クレジットカード

情報を完全に守りきることはできない。それは現実と同じだ。現実と異なるのが、「攻撃者」が圧倒的に優位で、野放しになっている点だ。「被害者」は批判を恐れ、事実を伏せる。それが新たな攻撃を呼ぶ──。



--------------------------



　ソニー、三菱重工、衆参両院、在外公館……。この1年だけでも、企業から政府機関に至るまで、あらゆる組織がサイバー犯罪の被害にあった。しかしこれらは氷山の一角にすぎない。衆議院事務局の不正アクセス事件でも調査を行ったラックの西本逸郎最高技術責任者は、「これまでに調査した企業のうち、約半数は不正侵入者が内部を牛耳っていたようだった」と話す。

「クレジットカード情報の流出事件で企業の内部を調査すると、カード情報を盗み取る前に、すでに別の人間が不正侵入していたことがわかります。それが約半数。カード情報を盗めば、痕跡が残る。しかしそれ以前の侵入には痕跡が残されていない。目的ははっきりしませんが、企業内を監視する『スパイ行為』を行っていた疑いが強い」



　これまでサイバー犯罪は、自己顕示や金儲けが目的だった。目的が明確であれば対処もしやすい。しかしその陰で目的不明のハッカーが暗躍している。

　そもそもハッカーとはコンピュータの仕組みや構造に熟知した人間のことを指す。その豊富な知識を利用してパソコンなどに不正侵入することを「ハッキング（またはクラッキング）」と呼ぶ。ハッキングではコンピュータの「脆弱性（セキュリティの穴）」が狙われる。そのときの道具が「ウイルス」や「マルウエア」と呼ばれる悪意のあるプログラムである。



　世界ではじめてのウイルスは、1986年にパキスタンのプログラマーが作った「ブレイン」だといわれる。これはフロッピーディスクを介して感染するウイルスで、不正コピーの警告が目的だった。以後、さまざまな種類のウイルスが出回るが、いずれも作成の動機は自己顕示や好奇心、怨恨であり、「感染させること」が目的だった。

　こうした状況は2004年ごろの「ボットネット」の出現で一変する。ボットネットとはウイルスに感染した大量のパソコンを遠隔操作するシステムだ。ハッカーたちはメールの添付ファイルなどを通じてウイルスを感染させ、数百万台ものパソコンを「ボット」に仕立てる。そうしたパソコンを使って、アクセスを集中させて標的のサービスを妨害する「DDoS（ディードス）攻撃」や、大量の迷惑メールを転送する「スパム送信」などを行う。



　ボットネットの「サービス」はさまざまな「裏市場」で販売されている。セキュリティソフト会社のジーデータによると、1時間の「DDoS攻撃」が1000～1万5000円、100万通の「スパム送信」が3万～8万円で取引された。収益はすさまじい。11年11月には、米連邦捜査局などが、エストニア人6人によるハッカー集団を逮捕した。容疑者らは400万台のボットを使い、5年間で1400万ドルを稼いでいたという。ボットネットの登場で、ハッキングはカネを稼げる行為に変質した。NTTデータ先端技術の辻伸弘氏は話す。

「金銭が目的になってから、犯罪組織の進出が目立つようになりました。世界的な不況を背景に、優秀なプログラマーが犯罪組織に取り込まれています」

「市場化」の進展で、ボットネットをめぐる価格競争すら起きている。ジーデータの瀧本往人執行役員は話す。

「8月に発見された『アルディ・ボット』は、ドイツや米国でチェーン展開している量販店『アルディ』の名を借りたものです。同店は『高品質で驚くほどの価値』を売り物にしていて、このボットネットも5ユーロという破格値で売り出されていました」

　そしてボットネットによる被害はなかなか表に出てこない。サイバーディフェンス研究所の福森大喜氏は話す。

「企業はサイバー犯罪の被害を公表したがらない。そこにつけ込む隙ができる。『DDoS攻撃』では最悪でもサーバーをダウンさせることしかできませんが、完全に防ぐ方法もない。ネットサービスではサーバーのダウンは致命的な信用低下を招くため、攻撃者の脅迫に屈するケースもあるようです」



　ボット化されるパソコンは増え続けている。背景にあるのが、簡単にウイルスを作成できる「ツールキット」の普及だ。裏市場では、さまざまな種類のツールキットが販売されていて、選択肢を選ぶだけで、思い通りの機能をもった亜種が作れる。一方、ウイルス対策ソフトは、新種ウイルスが見つかるたびに、「パターン・ファイル」にその特徴を書き加えてきた。しかし亜種の大量発生でパターン・ファイルが肥大化。「動作が重い」として、対策ソフトの起動や更新が避けられる一因にもなってきた。

　シマンテックの「インターネットセキュリティ脅威レポート」によると、ウイルスの種類は04年から増え始め、10年には1000万種を超えた。同社シニアマネージャの米澤一樹氏は「09年から10年にかけて、ツールキットとボットネットという（裏市場の）『周辺産業』が育ってきた」という。



