2017年:サイバーセキュリティの行く年来る年

2017年12月21日

年末の総まとめは大切な伝統行事です。では、今年も始めましょう。

ランサムウェア

昨年の今頃、当社は2016年を「ランサムウェアの年」と表現しました。さまざまな形態の暗号化型や画面ロック型のランサムウェアがあふれ、全体的な感染規模はかなり深刻でした。しかし、実は、2017年こそ「ランサムウェアの年」だったのです。WannaCryExPetrBadRabbitの大流行は、これまでにないレベルでした。規模の点でいうと、WannaCryに匹敵するのは、2008年から2009年にかけて世界的に大量感染したConfickerワームくらいのものです。Confickerといえば、思い出せるかぎりで最も大規模だった流行に数えられます。

とはいえ、当社のエキスパートは、2018年もまたランサムウェアの年になる、とは考えていません。ひそかにインストールされる仮想通貨マイナーが勢いを加速しており、脅威ランキング第1位の座を奪うことでしょう。仮想通貨マイナーについては、後ほど詳細をご説明します。

金融機関への攻撃

金融機関は常にハッカーたちの好む標的であり、2017年も攻撃の手は緩められませんでした。Kaspersky Labのエキスパートは10月、闇サイトで簡単に手に入る新しいマルウェア「Cutlet Maker」(英語)を発見しましたが、これもATMを狙ったものでした。このマルウェアには操作説明書をはじめ必要なものがほとんどすべて付属しており、駆け出しのハッカーでも、わずか数千ドルを支払うだけで、ATMに破壊的な攻撃を仕掛けることができました。運悪く現行犯で捕まった者もいましたが、マルウェアの開発者は大儲けしました。

この分野に見られるもう一つの継続的な傾向は、銀行の内部組織を狙う攻撃です。当社では10月、金融機関を狙う新しいサイバー犯罪者集団「Silence」を発見しました。その標的のほとんどはロシアの銀行で、この集団自体もロシア語者と見られます。また、2015年、銀行に対する標的型攻撃で世間の注目を浴びたCarbanakの後継者であるとの見方もあります。

標的型攻撃

Silenceは、数多ある標的型攻撃、あるいはAPT(Advanced Persistent Threat)の1つに過ぎません。2017年を通じ、当社はこの手の攻撃分野に約100ものハッカー集団が活動していることをつきとめました。2016年の2倍の数です。しかし、そのうち商業的利益を求めているのは、Silenceを含む約10集団に過ぎませんでした。残りは、サイバー領域における諜報活動を目的とし、政府機関や石油ガス会社の内部データを狙う集団でした。基本的に当社が昨年末に予測したとおりで、ハッカー集団は、ある特定の政治勢力や経済勢力の利益のために、活動を活発化し始めたのです。

2016年に起こったこと、2017年に起こりそうなこと

今年新たに見られた標的型攻撃は、大企業が導入しているソフトウェア製品のベンダーに向けられました。つまり、犯罪者は、守りの硬い企業システムを攻撃するよりも、企業が使っているソフトウェアを狙った方が簡単だということに気づいたのです。

有名なWindowsレジストリクリーニングツール「CCleaner」(英語記事)の開発元を狙ってAxiomグループが仕掛けた攻撃は、そのよい例です。ハッカーが悪意あるコードを更新プログラムに埋め込み、世界中で約200万人の利用者がその更新プログラムをダウンロードしました。標的となったのは、世界屈指の大企業約20社でした。ハッカーたちは、悪意ある更新プログラムをこれらの企業システムに侵入させた後、さらにネットワークの奥深くへと進んでいったのです。

仮想通貨とマイニング

Bitcoinの価格は1年で15倍に跳ね上がり、Ethereumは驚異の48倍となりました。今年、仮想通貨は世界経済に前代未聞の影響を与え、ベンチャー投資市場を大きく変えました。従来のIPO(新規公開株式)で集められた資金がわずか10億ドルだったのに対し、2017年にICO(新規仮想通貨公開)で調達された資金は35億ドルに達しました。

その結果、当社の予想どおり、新たな脅威と脆弱性が登場しました。まず、フィッシングからハッキング、クリップボードにコピーされたBitcoinウォレット番号のすり替えまで、さまざまな種類の攻撃に道が開かれました。トークンと引き換えにウォレットのアドレスを教えるように要求する、「ナイジェリアの手紙」系スパムメールの新種まで現れました(アドレスを教えたが最後、ウォレットは空っぽにされます)。ちなみに、盗まれた額は3億ドルで、2017年にICOで調達された資金のほぼ10分の1に上ります。

しかし、これで終わりではありません。新たな形の財産形成が野放しにされている現実があります。その1つが、主にブラウザーを使って密かに行われる仮想通貨のマイニング(採掘)です。あるスクリプトに感染したWebサイトにアクセスすると、その訪問者のコンピューターが知らないうちにマイニングに使用されるというものです。

さて、サイバーセキュリティの世界で何が起きているか、現状の分析が完了したところで、この先何が待ち受けているのか、当社の考えをお話ししましょう。

2018年には何が起きる?

  • ソフトウェアベンダーに対する攻撃が増える。CCleanerやM.E.Doc(ExPetrの拡散に、更新用サーバーを悪用されたソフトウェア会社)のケースは、単一プログラム開発の企業への攻撃に成功すると、その潜在的利用者全員を危機に陥れられることをはっきりと示しています。
  • ATMに対する自動攻撃とATMハッキングを狙った型破りなソリューションが開発される。現時点で、当社が確認しているATMのハッキング方法は、基本的に、USBメモリなどのフラッシュドライブを使用するものです。この方法は、常時監視されているATMに対してそれほど効果的でないことは明らかですが、攻撃者があきらめることはまずありません。新しいハッキング方法が開発され、中にはリモートで行われるものが登場するでしょう。
  • 新種のデバイスがOSの深いレベルで攻撃される。標的型攻撃の矛先はすでに、従来のPCから、スマートフォンやIoTなど新しいデバイスに移行しつつあります。攻撃者は保護制御システムによる検知を回避するために、OSの低いレベル、たとえば、UEFI(OSの前に実行されるプロセッサのファームウェア)レベルでの活動を試みています。
  • ランサムウェアを使った標的型攻撃が増える。攻撃者は、攻撃のタイミングを慎重に選び、大企業を的確に攻撃する方法をすでにマスターしています。たとえば、ExPetrは、企業が必死になって身代金を支払うように仕向けるため、所得税申告書提出期限の数日前を狙ってファイルを暗号化します。このような話を耳にする機会も増えることでしょう。
  • 仮想通貨詐欺と、ブロックチェーン上の仮想的価値に対する攻撃が増える。仮想通貨アカウントの攻撃や、個人や企業を利用した不正マイニングは、従来のバンキングシステムやインターネット銀行を狙うよりも、犯罪者に多くの利益をもたらします。密かに行われるマイニングの種類が急増するだけでなく、仮想通貨ウォレットやブロックチェーン上の脆弱性を狙った新しいタイプの攻撃も登場するでしょう。また、こうしている間にも仮想通貨が生み出されていることを考えると(ロシアで「CryptoKitties」という仮想通貨ゲームが登場し話題になっています)、こういったものがサイバー犯罪者の視野に入ってくると考えてよいでしょう。

どの予想が現実のものとなるか。それは見守るしかありません。今のところは、安全に注意しながら、年末年始をお過ごしください!