ITここに歴史あり

ITの歴史をそれぞれの製品やサービスごとに振り返ります。

個人の悪ふざけから社会を揺るがす犯罪に、悪質化が進むサイバー攻撃(中編)

コンピューターウイルスは多様化し、「マルウェア」や「不正プログラム」などと呼ぶようになります。対策となるソフトも、パターンファイルとの照合だけでは対抗しきれず、「エンドポイントセキュリティ」、「多層防御」という何重にも対策できるソフトウェアへと進化します。そして、不正プログラムを立派な犯罪に悪用する例が見つかるようになっていくのです。

[2017年 7月26日公開]

自己顕示欲のはけ口から、犯罪の道具へ

コンピューターウイルスは多様化し、自己増殖しないものも増えたため「ウイルス」という表現が現状に合わなくなりました。代わりに「マルウェア」という用語が定着します。日本語でいう「不正プログラム」です。

対策も変化してきました。2000年代中ごろからアンチウイルスソフトはエンドポイントセキュリティ製品へと姿を変えていきます。マルウェアを検出し、活動を停止させるだけではなく、一見怪しいところのない普通のプログラムも対象に、突如怪しい動きをしないか普段から挙動を監視したり、ファイアウォールで正体不明の通信がないかを見張ったりと何層にも渡って手厚く防御しています。かつては、コンピューターウイルスに感染したら、やることは駆除だけでしたが、近年ではシステムが正常な状態にあるときに取ったバックアップイメージから「復旧」するのが一般的です。

そして、何よりも大きな変化は攻撃を仕掛ける攻撃者のあり方が変わったという点にあります。トレンドマイクロで上級セキュリティエバンジェリストを務める染谷征良氏(写真1)は「ここ10年ほどで状況は一気に変化しました。かつては個人が自己顕示欲を満たすためにマルウェアを拡散していましたが、今では犯罪組織が金もうけをはじめとした悪意ある目的にマルウェアを利用しています」と指摘します。

(写真1)トレンドマイクロで上級セキュリティエバンジェリストを務める染谷征良氏 *内容は取材当時のもの(写真:加山恵美)

顕著な例が「ランサムウェア」です。これはマルウェアの一種で、コンピューターのデータを勝手に暗号化して「元に戻したければ金を払え」と脅迫してくるマルウェアです(写真2)。つまり、実際に使われているファイルを人質に取って金銭を要求するわけです。近年、財務データやデータベースなどの業務上必要不可欠な情報が暗号化されるといった形での企業での被害が深刻になっています。中には、データを暗号化するだけでなく、データを窃取したうえで「インターネット上に公開してほしくなければ金を払え」と脅迫してくるものも出てきています。

(写真2)ランサムウェアが表示させるメッセージの例(出典:トレンドマイクロ)

最近は「標的型サイバー攻撃」も大きな問題となっています。業務連絡であるかのように見せかけたメールを標的の企業や組織に送りつけるところから攻撃が始まります。標的型サイバー攻撃が日本で始めて見つかった当初は、メールの件名や本文で使っている日本語に不自然なところがあったので、怪しいとすぐ気づくことができましたが、最近は自然な日本語に「進化」し、ますます見つけにくくなっています。

また、メールを送りつける前にSNSをはじめとした公開情報を調べて、標的となる人が職場でどんな位置にいるのか、上司が誰なのかといったことまで調べてメールを送りつける攻撃者もいます。このように、巧妙に仕込んだメールを送って相手に全く怪しまれることなく添付ファイルを実行させたり、URLをクリックさせたりします。添付ファイルを実行してしまえば、バックドアと呼ばれる不正なプログラムが仕掛けられ、サイバー犯罪者に端末が乗っ取られた状態になるわけです。

標的型サイバー攻撃は潜伏活動になることが多いので、攻撃者が最初に侵入してから標的組織が気づくまでに時間がかかるケースが多いのが実情です。目的は個人情報や知財情報の収集です。個人情報を流出させてしまったら、情報流出の被害者への謝罪、金銭的賠償、社会的な信用の失墜など企業が被るダメージはかなり深くなります。かつてのコンピューターウイルスのようにパソコンが1台動かなくなるどころの騒ぎではないのです。

企業や組織の機密情報が狙われる背景には、サイバー犯罪の組織化や「ダークネット」という闇のネットワークの存在があります。そこに参加している犯罪者などは、盗んだ個人情報や知財情報、OSやソフトウェアの脆弱性情報を売り買いしているのです。情報を盗み出してくれる攻撃者を募集する参加者や、攻撃を請け負う犯罪者もいます。

いまやエンドポイントセキュリティ製品は、企業ユーザーが使う端末には不可欠なものとなっています。マルウェアの感染経路はメールに限らず、USBメモリーや不正なWebサイトなどへと広がりを見せています。そこでさまざまな攻撃手法に応じて最適なセキュリティの技術を使って幅広く防御してくれるエンドポイントセキュリティ製品が必要になるのです。エンドポイントセキュリティ製品はマルウェア対策だけでなく、不正なサイトへの接続を防ぐ「Webレピュテーション機能」、ネットワーク接続の監視や制御をする「パーソナルファイアウォール」、USB接続などを制御する「デバイスコントロール」、ソフトウェアやアプリケーションの動きを観察して怪しい動きを見せたら停止させる「挙動監視」や「アプリケーションコントロール」というところまで面倒を見てくれます。(後編に続く)

執筆:加山恵美(フリーランスライター)
編集・文責:株式会社インプレス

いまどきのIT活用のおすすめ記事