ニュース

アンダーグラウンドのハッカー市場が加速? 巧妙化するサイバー攻撃の今を聞く

Dell SecureWorks 脅威対策事業部のバリー・ヘンズリー“元大佐”

 デルのセキュリティ運用管理サービス「Dell SecureWorks」では、最新のサイバー攻撃に活用される技術を捕捉し、脅威の首謀者の特定するほか、情報を盗む技術について調査する脅威対策事業部(CTU=Counter Threat Unit)調査チームを社内に持つ。Dell SecureWorksが提供するサービスのひとつである「スレット・インテリジェンス」において、情報分析および対策を提案するのが主な役割であり、サイバーインテリジェンスに関して最高峰ともいえるスタッフが結集。脅威の解析やマルウェアの分析、情報発信などを行う。
 そのチームを現場で指揮するDell SecureWorks 脅威対策事業部(CTU)調査チーム担当エグゼクティブ・ディレクターのバリー・ヘンズリー(Barry Hensley)氏に、昨今のサイバーセキュリティを取り巻く状況と課題について話を聞いた。

Dell SecureWorks 脅威対策事業部(CTU)調査チーム担当エグゼクティブ・ディレクターのバリー・ヘンズリー氏

CTU調査チームとは?

 Dell SecureWorksのCTU調査チームは、サイバーインテリジェンスに精通したスタッフにより、最新の脅威を分析するとともに、情報を盗む技術などについても調査。脅威の首謀者の特定や、企業における対策も提案する役割を担う。

 同社が提供する「マネージド・セキュリティ・サービス」、「セキュリティ&リスク・コンサルティング(SRC)」、「スレット・インテリジェンス」、「インシデント・レスポンス」の4つのサービスのうち、「スレット・インテリジェンス」のサービスのひとつとして提供されるもので、CTU調査チームが得た情報は、残る3つのサービスを展開する上でも、社内で共有されるものになる。

 CTUには、米国政府や米軍などで、情報セキュリティ対策に取り組んでいた人材などが参加しているのも特徴だ。

 今回、話を聞いたヘンズリー氏は、米国陸軍の地球規模ネットワーク作戦・保全司令部(AGNOSC)元大佐であり、長年にわたり、国家レベルでのサイバー攻撃への対策にかかわってきた経験がある。

サイバーセキュリティの4つの傾向

 ヘンズリー氏は、昨今のサイバーセキュリティを取り巻く傾向には、いくつかの特徴があるとする。

 ひとつは、金銭の不正取得を目的とするハッカーを中心に、「アンダーグラウンドのハッカー市場」を活用する動きが加速している点だ。

 ヘンズリー氏は、「金銭の不正取得を専門とするハッカーは、アンダーグラウンドで取引されるクレジットカードやデビットカードの情報、オンライン銀行口座の資格情報、株式取引口座の資格情報、電子メールアドレスやソーシャルメディアアカウントの資格情報などを入手するとともに、多種多様なマルウェアツール、悪意のあるソフトウェアを購入している。これらを利用して金銭の不正取得を行おうとしている。また、経験が浅いハッカーに対して、有効なサイバー攻撃の仕掛け方を教えるためのチュートリアルも取引されている」とする。

 これが、サイバー攻撃が増加している温床になっていると指摘する。

 2つめには、暗号化したランサムウェア(Cryptographic Ransomware)を使ったサイバー攻撃の増加だ。ここにきて、日本語化されたランサムウェアが登場するなど、日本でも対岸の火事とは言っていられない状況が発生している。

 ヘンズリー氏は、「過去1年半の間で、ハッカーの間でも最も人気があり、普及しているサイバー犯罪が、ランサムウェアである」とし、「ハッカー集団は、企業や個人のコンピュータをランサムウェアに感染させ、コンピュータのすべてのファイルを暗号化する。だが、現在、存在しているランサムウェアによって暗号化されたファイルは、ほとんどが解読不可能であるため、ハッカーの要求通りに身代金を支払わなければファイルを無事に取り戻すことができないという状況が生まれている」とする。

