近年目立つ標的型攻撃主流

サイバー攻撃の被害はランサムウェアを始めとして様々な形で増えている。サイバー攻撃にはこれまでに2つのターニングポイントがあった。1つは2000年頃で、科学技術庁などのホームページが改ざんされたときだった。想定していた攻撃が実際に日本で起こってしまったことが衝撃だった。

2つ目のターニングポイントは2010年ころ。典型的な例はStuxnetの出現になる。Stuxnetは米国とイスラエルが協力して開発したとされるマルウェアで、イランの核燃料製造用の遠心分離機を破壊した有名なウイルス。イランの核開発を1年以上遅らせたと言われている。WindowsのPCからPCに感染し、普段は何もしないが、遠心分離機の回転を制御するソフトを見つけると動き出す。2011年には三菱重工業へも標的型攻撃が行われた。

2000年ごろと2010年以降では様相が変化している。まずは攻撃目的。当初は改ざんなどでメッセージを残すといったハッカーによる自己PRが中心だった。第2のターニングポイント以降は金や機密情報目的が増えている。犯罪者もハッカー以外にアクティビストという政治的主張者も目立つようになった。

また犯罪者の組織化も進み、国家スパイや産業スパイもいる。標的はITから電力や交通といった重要インフラにまで広がりを見せている。攻撃パターンは不特定多数を対象にしたものから「標的型」という攻撃対象を絞ったものに変わってきている。先ほどのStuxnetによるイランへの攻撃だけでなく、日本年金機構への攻撃もそうだ。

企業化しているハッカー集団

日本年金機構に送られてきたメールは添付ファイルを開けたくなる文面になっており、4名がメールを開封してしまった。感染したPCから、ウイルスは環境を把握した上で、C&Cというサーバーに強制的にアクセスさせて、その環境に最適な攻撃プログラムをダウンロードしてから暴れ出した。最終的には日本年金機構のPCやサーバー31台が感染してしまった。年金番号は基幹システムだけで扱うはずが業務の効率化のため、本来なら無いはずのPC内にあったために流出が拡大してしまった。なかなか足がつかない、高度で組織的な犯罪だったといえる。流出した情報は全部で125万件。対象者は101万人だったと報告されている。

この攻撃の特徴はウイルスの亜種をどんどん作り、ウイルスチェックやワクチンからの攻撃をすり抜けるように改良を重ねている点。そのファイル作成の時間を解析すると、9~12時、14~17時に偏っていた。一般的なの勤務時刻とほぼ一致している。普通、ハッカーの攻撃なら1日中、あるいは夜のみになる。おそらく企業のような組織によるもので、日本より1時間の時差があったことから、その組織の拠点となった国は断定できないが推測はできる。

米国では2015年に同様の攻撃が行われた。米連邦政府の人事管理局がサイバー攻撃を受け、政府機関の職員や契約業者ら2150万人分もの身元調査にかかわる情報が盗まれるという大変な被害を受けた。同年にはドイツでも連邦議会にハッカー攻撃が仕掛けられ、PCの総取り換えを余儀なくされた。サイバー空間では攻撃は簡単だが、守備はとても難しく対策は限られている。

今後はどのようなサイバー攻撃が増えるか。IoT時代となりその前兆のようなものはある。ひとつは被害形態が多様化している。従来は機密性の喪失、つまりは機密情報を盗むことに主眼が置かれていた。これからは完全性や可用性の喪失ということで、情報の書き換えやシステムの停止などを狙うだろう。被害形態の多様化や攻撃対象の多様化、攻撃の多様化が起きる。結果として「機密性」の喪失だけではなく、サイバー攻撃でデータの欠損など「完全性」が崩れ、システムを継続して動かす「可用性」も失われる。

注目すべきランサムウェアの脅威

最近話題になっているのが身代金要求プログラムのランサムウェア。相手のPCの中に入り込みファイルを暗号技術で強制的にパッケージする。身代金を要求して支払われたら暗号を解除する仕組みで、足がつかないようビットコインで払うよう要求される。トレンドマイクロ社の調査によれば、25.1%の企業がこのウイルスの被害にあい、被害にあった企業のうち62.6%が支払っている。支払額は数百万円のケースもある。支払えば元に戻る場合が多いが、後で何度も攻撃を仕掛けられる可能性はあるし、裏社会に資金が流れるのでおすすめはできない。

身代金なしでの対応では解除ツールを使うほか、ボリュームシャドウコピーによる復元もできる。しかし何よりも、バックアップをしっかりとり、保管することが一番の対策になる。このウイルスにかかるとデータが暗号化されるので、完全性の喪失と可用性の喪失が同時に起こる。今、最も注目すべき攻撃なので注意してほしい。

IoT化が加速すると様々なものがネットワークにつながるので、攻撃対象も当然多様化する。対策はとても難しい。制御システムへの攻撃の例としては、2015年にウクライナ西部の都市イヴァーノ=フランキーウシク周辺で140万世帯が停電した。ウクライナ側はロシアからの攻撃と主張している。五輪を控える日本でもサイバー攻撃による停電には警戒が必要だ。

今後の一般的な攻撃対象として特に心配されているのが自動車。実際に起きた犯罪としては増幅器を使って電子キーの電波を増大させ、持ち主が車に対し近くにいると認識させ、ロックを解除させるケースがあった。そして車中のものを盗む。また、危惧されているのは外部から車をコントールしてしまう方法。良識的なハッカーが自動車会社に事前通告したうえで、自動車に対し遠隔操作を仕掛けた。すると数マイル離れたところからハンドル操作やブレーキの無効化などを実際に行うことができた。攻撃により車を制御するCAN(車載ネットワーク)が、つながらないはずのネットとつながってしまったためだ。ほかにもコンピューターが組み込まれている情報家電、防犯カメラ、コピーとFAXの複合機、医療機器などあらゆるものが攻撃対象になる。監視カメラのパスワードを設定しなかったばかりに、映像の流出も起こった。

サイバー犯罪は元手かからず割がいい

今後の対応だがますます攻撃は激しくなる。IoT時代は制御システムが大事で、セキュリティ対策は難しい。技術革新が進むことから、既存のIoTと今後のIoTに対する対策は分けて考えたほうがいい。前者はセキュアケートウェイ、後者は暗号認証機能を持つ低価格のセキュアチップの利用が効果的になるだろう。

攻撃元の組織化が進んでいる。従来のサイバー攻撃はハッカー自身によるものが中心だった。最近は犯罪者がハッカーを雇って行ったり、組織化したりしている。またロシアなど国家の関与も疑われている。サイバー犯罪は割のいい犯罪という話がある。なぜなら元手がかからず、足がつきにくい。サイバー攻撃のほか殺人などの請負までウェブを通じて行われる始末だ。

企業にとっての脅威には、サプライチェーンから調達した機器にプログラムが仕込まれ勝手に通信されるケースも考えられる。米国では中国の大手通信メーカー「HUAWEI」から調達した機器が深夜に動き、本国にデータを送信していた疑惑がある。また、中国のスマートフォンメーカー「Coolpad」が製造したハイエンド向けAndroid端末にバックドアの設置が発覚。信頼している製造国から買えばいいというわけではない。部品の製造国も疑わねばならないからだ。

研究者は攻撃の進化に対応できるように今から検討する必要がある。一般の技術者はセキュリティの動向を注意深く監視しなければならない。

(了)