充実するツール、攻撃者優位はまだまだ続くか

現在はサイバー攻撃者が非常に優位な状況であると言います。そもそもサイバー攻撃は“少数対多数”が成り立つ非対称性があり、攻撃がしやすく、防御しづらいという特性があります。最近ではさらに、さまざまな要因からサイバー攻撃者がより優位になっています。

インターネットの黎明期には、いわゆる「スクリプトキディ」と呼ばれる個人が攻撃の主体となっていました。コンピュータやプログラムに詳しい人が、それを誇示するために不正なプログラムを作成し、拡散させていました。その内容も、画面の表示をおかしくしたり、テキストを表示したりなど、単なるイタズラに近いものがほとんどでした。

初期のウイルス感染画面の例(資料:IPA「ウイルス対策スクール」)
https://www.ipa.go.jp/security/y2k/virus/cdrom/basic/1_02.html

Windowsが急速に普及し、ウイルスやワームが登場しても、攻撃の主体は引き続き個人が中心でした。深刻な被害を与えるワームもありましたが、この時期のマルウェアは感染すると大量のウイルスメールを送信する「マスメーリング型」が主流で、攻撃者たちはいかに多くのPCを感染させることができるかを争っていました。当時のマスメーリングワームには、他のワーム作成者の悪口が書き込まれていたものもありました。

この傾向が変わり始めたのは「ボット」が登場し始めた頃です。ボットはそれまでのマルウェアとは異なり、利用者に気づかれないように感染し、潜伏します。そしてボットは感染PCにバックドアを開け、攻撃者からの命令を待ち、命令が来たら実行します。その命令内容は主に特定のサイトやサービスへのアクセスで、つまりDDoS攻撃です。金銭の要求のためにDDoS攻撃が行われるようになったのです。ボットの攻撃主体はネットマフィアと呼ばれる攻撃者の集まりで、この頃から攻撃者の組織化が加速しました。

ネットマフィアは組織化と分業化により勢力を拡大していきます。元締めとなる人間がいて、仕事としてサイバー攻撃を請け負う人間、マルウェアを作成する人間、サイバー攻撃を実行する人間、金銭の受け取りやマネーロンダリングを行う人間など、複数の人間がひとつの「キャンペーン」という組織的犯罪を行いました。サイバー犯罪グループは複数ありますが、警察当局とセキュリティベンダーなどの努力でいくつかのグループは解体されています。

最近ではサイバー犯罪者の“人材育成”にも注力!?

サイバー犯罪の組織化とともに、アンダーグラウンドのマーケットも成長しました。組織化によって技術が向上したことから、より高度な攻撃を請け負うようになります。それが、スピアフィッシングから標的型攻撃へと進化し、場合によっては国家の依頼を受けて大規模かつ巧妙で高度な攻撃を行うようになります。潤沢な資金をもとに、ターゲットごとにカスタマイズされたマルウェアを使用しますが、その技術がアンダーグラウンドのマーケットに流れて取引されるようになります。

こうしたサイバー攻撃によって盗み出された個人情報や機密情報も、アンダーグラウンドのマーケットに流れることになります。また標的型攻撃のために作成されたマルウェアのノウハウはフィードバックされ、マルウェアの作成キットなども売られるようになりました。なお、こうしたアンダーグラウンドのマーケットはウェブ上にあり、Torなど特定のツールでアクセスすることになります。

最近ではサイバー犯罪者がランサムウェアの有効性や収益性に目をつけ、さまざまな攻撃にランサムウェアを活用するようになりました。感染させる手法は標的型攻撃やフィッシングメール、正規のウェブサイト改ざんなどが中心になっています。

アンダーグラウンドのマーケットで提供されるツールやサービスも充実し、マルウェアの作成ツールには各種セキュリティ対策ソフトで検出されるかどうかをチェックする機能や、サンドボックスを回避する機能などが搭載され、またツールをクラウドサービスとして提供するケースも確認されています。

フィッシングサイト作成ツール(左)とリモートアクセスツール(右)
(資料:EMCプレス向け資料)

正規のウェブサイトをワンクリックでコピーしてサーバに公開できるツール、DDoS攻撃用にボットPCをレンタルするサービスも登場しており、サイバー犯罪者はより容易に、かつ安価に、サイバー攻撃を行える環境がそろっていると言えます。さらにハッカーなどサイバー犯罪者を養成するeラーニングコンテンツやフォーラムも確認され、人材育成にも余念のないことがうかがえます。もうしばらくは、サイバー犯罪者優位の状況が続きそうです。