合法マルウェアとサイバー傭兵

政府の秘密情報機関にとっては、ハッキングもスパイ活動も犯罪ではなく、単なる通常業務です。こういった機関のツールが犯罪者の手にわたれば、どうなってしまうでしょうか?

PCとネットワークが、日々の生活に深く根を下ろしつつあります。オフィスや製造施設に普及したのはほんの少し前のこと。続いて家庭の居間やキッチンでも使われるようになり、現在は世界中の誰もが、それなりに強力なネット接続型コンピューターをポケットに入れて持ち運ぶようになっています。そして今、私たちはモノのインターネット(IoT)という美しい時代に突入しようとしています。ほぼすべてのものがネットワークにつながる時代の幕開けです。

コンピューターに日常の作業を任せるようになればなるほど、他人の秘密を知りたがる人々がそこに群がってきます。悪人(サイバー犯罪者)も、善人(正当な理由でハッキング戦術を用いる警察官)も。

警察と犯罪者では動機が正反対であろうこと以外にも、両者を分かつ興味深い特徴があります。政府のシークレットサービス機関にとってハッキングや諜報活動は、犯罪ではなく日常業務の一環だという点です。

合法マルウェアという現象

現在のサイバー犯罪ビジネス界で注目すべき傾向は、サイバー犯罪の合法化です。サイバー犯罪は、情報セキュリティ市場においては違った位置づけにあります。たとえば、ゼロデイ脆弱性の販売(対応策がまだ開発されていない脆弱性)が活発になりつつあります

サイバー犯罪の合法化が、サイバー犯罪ビジネス界のトレンドに

今や誰もがエクスプロイトを購入して(何万ドルという価格の脆弱性もあるため、誰でもというわけではありませんが)、然るべきときに使えます。できれば自分の資産を守るために使ってほしいものですが、ほぼ何にでも使えてしまうのが現状です。こうした脆弱性の売買は、たとえるならミサイルや高性能な爆弾を取引するようなものです。

FinFisher-1

FinFisherのバナー広告。完全に合法な、侵入とリモート監視の手段

しかし、それだけではありません。ネットワークに侵入し、標的のPCを乗っ取り、その活動を監視することができる本格的なソフトウェアをセットで提供する企業が、一部に存在します。つまり最高クラスのスパイ用トロイの木馬が取引されているのであり、たとえるなら、フル装備の戦闘機の売買といったところでしょうか。

こうしたサービスを提供する企業は、政府の監督下にある防衛産業の巨大複合企業から、中程度の規模の独立系企業まで、さまざまです。

独立系企業について言えば、もちろん誰かれ構わずマルウェアを売るわけではありませんが、抱える顧客は多種多様です。政府のシークレットサービスだけでなく、大手民間企業にも販売しています。このような「傭兵」サービスは、パキスタンやナイジェリアといった第三世界の政府が積極的に購入しています。

hacking-team-123

Hacking Teamが提供するGalileo。同社もサイバースパイ用ツールの合法的開発者である

また、サイバースパイサービスの表向きの買い手が、実際の買い手とは限らないということも重要です。UAEに販売された監視と情報選別のソリューションが、禁輸措置がとられたシリアに行き着いたケースもありました。

いずれにせよ、Kaspersky Labのこれまでの経験から、このように言うことができます。民間企業によって開発された合法マルウェアは、「正義」の情報機関が手にするだけでなく(情報機関が本当に正義の組織なのかどうかは、この記事のテーマではありません)、実利を重んじる第三者の手にわたる可能性がある、と。別の言い方をすれば、犯罪者の世界や政治にまったく関係のないごく普通の人であっても、いずれこういったことに巻き込まれてしまうかもしれません。

 

どれだけ危険なのか?

極めて危険です。このようなマルウェアは、莫大な予算を使える組織のために開発されています。非常に高度なマルウェアであり、ティーンエイジャーのいたずらや、クレジットカードから100ドルばかり盗む程度の軽犯罪とは比較になりません。

Wikileaksに潜んでいたマルウェアを開発した人物は、従来型のアンチウイルスは自分たちの製品にとってまったく脅威ではない、と述べています。

確かに、合法マルウェアの開発元は自社製品に大量の技術を投入して、ウイルスアナリストを欺き、内部構造を隠そうとしています。

どんな対策があるのか?

とはいえ、このような技術には限界があることがわかっています。どんなシステムにも気づかれることなく侵入できる魔法のような技術は存在しません。これはむしろ、一般的なマルウェアの一例なのです。

したがって、カスペルスキー製品に搭載されているヒューリスティックアルゴリズム(マルウェア特有の不審なふるまいを調べる検知の手段)なら、サイバー傭兵の挙動を検知できる可能性が非常に高いと言うことができます。

たとえば、FinFisher(合法サイバー兵器の市場で特に有名なソフトウェア)に関する当社の研究では、FinFisherの主張とは逆に、Kaspersky Anti-Virus 6 MP4以降の製品に搭載のヒューリスティック分析機能が、こうした脅威を処理できていることが証明されています。

一部の怪しげな「サイバー犯罪対策」ツールが悪人の手にわたってしまう可能性が高いことを考えると、極めて高度な脅威にも対抗できる技術を搭載したセキュリティ製品を用いることは不可欠でしょう。

ヒント