サイバー攻撃ソフト、サブスクで提供 広がる闇ビジネス
作成者:
ソース: https://www.nikkei.com/article/DGXZQOUC135FT0T10C21A5000000/
保存日:2021/5/17 2:00 [有料会員限定]
サイバー攻撃用のソフトウエアをサブスクリプション(定額課金)などで簡易に提供する闇ビジネスが広がり始めた。米石油パイプライン大手のコロニアル・パイプラインを襲った犯罪集団もソフトを実際に攻撃するハッカーに貸し出していた。犯罪の実行が容易になったこともあり、身代金を要求する攻撃は2020年に前年比6割増の約3億件に急増。日本企業も事前の備えが不可欠だ。
100ドル(約1万950円)払えば1カ月間、使い放題。250ドル出せば3カ月間、暗号化の範囲が追加指定できる――。あるインターネットサイトでは、相手のデータを暗号化するサイバー攻撃用のマルウエア(悪意のあるプログラム)が取引されている。
価格は利用期間や性能に応じて変わる。契約すれば技術に詳しくなくてもクラウド経由で簡単にハッカーになることができる。
ランサムウエアが「サブスク形式」で販売される(トレンドマイクロ提供)
こうした闇サービスは業務ソフトをネット経由で提供する「ソフトウエア・アズ・ア・サービス(SaaS)」という手法になぞらえ、「ランサムウエア・アズ・ア・サービス(RaaS)」と呼ばれる。ランサムウエアはマルウエアの一種で身代金要求型のウイルスだ。ハッカーは相手のデータを盗み出したうえで暗号化し、システムの復旧やデータを公開しない見返りに身代金を要求する。このソフトを機能別に使えるようにしたサービスという意味だ。
5月初旬にコロニアルを襲った「DarkSide(ダークサイド)」もRaaSを使った犯罪集団の一つだ。ダークサイドは米報道で活動停止が指摘されているが、開発したマルウエアをハッカーに貸し出し、攻撃の結果身代金を得られればその10~25%をもらうビジネスモデルだったという。
類似の団体はほかにもあり、知名度のない組織は5ドルでウイルスを販売している。大手医療企業や自治体を攻撃している「Ryuk(リューク)」のように価格帯を月額1千ドル超に設定しているサービスもある。セキュリティー大手トレンドマイクロの担当者は「利用者からの評価を調べられる『口コミサイト』が生まれたりと、集客を促す動きも出てきている」と話す。
こうしたサービスの成熟を背景にサイバー攻撃の脅威は悪質性、量ともに拡大している。RaaSの闇事業者は高度なウイルスの開発に専念し、ハッカーらは自らのネットワークを駆使して単独犯では難しい大規模攻撃をしかけることができるからだ。
米ソニックウォールの調べでは、世界のランサムウエア攻撃件数は昨夏から急増し、20年は前年比で6割増となる約3億件にのぼった。米パロアルトネットワークスによると、身代金の平均支払額は20年に31.2万ドルで、19年の2.7倍に急増。従来は無差別に攻撃する「ばらまき型」が目立ったが、近年は相手の規模や弱点から狙いを定める「標的型」が増えている。
ハッカーたちの狙いは利益目的が大半とみられる。TMI総合法律事務所の大井哲也弁護士は「各国には犯罪集団との経済取引を禁じる法規制があり、身代金の支払いが抵触する可能性がある」という。ただ実際に支払ったかどうかの検知は難しく、政府による取り締まりの実効性は薄い。
警察当局に通報しても発信源の隠蔽、アクセスの痕跡を消す技術などが使われ、ハッカーの身元の捜査は難しい。仮に海外の発信源を突き止めても現地の警察の協力を得にくいのが現状だ。
対策に乏しいなかで、各国政府は国家やテロ組織の関与を念頭に封じ込めを急いでいる。
米財務省の外国資産管理局(OFAC)は昨年10月、北朝鮮系の「Lazarus Group(ラザルスグループ)」、ロシアを拠点とする「Evil Corp(イビルコープ)」など複数のランサムウエアグループを挙げ、これら組織への身代金支払いは「規制に違反するリスクがある」として制裁対象になりうるとの勧告を出した。安易な支払いは犯罪者に手を貸すことになり、安全保障上も問題だとの考えが背景にある。
20年8月には米司法省が配車サービス大手の米ウーバーテクノロジーズの元最高セキュリティー責任者(CSO)を、不正アクセスの犯人側に金銭を支払い情報漏洩の隠蔽を依頼したとして司法妨害の罪で訴追した。
大井弁護士は「サイバー犯罪者への利益供与に対し、当局が厳しい目を注いでいることを自覚すべきだ。決して支払ってはならない」と警告する。国際的な批判を意識してか、仏保険大手アクサは5月上旬、フランス国内の顧客が犯罪者に支払った身代金を補償するサイバー保険の販売を打ち切ると発表した。
日本では鹿島やキーエンスがランサム攻撃を受けたことがわかっている。いまやあらゆる企業が被害者になり得る。イエラエセキュリティ(東京・千代田)の牧田誠社長は「侵入を検知したら当該システムをネットワークから遮断するなど万が一を想定したルールを定めておくべきだ」と指摘する。
テレワークで攻撃容易に
サイバー犯罪者を活気づかせているのが企業でのネット利用の増加だ。日本ハッカー協会の杉浦隆幸代表理事は「テレワークの利用が進み、VPN(仮想私設網)装置の脆弱性を狙われることが多い」と話す。
社内情報の外部漏洩を防ぐためにVPNを使う企業が多いが、古い装置はハッカーの侵入を許しやすい。脆弱性の修復を渋ったり、サポート切れの基盤ソフトを備える機器を使い続けたりすることで被害につながる。
サイバーディフェンス研究所の名和利男専務理事はセキュリティーの欠陥などの洗い出しが重要と説く。機密情報の保管場所から社内ネットワークにつながる機器、社員が利用するテレワーク用の通信機器のソフトまで広く可視化すべきだという。
侵入時の備えも欠かせない。サイバー対策企業S&J(東京・港)の三輪信雄社長は、攻撃されているパソコンやサーバーを突き止め、隔離する仕組みの整備を勧める。「犯罪者がランサムウエアで多数のデータを暗号化するまでには相応の時間がかかる」(三輪氏)。攻撃され尽くす前に検知・隔離できれば、高額な身代金を要求されるほどの深刻な被害は避けられる。
20年11月にランサムウエア被害にあったゲーム大手カプコンは、直後に社内ネットワークの稼働を部分的に見合わせ、被害の拡大を抑止。国内外の警察や個人情報機関に事件を通報した。被害の対応に並行し、2度目の攻撃を防ぐ取り組みも必要だ。
身代金の支払いはかえってコスト増を招くとの指摘は多い。英サイバー対策のソフォスの20年の調査によると、ランサムウエア攻撃の復旧にかかった平均コストは、身代金を支払わない組織では約73万㌦だったのに対し、支払った組織は約145万㌦と倍増した。データの復旧コストは身代金を払っても払わなくても大差なく、結果的に身代金分が追加コストになるという。
(サイバーセキュリティーエディター 岩沢明信、島津忠承)