　ジーデータの瀧本氏は話す。

「かつてマルウェアはプログラマーの数しかなかった。それがこの数年で急増している。開発者たちは見つかった脆弱性には早急に対応しているが、常に最新版を使っているような意識の高いユーザーばかりではない。ウイルス対策ソフトですら、更新がされず、正しく使われていないケースが見られる」

　利用者の意識の向上は重要だ。ただネットワークは、どこか一つが破られれば、致命的な結果を招く。人間が扱う限り、絶対はない。一方、攻撃者は海外にいて、摘発される恐れは小さい。攻める側が圧倒的に有利で、守る側はミスをすれば厳しい責任追及を受ける。





■標的型は100万分の1。発信元はロシア、中国



　サイバー犯罪といえば、国際的な匿名ハッカー集団「Anonymous（アノニマス）」の名が、「ソニー事件」で大きく報じられた。発端は、11年1月に、米国のカリスマハッカーであるジョージ・ホッツ氏が、ソニー製のゲーム機「プレイステーション3」の改造ソフトを公表したことだった。ソニーはホッツ氏を米連邦地裁に提訴。これに対しアノニマスは「ゲーム機をハッキングするのは購入者の権利。ソニーは訴訟ではなく技術で対抗すべき」と反発。4月3日、ソニーへの攻撃を行うと宣言し、ソニーのサーバーが「DDoS攻撃」を受けた。さらに4月19日にはサーバーが不正に侵入され、約1億件の個人情報が盗み出された。



　多くの犯罪と同じく、サイバー犯罪でも犯行を公表する人間は稀だ。アノニマスのケースも、極めて特殊だ。実際、アノニマスは2つの事件のうち、後者の個人情報流出は関与を否定している。メンバーに接触した経験をもつNTTデータ先端技術の辻氏は話す。

「アノニマスは不正侵入など違法性のある抗議行動だけでなく、デモなどの合法的な活動を行うメンバーもいて一括りにはできません。11年2月に米国のセキュリティ会社のトップを攻撃し、パスワードやメールを盗んでいますが、それ以前は個人情報漏洩には関わらなかった。彼らは『公表している我々ではなく、公開されていない事実を恐れるべきだ』とも発言しています」



　犯人捜しはあまり意味がない。ソニーの事例から学ぶべきことは、標的になった組織は情報流出を免れないという事実だ。サイバー犯罪全体でも、「標的型攻撃」と呼ばれる巧妙かつ執拗な手口が増えている。その多くは攻撃者も被害者も事実を公表しないため、水面下に隠れている。冒頭に紹介したスパイ行為も、標的型だとみられる。

　具体例を紹介しよう。11年10月、警察庁は三菱重工など防衛関連企業が受けた標的型攻撃に関連して、実際に送信された攻撃メールの例を公表した。警察庁の解析によれば、攻撃者は、まず標的とする事業者の関係者のパソコンを狙った。そして関係者が事業者にメールを送った約10時間後に、そのメールの大半を引用した攻撃メールを送信していた。メールの文面をみれば、攻撃者は日本語が堪能で、組織の内部事情にも詳しいことがわかる。



　全世界で1100万人のユーザーをもつ「シマンテック・ドット・クラウド」の収集データによれば、流通するメールの74.2％がスパムで、235通に1通の割合でマルウエアが含まれる。大半はボットネット構築用だが、ウイルス添付の5000通に1通、全体では100万通に1通は標的型攻撃のメールだ。同社のシニアアナリスト、マーティン・リー氏は話す。

「マスをターゲットに大量送信されるスパムとは違い、標的型は特定個人の興味を調べ上げている。またツールキットに頼らず、高い技術をもった人間がオーダーメードで作っている。高度かつ数が少ないため、検知が難しい」

　誰が、何の目的で行うのか。リー氏は彼らを「ギャング」と呼び、アジアと東欧にいる可能性を示唆する。そこには中国とロシアという大国がある。

「メールの発信時刻を分析すると、規則性がみえる。朝9時ごろから『仕事』を始め、ランチブレークを取り、午後にピークがきて、夜になると『帰宅』する。時間帯を考えると、それはアジア地域と東欧地域にあたる」

　ラックの西本氏も攻撃者が「勤務」している様子を感じると話す。

「活動時間や潜入後の動きをみていると、仕事として淡々とやっているように感じます。金目的の攻撃者は、血眼になって個人情報を探す。目的不明の攻撃者は、侵入された企業が騒ぎ出さないように、個人情報には触らない。専門家の間では07年ごろから『スパイ行為』の発生が知られていました」





（サイバー犯罪～「安価なスパイ」が弄ぶ丸腰・日本の危機 [後編]に続く）



-------------------------------------------



星野貴彦＝文





(この記事は経済総合（プレジデント）から引用させて頂きました)

SHARP ( シャープ ) オーブンレンジ（20L） RE-S204-W ホワイト系 送料無料・クレジットカードO... 価格：17,400円（税込、送料込）

au 機種変更