サイバー攻撃の大半は、特にセンセーショナルではありません。「コンピューターを暗号化した、解除したければ金を払え」というメッセージが画面に表示されるような最悪なケースもありますが、目に付くような異常が現れないのが一般的です。マルウェアの多くは可能な限り目立たないように活動し、検知される前にできるだけ多くのデータを盗み出そうとします。
しかし、そのスケールと洗練度ゆえに、人目を引かずにはいられなかったサイバー攻撃もあります。この記事では、過去10年間で発生したサイバー攻撃の中でも特に注目を集め、大きな被害をもたらしたことで知られる5大サイバー攻撃を紹介します。
WannaCry:まさに伝染病
WannaCryの攻撃は、ランサムウェアというものについて、またコンピューターマルウェア全般について、人々に知らしめることになりました。WannaCryの攻撃者は、Equation Groupというハッカー集団が作成したエクスプロイト(Shadow Brokersが公開したもの。リンク先は英語記事)を悪用して、怪物のような暗号化型ランサムウェアを作り出しました。このマルウェアは、インターネットやローカルネットワークを経由してあっという間に拡散されました。
4日間にわたるWannaCryの大流行により、150の国で20万台超のコンピューターが感染しました。感染は重要インフラにも及びました。医療機関の中には、医療機器を含むあらゆるデバイスが暗号化されたところもありました。生産停止に追い込まれた工場もありました。近年の攻撃の中で、最も感染規模が大きかったのはWannaCryの攻撃です。
WannaCryの詳細はこちらをご覧ください。WannaCry感染を企業の視点から見た記事は、こちらとこちらです。なお、WannaCryは現在も活動しており、世界各地のコンピューターを危険に晒しています。Windowsを保護するための設定方法については、こちらの記事をお読みください。
NotPetya/ExPetr:これまでで最も被害額の大きかったサイバー攻撃
規模の点ではWannaCryがナンバーワンとはいえ、被害額の大きさのタイトルを手にするのは、別の暗号化型ランサムウェアであるExPetrです(技術的にはワイパーですが、結論は変わりません)。ExPetr は、NotPetyaと呼ばれることもあります。このワームも動作原理はWannaCryと同じで、EternalBlueエクスプロイトおよびEtrernalRomanceエクスプロイトを利用してWeb上を動き回り、経路上にあるあらゆるものを暗号化し、回復不能にしました。
感染したマシンの総数は少なかったのですが、NotPetyaに感染したのは主に企業でした。その理由の1つは、初期の攻撃媒介の1つが会計ソフトウェアのMeDocであったことです。サイバー犯罪者は何らかの方法でMeDocのアップデートサーバーを掌握し、このソフトウェアを使用する多数のクライアントに、更新プログラムに見せかけたマルウェアを侵入させました。ネットワークを通じて、感染はさらに拡大したのです。
NotPetyaによるサイバー攻撃の被害額は、100億ドルにのぼると推定(英語記事)されています。WannaCryの場合は、さまざまな見積もりによると、40億~80億ドルの範囲です。NotPetyaは歴史上最も被害額の大きい、世界規模のサイバー攻撃だと考えてよいでしょう。この記録がいつか破られるとしても、遠い未来のことであることを願うばかりです。
NotPetya/ExPetrの感染に関する詳しい情報は、こちらの記事に掲載されています。企業が被った損害についてはこちら(英語記事)で検証されています。また、大企業の事業に支障を生じさせるこの攻撃は、コンピューターが感染してしまった企業だけでなく、他の人々にも影響を及ぼしました。なぜそうなったかについては、こちら(英語記事)をご覧ください。
Stuxnet:精巧なサイバー兵器
最もよく知られた攻撃と言えば、おそらく、イランでウラン濃縮遠心分離機を無効化し、数年にわたって同国の核プログラムを停滞させた、複雑かつ多面性を持つあのマルウェアでしょう。産業システムにサイバー兵器が使用されていると噂されたのは、Stuxnetが最初でした。
その当時、複雑さと狡猾さでStuxnetに並ぶものはありませんでした。このワームはUSBメモリを通じてひそかに拡散され、インターネットやローカルネットワークに接続していないコンピューターにも侵入しました。
誰にも制御できないまま感染は広がり、またたく間に世界中で増殖し、数十万台のコンピューターが感染しました。しかし、これらのコンピューターに損害は生じませんでした。Stuxnetは、特定のタスクを遂行するために作成されており、Siemensのプログラマブルコントローラーおよびソフトウェアによって制御されているコンピューター上でのみ動作しました。そうしたコンピューターに入り込んだStuxnetは、コントローラーのプログラムを改変し、ウラン濃縮遠心分離機の回転速度を異常なほど高速に設定して、物理的に破壊しました。
Stuxnetについて書かれた資料は、書籍も含めて数多くありますが、拡散の方法と標的の概要を理解するのであれば、この記事で十分でしょう。
DarkHotel:スイートルームに潜むスパイ
カフェや空港で使える公衆Wi-Fiネットワークの安全性が高くないことは、よく知られています。しかし、ホテルのWi-Fiであればまだ安全だと考える人は多いようです。ホテルのネットワークも公衆Wi-Fiではありますが、少なくとも何らかの認証は要求されます。
このような誤解により、さまざまな企業幹部や高官が大きな代償を支払うことになりました。ホテルのネットワークに接続したところ、有名なソフトウェアの、一見すると正規のものらしい更新プログラムをインストールするように要求されました。しかし、更新プログラムをインストールすると、デバイスはたちまちDarkHotelというスパイウェアに感染しました。これは攻撃者が仕掛けたもので、標的とする宿泊客が到着する数日前にネットワークに忍び込ませてあり、数日後には削除されています。このスパイウェアはキー入力を記録し、サイバー犯罪者はそれを利用して標的型のフィッシング攻撃を仕掛けていました。
DarkHotelの感染とその影響について、詳しくはこちらをご覧ください。
Mirai:インターネットの落とし穴
ボットネットはかなり前から存在しますが、モノのインターネット(IoT)が出現したことで新たな局面を迎えました。セキュリティ面を考慮されたことがなく、対応するセキュリティ製品が存在しないデバイスに突然、大規模なマルウェア感染が始まったのです。感染したデバイスは同種の他のデバイスを見つけ出し、すぐに感染を広げていきました。マルウェアに感染してボットネットの構成員となったデバイスやコンピューターを「ゾンビ」と呼びますが、Mirai(日本語の「未来」)という名を持つマルウェアに感染したこのゾンビ軍団は拡大を続け、指示が来るのを待っていました。
2016年10月21日、この巨大ボットネットを所有する何者かが、その能力を試すことにしました。ボットネットを構成する数百万台のデジタルビデオレコーダー、ルーター、IPカメラその他の「スマート」機器から、DNSサービスプロバイダーのDynに向けて一斉にリクエストが送信されました。
Dynはそのような大規模なDDoS攻撃に持ちこたえることができませんでした。DynもDynに依存するサービスも利用不能になり、PayPal、Twitter、Netflix、Spotify、PlayStationオンラインサービスなど、米国の多くのサービスがダウンしました。最終的にDynは復旧しましたが、この大規模なMirai攻撃を受けて、世界は「スマート」デバイスのセキュリティについて真剣に考えるようになりました。この事例が警鐘を鳴らすこととなったのです。
Mirai、Dyn、および「インターネットを破壊した攻撃」について詳しくは、こちらの記事をご覧ください。