 中でも広く拡散しているのが、「CryptoWall」だという。

 CryptoWallは、Dell SecureWorksのCTU調査チームが最初に発見したもので、同チームによると、2015年1月時点で、CryptoWallにより、全世界で100万人にのぼる感染者があり、約200万ドル(約2億4000万円)もの身代金が奪われているという。

 そして、3つめには、政府をターゲットとした国家規模のサイバーアタックの動きや、大規模企業に対する攻撃が増加しているというものだ。

 これは、日本も含まれることになるという。

 ここでは、Comfooと呼ばれるトロイの木馬型のサイバースパイ攻撃が注目を集める。かつては、RSAセキュリティやロッキード・マーチンを標的としたサイバー攻撃として話題になったComfooだが、Dell SecureWorksのCTU調査チームでは、2013年からComfooの動きを、常に監視し、対策を行ってきたという。

 同チームによると、Comfooに対する監視を行った結果、200以上におよぶトロイの木馬の亜種と、サイバー犯罪者が攻撃キャンペーンを組織するために使用した64種類のキャンペーンタグを検出したという。
さらに、米国、欧州、アジア太平洋地域の数多くの政府機関や民間企業が、Comfooに感染していたことに触れながら、日本とインドの複数の政府省庁が標的とされていた事実があったとする。

 ヘンズリー氏は、「ハッカーは、日本の政府省庁に加えて、日本の大学、自治体、業界団体、ニュースメディア、シンクタンク、産業機械メーカーも標的にしていた」と、同チームによる調査結果を明かした。

 4つめの動きとしてあげられるのが、サボタージュ攻撃(サイバーサボタージュ)の増加と、その被害が大きくなっていることである。この代表例として、ヘンズリー氏があげるのが、2014年12月に発生したソニー・ピクチャーズエンターテインメントの情報漏えい事件である。

 「これは、最近起こったサイバー攻撃の中でも最も顕著な被害を受けた事例のひとつ」(ヘンズリー氏)と位置づけるように、同社の通信や内部文書だけでなく、未公開映画がオンライン上に漏えいする事態にまで発展した。また、同社が配給する映画「ザ・インタビュー」の上映を延期するという状況にまで陥ることになった。

 ヘンズリー氏は、「Dell SecureWorksをはじめとするサイバーセキュリティ関連企業や、全世界のセキュリティコミュニティの専門的技術レベルは向上している」とする一方で、「サイバー脅威の進化もとどまることを知らない」と指摘。その上で、「今後、政府や企業は、新たないくつかのサイバー脅威に遭遇することになる」と予測した。

銀行業、小売店、金融・医療保険業などが狙われている

 ヘンズリー氏が具体的な脅威としてあげたのが、「銀行業、小売店、金融・医療保険業などを対象としたサイバー攻撃の増加」である。

 「アンダーグラウンドのハッカー市場において流通しているツールが使われ、銀行業を対象にしたトロイの木馬型攻撃が引き続き横行するのに加えて、世界中のハッカーによって、悪意のあるマルウェアが新たに開発、使用されると予測している。また、米国においては、クレジットカードやデビットカードシステムに、今後、EMV技術(チップ&ピンテクノロジ)が導入されるが、その前に犯罪を仕掛けようとする動きが活発化するだろう。さらに、金融、医療、保険業界は、ほかの業界に比べても大量の個人データを有しているため、大企業をターゲットとした情報漏えいも増加すると考えている」と語る。

 金融、医療、保険業界の情報漏えいでは、最近の事例としてAnthem Healthcare(アンセム・ヘルスケア)では、7,880万人の情報を対象にサイバー攻撃が行われ、2014年のJPモルガン・チェースへのサイバー攻撃では、7,600万世帯が対象となったという。こうした大量の個人情報を持つ企業がターゲットになるとしている。

 一方で、大規模のDDoS攻撃の増加や、それに伴うWebサイトの改ざんが発生するほか、特定の国家の外交政策実行を支援するようなサイバー攻撃も発生すると予測する。

 「こうした攻撃により、民間の経済活動も二次的な被害をこうむることが懸念される」という。

 より複雑化し、巧妙化するサイバー攻撃は、ますます増加し、それとともに、大規模な影響を及ぼす可能性が高まっているのは確かだ。Dell SecureWorksのCTU調査チームの調査からも、それが浮き彫りになる。

大河原 克行