没ったので、ブログで。
サイバー犯罪は年々、組織化している。セキュリティ製品を販売する Bromium が 2018年に公開した以下のレポートがある。
レポートによれば、サイバー犯罪の規模は 1.5兆ドルにたっしており、違法な支払い、ロンダリング、資金供給といった生態系が生まれているという。
サイバー犯罪への注目が高まっている中、Hewlett Packard Enterprise(HPE)が 6月にラスベガスで開催したイベント「HPE Discover Las Vegas 2019」で、FBI のシニアコンピュータサイエンティストである James Morrison氏は、以下のように述べた。
現代のサイバー犯罪組織は、彼らのビジネスにおいて、利益を再投資しています。データセンターの拡大、機械学習といった技術は彼らにとって必要なものになりつつある。
2年前に同じイベントで、ファームウェアやハードウェアについて言及したことは今でも覚えています。今、サイバー犯罪はより洗練され、組織化されています。これはサイバー犯罪組織と呼べるものです。数年前、組織と個人は半々といったところでした。しかし現在、高度に組織化された犯罪グループが極めて多くなっています。これまでとは異なる国、インドやナイジェリア、インドネシアといった国々でも、これらの組織が見られるようになっています。
攻撃が容易に実行できるように
サイバー犯罪が急増しているのは、参入障壁が低くなっているのも理由だ。かつてのように天才的な人間がコードを書く必要はなく、単純なランサムウェアツールを購入できる場所へのアクセスだけだ。このような場所は通常の検索では絶対にたどり着けないため、インターネットを”深く潜った先”、ダークウェブと呼ばれている。購入したメールアドレスリストと組み合わせることで、ターゲットがリンクをクリックするように仕向け、そして利益を得ることができる。
このようなサイバー犯罪の経済的な例として、10万メールアドレスを 50ドルで購入し、200ドルのレンタルランサムウェアを送り付けるという手口を説明した。
このうち 5000人がクリックし、さらにそのうち2割にあたる 1000人が身代金を 400ドルずつ払ったとすれば、たった 250ドルの投資で 40万ドルを得ることができる。
さらに、ランサムウェアのレンタルには 24時間 365日の手厚いサポートがついている。ライセンスを1か月購入するだけで40万ドル稼げるとすれば、これこそが規模の経済と呼べるものだ。
攻撃を行う経路も、メールはもちろん、インターネットルーターやコンピュータだけではない。身近にある IoT 機器、例えば水槽の管理用ソフトウェア、あるいは Raspberry PI のように小さな電力で動くデバイスも、攻撃者にとっては便利な踏み台になりえてしまう。
さらに、医療システムや救急システムといった非常に重要な社会インフラにランサムウェアが感染した場合、事態はより深刻になる。実際、フロリダ州にあるリビエラビーチ、レイクシティはそれぞれ60万ドル、50万ドルの身代金を支払い、IT部門で従業員が解雇されたという報道もある。
サイバー犯罪の最先端で活躍する FBI で活躍する彼ですら、サイバーセキュリティ分野への投資が本当に重要であり、被害を受けてからでは遅いと述べている。保険についても言及していたが、まだまだサイバーセキュリティ分野での保険は発展途上にあり、自分の身は自分で守らねばならない。
サイバー犯罪の産業化
組織化が進む一方で、専門的な産業としての側面を持ち始めているという指摘もある。Hewlett Packard Enterpriseの副CISOである Drew Simonis氏はこの状況について、「サイバー犯罪が産業になりつつある」とした。
会社を訪問することは多いですが、ネットワーク内の不審なトラフィックを検出できない会社の数には未だに驚いています。彼らは「何が起こったのかわかりません」としか言わないのです。ランサムウェアは今や “クリックして感染する” だけではありません。何らかの防御システムを持ち合わせていないとすれば、検出されるまでには 1週間以上かかるでしょうから。一丁あがり、ですよ。
ランサムウェアは少しずつ姿形を変え、30日で全く違うものが出現するという。今月に入っても、Sodin や Ryuk が猛威を振るっている。
そしてもちろん、身代金を要求するだけランサムウェアに限らず、暗号資産をマイニングするマルウェアも問題だ。
企業においてセキュリティ担当者の採用や予算の充実なだけではなく、個人レベルでも今まで以上に高いセキュリティ意識が求められる。
つぶろぐ 