FBIがサイバー捜査訓練施設「KCR」を公開、リアルな町並みで実践訓練

米連邦捜査局（FBI）が、住宅やホテル、病院、電力会社、ガソリンスタンドなどが並ぶ町を屋内に再現した、サイバー捜査の訓練施設を運用している。「Kinetic Cyber Range」（KCR）と呼ぶ約2000平方メートル（バスケットボールコート約5面分）の施設で、2025年2月の開設以降、FBI職員や他機関の関係者ら含む1400人超の学生を訓練してきた。FBIは6月9日（現地時間）に公開した記事で、その内部を紹介した。

KCRはアラバマ州ハンツビルのレッドストーン兵器廠にあるFBIの北キャンパスに立地し、デジタル・フォレンジック（デジタル機器からの証拠解析）を担う運用技術部門が運営する。住宅やホテルの客室、電力会社、病院、ガソリンスタンドのほか、データセンターやビジネスセンターが連なる。各区画には実際に動くシステムやネットワーク、機器を組み込み、実際の現場と同じように稼働させている。

訓練は施設内の各区画で、捜査の場面ごとに行う。ある演習では、ネット接続機器が室内にあふれる家の中を見て回り、何を押収する・しないかを判断する。別の演習では、受講者が企業に捜索令状を発行し、企業のシステム管理者の協力を得ながら、社内ネットワークに保管されたデータにアクセスしていくという。

車両格納庫では、車が搭載するシステムからデータを取り出す。8週間のデジタル・フォレンジック検査官の養成課程では、車両のコンピュータを物理的に取り外し、証拠となり得るデータを抽出することで、車がどこを走行し、どう使用され、誰が運転していたのかといった手掛かりを引き出す。

施設内のデータセンターは、WindowsやLinuxで動く200台超のサーバを設置している。KCRのプログラムマネジャーを務めるデイブ・ビーチボード氏は「寒くて、狭くて、うるさくて、暗くて、つらい」と話し、過酷な作業環境をあえて再現していると解説している。

KCRでは、運用技術部門とサイバー部門（コンピュータへの侵入事件を捜査する部門）が連携しながら訓練する。サイバー事件は国境をまたいで発生するため、相手のPCや携帯電話といった物的証拠が手元に入ることはほとんどない。そのため、サイバー部門の演習では、機器の押収より、侵入の発生源やマルウェアの広がり方を特定することを学ぶ。時にはシステムや管轄区域をまたいで追跡することもあるという。

緊張感を高める演習もある。施設内の病院を舞台に、模擬的なランサムウェア攻撃で院内のシステムが止まる。警報が鳴る中、病院関係者を演じる協力者が、患者の治療が立ち行かなくなりかねない事態さながらに振る舞い、早急な対応を迫る。受講者は、止まったシステムの復旧という技術面と、慌てる関係者への説明の両方に同時に向き合うことになる。

また、人とのやりとりを学ぶ場面もある。受講者は企業の経営者や役員、法務担当を演じる協力者に聞き取りを行い、自分たちの行動内容と理由を説明する練習を重ねる。サイバー訓練を率いるステファニー・カシオッピ氏によると、聞き取りは、捜査側が収集する情報の内容に加え、収集しない情報についても、企業に理解してもらう狙いがあるという。

ビーチボード氏は各演習のシナリオについて「できる限り本物に近づけている。全て過去の事例に基づいている」と説明する。現場に出る前に失敗を経験させる狙いもあるという。「KCRで失敗してほしい。ここでなら『現場でやってはいけないことだ』と手をたたいて教えられる」とのこと。

技術の進歩に合わせてシナリオも更新する。コネクテッドデバイス（IoT機器）や新手のサイバー犯罪など、新たな脅威を取り入れ続けるという。「訓練に穴が見えれば調整する。最新のソフトウェア、最新のIoT機器、最新のドローン、最新の車両鑑識に受講者が触れられるようにし、常に最先端を保つ」と説明している。