2016年3月3日から4日にかけて東京都千代田区にあるJPタワーで行われた『Security Days 2016』。パロアルトネットワークスの乙部幸一朗氏は基調講演を行い、サイバー脅威の変遷について解説した。主な発言要旨は次の通りだ。【山下雄太郎】
--------------------------------------------------------------------
サイバー脅威を定義すると、大きく3つのタイプがある。まずCyber Sabotage(サイバーテロ)。国家がもつインフラなどを狙って、政治主張や宗教を背景とした活動をしていく。主に狙われるのは、政府機関や国家を象徴する社会的な建造物、インフラだ。
2つ目はCyber Espionage(サイバースパイ活動)。企業がもっている重要な情報、顧客データ、作っている製品、機密情報などを狙う活動。3つ目がCyber Crime(サイバー犯罪)。金銭を目的とし、企業や個人を攻撃。個人情報やクレジットカード情報などを狙う。
企業が一番狙われる確率が高いのは、3つ目のCyber Crime(サイバー犯罪)。しかし攻撃される側には、社会インフラに関わる企業もある。もちろん2つ目のサイバースパイ活動にも注意する必要がある。
サイバー脅威とは信用に対する脅威だ。例えば、サイバーテロ。企業の対応を見ると、1万件漏えいしたとすれば、1件あたり1000円くらいの商品券を送って終わりというケースを見かける。1万件でも、負担額が100万円程度だろう。
しかし一番のインパクトは、「信用を失うこと」だ。その会社が「個人情報を失う会社である」という印象がついてしまうことだ。顧客の心証を悪くして信用を失ってしまう形になる。
1982年、トロイの木馬がパイプラインを爆発
さて、歴史を紐解くと1980年頃から、すでにサイバーテロが起こっている。例えば、東西冷戦時代に行われたサイバー攻撃である「旧ソ連のガスパイプライン爆発事件」。これは1982年に旧ソ連のシベリアを横断するガスパイプラインが爆発したものだ。
米国の中央情報局(CIA)が旧ソ連のスパイ活動を察知。重要システムにバグを仕掛けたシステムを作成。意図的に旧ソ連に盗ませることを計画したもの。当時旧ソ連はスパイを多く米国に送り込んで、様々な社会情報を盗んでいた。
そこで米国はパイプラインの運営に必要なソフトウェアにあらかじめトロイの木馬を構成するプログラムを仕組んだ。そして実際にそれを盗み、ガスパイプラインに適用したソ連。パイプラインはコンプレッサーの圧力最大時に爆発した。
また、コードレッド(Code-Red)も有名だ。2001年7月に発見されたワームで、マイクロソフトの脆弱性を利用しものだ。2001年7月19日には36万台近くのホストコンピュータが感染したとされた。
さらに、核燃料施設を狙ったウイルス・スタックスネットもある。2010年に報告されたWindowsで動作する高機能なワーム型マルウェアだ。イランの核燃料施設で大規模な被害をもたらした。ゼロデイ攻撃の脆弱性を利用しており、USBメモリで侵入している。
メール添付のZIPファイルに、要注意
現在はどういうマルウェアが多いのだろうか?それは「バンキングトロ―ジャー」、いわゆる銀行を狙ったものだ。「Gameover ZeuS」を起源とした、オンラインバンキング向けのトロイの木馬型のマルウェアが大幅に増加している。
メールに付与されたZIPファイル(PDFをまねしたEXEファイルなど)を開くとウイルス本体をダウンロードしてしまう。なかには国内大手のECサイトの買い物をした請求メールも確認されている。感染すると、オンラインバンキングのパスワードを盗んでサーバにあげられてしまうので厄介だ。
それ以外に、企業側で事例が増えているのはランサムウェア。しかも「重要なファイルを暗号化した」というメッセージとともに、PCの操作が不能になるというパターンだ。世界的に広まり、日本版も2014年あたりから出回り始めている。
支払いもビットコインをつかって簡単に送金できるようにしつつ、画面上に時間がカウントダウンされるという手口。一定時間までに支払わなければならないというものだ。
「時間かけても戻せないから、支払おう」
また、すでに日本の大手製造業や鉄鋼企業をターゲットとした標的型メール攻撃が行われている。日本円にして1万円から数万円の請求が一般的だ。しかし感染して重要なデータを持っていることがわかると急に値段を釣り上げる。米国の病院もシステムが感染して高額な金額を請求された。
FBIに依頼したものの、「時間かけても戻せないから、支払おう」となり、およそ1万7千ドル払って復旧した。このように復旧できないし、高額の金額が発生するのがランサムウェアの仕組みだ。
一方、日本では訃報メールを装った標的型攻撃が行われている。2015年1月~3月には大手製造業などをターゲットにした標的型メール攻撃が行われた。攻撃を行ったのはDragonOKと呼ばれている、中国江蘇省を拠点としたグループだ。
メールの件名や内容も訃報を装った内容だ。日本人があたかもメールを開きやすいような内容にしてある。手の込んだことをしてくるゼロデイマルウェアだ。
現在のサイバー攻撃による脅威のトレンドとして、サイバー空間から現実世界へのマネタイズフローが徐々にできつつある。オンラインバンキングを使うタイプもあれば、ビットコインをつかって収集するものもある。
多様化する闇取引
クレジットカードや個人情報を扱う売買市場も広がりを見せている。また、スピアフィッシング、水飲み場攻撃、ソーシャルエンジニアリングの活用などがおこなわれている。このように攻撃手口が洗練化されてきている。
その他、少ないコスト、リソース、時間での攻撃が可能となっているのが現状だ。マルウェアの作成者、配偶者、使用者がそれぞれ独立しているなどの特徴がある。ブラックマーケットも多様化してきている。(後編へ続く)
