ハッキング経済学 お金の動きからサイバー攻撃を考える

Ben Desjardins

June 7, 2016 10:30
by Ben Desjardins

もしあなたが映画『ウォール街』(1984年)を見ていれば、主役のゴードン・ゲッコーの有名な「金になることでなければ、やる価値はない」(What’s Worth Doing Is Worth Doing For Money.)という台詞をきっと覚えているだろう。この視点はどんどん哲学や現代のサイバーセキュリティ攻撃者(そう呼びたいなら、ハッカー)に取り入れられている。最近の例も多数あるが、おそらく病院を含む医療提供者に対するランサムウェア攻撃のトレンドが最も目を引くものだろう。

様々な条件が揃うことでハッキングは金銭的に儲かる活動となり、サイバー攻撃の動機にいくばくかの変化をもたらしている。

攻撃の動機を詳しく調べる

ハッキング集団の進化にともなってハッキングの動機も進化している。個人のスクリプトキディからより組織化された、十分に資金のあるグループとなり、彼らはしばしば他の違法行為と結びついている。これは、犯罪による金銭的な利益が攻撃者の新たな動機であるということを示唆しているのではない。2011年にホワイトハウスの元サイバーセキュリティアドバイザーであるリチャード・クラーク氏は、攻撃の動機についての基盤を考案した。これは「CHEW」の略語で表され、それぞれの文字が下記のように攻撃の特徴を示している。

Cybercrime(サイバー犯罪):犯罪者の攻撃は通常、金銭によって動機付けられる。数が多く、事実上世界中すべての国に存在している。これらのグループのスキルレベルは基礎から高度なものまで様々である。

Hacktivism(ハクティビズム):ハクティビストの主な動機は金銭ではない。特定の存在に対する抗議しようとしたり、復讐を企てたりすることだ。犯罪者と同様にハクティビストグループは多数存在する。しかしこれらのグループの大部分が持つのは基礎的なスキルである。ごく一部の「突出した」個人が高度なスキルを持っており、潜在的な幅広い支持者グループに刺激を与えている。

Espionage(スパイ活動):これらの攻撃は、国家の安全保障に役立てるための機密の入手や、経済的利益の獲得、もしくはその両方を目的としている。ますます多くの国が、諜報活動のためにサイバー攻撃を使用する能力を持つようになっている。そして多数のグループがこのような活動に「支援」あるいは「容認」されている。

War(cyber)(サイバー戦争):4つ目はほぼ間違いなく最も非道な攻撃タイプである。これらは破壊、価値毀損、拒絶といった欲望によって動機付けられている。この「異なる手段による政治」の形態を使う能力を持つ国家が増加している。更には、国家と関係しない攻撃者も、戦争という形を取るサイバー攻撃を行う可能性もある。

このように、金銭的な動機によるサイバー犯罪活動の概念はずっと以前から認識されている。ハッカーにとって、これが未だかつてないほど魅力的になっている要因の一部を見てみよう。

ハッカーに好都合な経済的状況

もし質問が単純に「なぜ経済的な動機のサイバー攻撃が増加しているのか」であれば、同様に答えも単純に「それに見合う利益が得られるから」となる。最近のある推定によると、エクスプロイトキットで月に2万5000ドル以上を稼ぐことができる。もしこのエクスプロイトが非常に有効的だと証明されれば、さらに大きな額にもなる。

ダークウェブに、月額わずか50ドルで借りることができる完全なボットネット(感染させたコンピューターから攻撃を実行することができるシステム)があるのは有名だ。ダークウェブとは、インターネットの闇の一角を表現するのに使用される用語で、検索エンジンからは見えず、アクセスには特別なソフトウェアが必要である。ダークウェブは、ハッカーコミュニティが利用する多数のツールやサービスの取引場所となっている。

しかし多くの場合、ハッカーは自力で事を運ぶことを好む。つまり彼らは既存のボットネットを活用するよりも、自分たちの独自の攻撃を仕掛けたがるのだ。そうするために彼らは、たいていはわずか20ドル程度の既存のツールセットを入手する。これらのツールセットには多数のコンピューターを狙い、感染させる基本コードが含まれている。このコンピューターたちがそのハッカーのボットネットとなるのだ。

