サイバー犯罪者の関心は、個人データの窃取から利益に直結する他の活動へと移り始めている――SANS Instituteのエキスパートはこのように述べました。先日のRSA Conferenceで開催されたラウンドテーブル「The Seven Most Dangerous New Attack Techniques」(新たに登場した最も危険な7つの攻撃手口)において、ヨハネス・ウルリッヒ(Johannes Ullrich)博士は興味深いスライドを見せてくれました。見出しは「Changes in malware economics」(マルウェア経済の変遷)と控えめでしたが、そのスライドの中にあったのは、過激な一言でした。いわく、「ALL DATA HAS BEEN STOLEN」(あらゆるデータはもう盗まれている)。
ウルリッヒ博士によると、米国だけでもすでに1億9,100万件の有権者情報がサイバー犯罪者の手に渡っています。米国の総有権者数が1億4,200万人であることを考えると、一部の情報は複数回盗まれたということです。クレジットカード情報の場合、発行されたカード1億7,000万枚のうち6,100万枚が不正アクセスの被害を受けました(2014年のデータ)。この数字自体はさほど衝撃的ではありませんが、懸念を生じさせることは間違いありません。
今日は「Data Privacy Day」。データ流出は、データを流出された個人だけでなく、流出させた企業にもダメージを与えます。2014年の事例を元に見ていきます。 http://t.co/ZG1eGWGdNU pic.twitter.com/0LB6Im5FmF
— カスペルスキー 公式 (@kaspersky_japan) January 28, 2015
サイバー犯罪を1つの業界として見ると、ハッカーの「熱心な」働きによって余剰「製品」が出回るようになり、その結果、闇市場でのデータの価格は下落しました。こうした流れから、個人情報の窃取は以前ほど儲けを見込めなくなり、事業としての魅力が失われてきたため、ハッカーは利益の出る方法を新たに模索し始めました。現在は標的が個人か企業かに関わらず、直接身代金を要求する傾向が強くなっています。
DDoSを利用した脅迫事件の数は激増しています。犯罪者は、標的が身代金を支払うまで攻撃を止めません。ランサムウェアはさらに多様化し、より精巧になっています。最近話題になったランサムウェア攻撃の中に病院を狙った事例が2件ありましたが(英語記事)、そのうちの1件では重要な情報を復号するために身代金を支払わざるを得ない状況に病院側が追い込まれました(英語記事)。
The longest #DDoS attack in Q4 2015 lasted for 371 hours (or 15.5 days). https://t.co/mTTUwEKsNw #KLReport pic.twitter.com/taDBla5k6v
— Kaspersky (@kaspersky) January 28, 2016
目立たないながらも増加しているのは、Webサイトへのアクセスをブロックする次世代型ランサムウェアです。最近では、数多くのWordPressブログがCTB-Lockerの攻撃を受けています(英語記事)。サイバー犯罪者はWordPressエンジンの脆弱性を突いて侵入し、Webサイトのコンテンツをすべて暗号化します。続いてWebサイトにコードを数行追加し、被害者がブラウザーでこのページを開くと「テクニカルサポートとのチャット」のような形で攻撃者とやりとりできるようにしました。
犯罪者は「誠意」を示すために、無料で2つのファイルを復号してくれます。「たかがブログのために身代金なんて払うだろうか」と疑問に思う人もいるかもしれません。しかし、WordPressエンジンはシンプルで使いやすいため、多くのオンラインショップや企業のWebサイトで採用されています。こうしたケースでは、Webコンテンツの価値は膨大なものかもしれません。
データの暗号化は、データの窃取と同等ではありません。結論として、暗号化の方がたちが悪いかもしれません。RSA 2016で講演したNSA局長のマイケル・ロジャース(Michael Rogers)海軍大将は、最も恐ろしい悪夢の1つにこれを挙げました(英語記事)。「もしも同じ活動がデータ、ソフトウェア、セキュリティ製品の操作に使われ、目の前にあるデータが突然信頼できなくなったとしたら、どんなことになるでしょうか?我々はどう対処すべきでしょうか?」
一般の人々も、PCデータを暗号化するランサムウェアに今後も注意する必要があります。また、攻撃者はスマートフォンを狙う機会をこれまで以上にうかがっています。Android向けのランサムウェアはすでに登場しており、データを暗号化するだけでなく、端末自体を完全に使用できなくしてしまいます。
大部分のスマートフォンは脆弱性(Stagefrightなど)が未修正のままであり、Androidマルウェアも急速に複雑化しています。そのため、携帯電話や銀行口座からお金を盗み、さらに身代金を要求するという破滅的な攻撃が確認されています。
モバイルプラットフォームを狙うマルウェアは、数が増えているだけでなく機能も進化を遂げています。近年の変遷をみてみましょう。 https://t.co/rZY14Fo0Ke pic.twitter.com/ORCTTl66XS
— カスペルスキー 公式 (@kaspersky_japan) April 7, 2016
SANSのエキスパートたちは保護手段についてはあまり触れなかったので、ここで補足しておきましょう。
- Webサイトを所有している人は、WordPressとWordPressアドオンを定期的にアップデートしましょう。アップデートは退屈な作業なので、自動的にやってくれるWordPress専門ホスティングサービスの利用を検討してみてください。
- 通常はホスティングプロバイダーがWebサイトのバックアップを行っているので、そのバックアップを定期的にダウンロードし、オフラインのストレージに保存しましょう。
- 重要なデータは定期的にバックアップし、独立したストレージに保存しましょう。外付けのハードディスクがベストです。スマートフォンの場合、クラウドストレージを利用し、重要なデータをすべてアップロードすることをお勧めします。
- 自宅のPCを適切に保護しましょう。ちなみに、カスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)は、ファイルを暗号化しようとする不審なアクティビティを検知した場合、そのファイルを保護してくれます。
- 使用しているすべてのデバイスで、OS、ブラウザー、アンチウイルス製品、主要アプリケーションを定期的にアップデートすることが肝要です。時間がかかりそうな場合は、自動アップデートをお試しください。