃を仕掛けてきた攻撃者に対して、通常のようにアクセスをブロックするのではなく、盗んだ認証情報が単に使えないだけだと思い込ませます。攻撃者は資金を費やしてその認証情報を購入しており、当然機能するはずだと期待していましたが、実際には使えなかったことで混乱し、苛立ちを募らせる結果となります。また、アクセスが拒否、検知、追跡されているとは思わず、騙されていることにも気づきません。これにより、自身の攻撃手法を疑わせ、リソースを浪費させ、うまくいけば撤退を促すこともできます。

しかし、より重要なのは、この戦術が攻撃者に心理的負荷を与え、攻撃者を苛立たせるという点です。別の言い方をすれば、攻撃の速度を低下させることで、攻撃者にとっての機会費用を増大させることができるのです。攻撃には、標的の選定、攻撃の実行、作戦の実施、終了タイミングの判断など、実際のインフラストラクチャや人的コストがかかります。これらのプロセスの摩擦を増やすことで、攻撃者に費用、時間、労力を強いることができ、攻撃者を泣かせるようなディセプションを戦略的に導入することで、攻撃者の行動に直接影響を与えることができます。

サイバー犯罪にも、他のビジネスと同様に「利益と損失」の概念があります。ディセプションアクションによって摩擦、不確実性、無駄な労力を増やすことで、攻撃者の収益に直接攻撃を与えることができ、攻撃者の ROI の期待を純損失に変え、あなたの組織を「利益にならない標的」とすることができます。

ディセプションのさらなる深みへ

ディセプションはどこまで高度化できるでしょうか？可能性は無限です。ディセプション手法を使って「ディセプション環境」を作り出せば、攻撃者を迷路のような鏡の部屋に迷い込ませ、方向感覚や判断力を失わせることも可能です。

ディセプション環境とは、攻撃者をおびき寄せて観察するために構築された、完全なシステムを複製した隔離環境です。ディセプション環境で攻撃者の行動を追跡することで、「攻撃に対するオブザーバビリティ」を実現することができます。従来のオブザーバビリティ手法がシステムやアプリケーションの「あるべき動作」と「実際の動作」との差異を把握するのに役立つのと同様に、攻撃に対するオブザーバビリティは、システム所有者が実際のデータとインサイトを通じて攻撃者の行動に関する自分たちの認識を検証することを可能にします。これにより、リアルタイムで意思決定を行えるようになり、悪意のある行為を防ぐためにシステム設計や防御策を改善できます。

ディセプションでは、現在の攻撃手法や進化する攻撃手法について詳細なインサイトが得られます。ディセプション環境に対して攻撃者が何かを行う際、実際の脆弱性を露呈したりリスクをもたらしたりすることなく、攻撃者の行動、手法、目的を綿密に記録・分析できます。こうして得られた知見は、システム所有者が攻撃者の戦術を理解し、防御をプロアクティブに強化し、より堅牢な戦略を策定するのに役立ちます。

つまり、攻撃者は、自分が騙されていることに気づかず、現在および将来の攻撃がどのように準備、実行、調整されているかについて有用なインサイトを露わにするような行動を取るということです。

「ソフトウェアエンジニアリングチームが最先端のインフラストラクチャとシステム設計の専門知識を活用すれば、セキュリティ専門家には困難なディセプション戦術を実現できるようになります。コンピューティング技術の進歩により、エンジニアリングチームはディセプションシステムの所有者として大きな成功を収めることができるでしょう」(Shortridge & Petrich、2021年)

攻撃者を混乱させる準備

Fastly は、Next-Gen WAF にディセプション機能を導入し、お客様がすでに構築して使用しているプロダクトやルールに簡単に組み込めるようにしました。今後のリリースでは、ディセプション機能を他の攻撃タイプや Fastly の他のセキュリティプロダクトにも拡大していく予定です。

私たちのビジョンとしては、新規および既存のすべてのセキュリティプロダクトにディセプション機能を組み込み、本番環境全体でエンドツーエンドの攻撃者追跡を実現することを目指しています。攻撃者を不安に陥れ、同じ手段で反撃できるようお手伝いします。

Fastly はセキュリティのイノベーションとインサイトの最大の舞台である Black Hat USA 2025 のブース#2661に出展します (8月6日～7日開催)。Fastly の Edge Cloud Platform と Next-Gen WAF が、組織のスピード、セキュリティ、レジリエンスをどのように支援するかをご紹介しますので、ぜひご参加ください。

今年は Black Hat に参加できませんか？ご安心ください。Fastly のセキュリティ専門家チームにチャットすると、パーソナライズされたデモにより Fastly がどのようなメリットをもたらすかをご確認いただけます。