このようなことを好む要因はいくつかある。まず既存のレンタルボットネットの欠点は、これらの多くがセキュリティ業界で広く知られているため、多数のボットのIPアドレスが、アクセスをブロックするブラックリストやその他の評価データベースに含まれていることである。ハッカーにとって別の大きな動機となるのは、ボットネットによる独自ビジネス構築を目指すということだろう。そのため、ツールセットのコードを修正することになる。

このアプローチでは、ハッカーがショップを開くにあたって追加のコストが必要だ。帯域幅である。トラフィックでシステムを圧倒しようとする大規模な攻撃を実行する場合は特に、だ。しかしこのコストファクターは常に減少し続けている。2010年から2015年にかけて、通信帯域幅のコストは約90%下がり、一般的に個々の組織が1 Gbpsに対して支払うのは月間1万ドル以下となった。このコストは年間30〜40%下落し続けると大多数が予測しており、更にハッカーのビジネスケースを支えることになりそうだ。

攻撃の標的が直面する不利な状況

一般的にどんな組織にとってもセキュリティの経済的側面は、攻撃・侵入の可能性に攻撃・侵入のコストを掛け合わせ、緩和のためのセキュリティコストで割るというラインに沿ったロジックに基づく。根本的にこれは実際的かつ正確に計算するのがとても難しい。

ITと情報セキュリティの専門家がこれらのコストがどうなると考えているかという見解がいくつかある。我々のグローバルアプリケーション&ネットワークセキュリティレポート2016にて、調査の回答者は、自分達の組織への攻撃による財務上の影響は攻撃1回につき平均で10万ドル以下になると考えると答えている。しかしこのデータは業界によって大きく異なる。例えば金融サービス業界(これらの攻撃についてよく知っている)では、攻撃によって1000万ドルの損害が出ると考えている組織は4倍となる。

コストを推定する際に考慮すべき要因は複数ある。たいていは即時の収益上の損失について考える。しかしブランド・評判への影響や顧客の信用失墜、そしてサービス内容に関する契約の違反といった長期的な影響も重要となるだろう。また多数の組織で、ビジネスのより多くの場面をネットワーク化するというトレンドによってもたらされる、より深いレベルでのコストも生じ始める。モノのインターネット(IoT)が広まるにつれ、実際のコストは、金銭上の利益からより感情的で倫理的な影響を含む方向に変化し始めている。

システムやデータが診療に必要不可欠な病院への最近の攻撃事例について考えると、効果的に人質を取って身代金が要求されている。このような攻撃で多くの人を驚かせた点の1つは、身代金の要求が少額だったことだ。ある例では、身代金はビットコインで1万7000ドルと低かった。このような微々たる支払いをせずに患者の生命を危険に晒したい病院管理者はいないだろう。

経済面での形勢を逆転する

このような不運な経済的状況に直面したら、取るべき行動がいくつかある。これらの取り組みは、ハッカーが楽しんでいそうな不当な優位性を逆転する手助けとなるかもしれない。

高度なセキュリティ戦略の重要な鍵は、自動化機能を活用することだ。つまりボットでボットと戦うのだ。ボットによってもたらされた脅威はどのように対策すればよいか。ボットの脅威に素早く適応し、人間が対応するコストと手間を減らし、自動化されたセキュリティ技術が必要だ。つまり、ボットを効果的に防御するには、優れたボット検知と緩和の機能が必要になる。

攻撃者は、IPアドレスを元にしたブロッキングを回避するためにIPアドレスをなりすますことなど、妙技を編み出している。脅威の進化に追いつくために、例えばデバイスのフィンガープリント技術のようなIPに依存しない、より高度な機能を用いた解決策を探すべきだ。

最後のステップは、特別な戦略措置というよりも哲学的なものだ。攻撃の経済面に重点が置かれるようになってきていることを考慮すると、防御のための論理的な戦術は自分自身を儲からないターゲットにすることである。コンプライアンスレベルのセキュリティを排し、高度な技術を探求・実装することで、侵入したり攻撃するには高くつく組織となる。たいていの場合、多くの自動化された攻撃ボットは、どこか他のターゲットに目を移すことになるだろう。とにかく、Gordon Gekkoが相手にしないような組織にするのだ。
 
翻訳:編集部
原文:The economics of hacking: Change your thinking
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです

Ben Desjardins

Ben Desjardins

Radware 社セキュリティソリューションディレクター

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…