サイバー犯罪の手口は洗練されてきている

PacSecカンファレンス2007主催者
Dragos Ruiu氏

ITpro

2007.11.27

　「ワルいやつらは互いに意見交換をして知識や技を磨いている。これに対抗する良い人達も，意見交換をする場所と機会が必要だ」---。不正アクセスやフィッシング詐欺など，コンピュータ・セキュリティを脅かすプロ犯罪者に対抗するために5年前に始めたカンファレンスがある。世界3カ所，それぞれ毎年，カナダ，日本，英国で開催されている「CanSecWest」「PacSec」「EUSecWest」だ。2007年11月27日から東京で開催される「PacSecカンファレンス2007」のためにカナダから来日した，同会議の主催者であるDragos Ruiu氏と，今回のカンファレンスで講演する，マイクロソフトセキュリティレスポンスマネージャの小野寺匠氏に，現代におけるセキュリティの動向を聞いた。

セキュリティ会議「PacSec」を取り仕切るDragos Ruiu氏（左）と，今回の「PacSecカンファレンス2007」で講演する，マイクロソフトでセキュリティレスポンスマネージャを務める小野寺匠氏（右）
[画像のクリックで拡大表示]

コンピュータが抱えるセキュリティの動向を教えてほしい。

Dragos Ruiu氏: ネットワークを経由した攻撃は減っている。だが，攻撃全体で見ると増えている（ネットワーク・リクエストを介さない攻撃が増えている）。攻撃の質も変わってきており，お金稼ぎができそうな特定の企業や特定の個人にターゲットを絞った攻撃に移ってきた。また，攻撃のレイヤーがアプリケーション層に上がってきており，OSではなく，OSの上位で稼働する個々のアプリケーションの脆弱性を攻撃するようになった。

　かつて，セキュリティ上の問題は，愉快犯としてのハッカー/クラッカーのような“Kidds”（子供）が引き起こしていた。子供のいたずらのようなものだった。ところが，現在のセキュリティ上の問題は，プロフェッショナルとしてお金のために犯罪を遂行する“Bad Guys”（ワルいやつら）が引き起こしている。

　なぜ攻撃者が子供からプロ犯罪者へと変わったのかと言えば，インターネットがプロ犯罪者から見てリスクが低くセキュアだからだ。インターネットを使ったサイバー犯罪は，武器が必要ないし，肉体を傷つけたり傷つけられたりといった暴力が無い。得られる利益の期待値も，従来の物理的な犯罪よりも大きい。

　FBI（米連邦捜査局）の報告によれば，物理的な犯罪1回あたりの平均的な稼ぎは50万円未満でしかない。一方で，サイバー犯罪はこの10倍，100倍といった圧倒的な稼ぎを得ることも可能だ。例えば先日ニューヨークで起こったクレジットカード詐欺では，犯罪者は3500万ドル（約40億円）を稼いだ。サイバー犯罪は，世の中でもっとも急成長している“ビジネス”なのだ。

　つい2～3年ほど前までは，攻撃と言えばネットワークを経由したものが主流であり，各種のサーバーやWebサーバーをターゲットとしていた。それが今では，特定企業に対象を絞ったフィッシング詐欺や，オフィス・ソフト/マルチメディア・ソフトなどの業務アプリケーションの脆弱性を突く攻撃など，手の込んだ攻撃が目立つようになってきた。より社会工学的な攻撃へと洗練されてきたのだ。

オフィス・ソフトへの攻撃というのは，どういったものなのか。

小野寺匠氏: PacSecカンファレンス2007の会場で，Microsoft Officeなどオフィス・ソフトに対するゼロデイ攻撃のことを講演するつもりだ。オフィス・ソフトへのゼロデイ攻撃とは，メールなどによって送付したオフィス文書をエンドユーザーに開かせることによって脆弱性を突く攻撃のこと。ウイルスに感染させたり，ボットを組み込んだりする。こう説明しても実感がわきにくいので，カンファレンスでは実際に「こう騙される」という事例を，デモンストレーションを交えて紹介する。攻撃への対処方法についても触れる。

　一昔前は，ゼロデイ攻撃と言えばネットワーク経由での攻撃だった。ところが，こうした攻撃は，ファイアウォールなどのネットワーク・セキュリティによって防御できる時代になった。犯罪者は，ネットワーク経由で攻撃することができなくなったため，より工夫を凝らし，より手の込んだ方法で，業務アプリケーションの脆弱性を突くようになったというわけだ。

アプリケーションの脆弱性を突くためには，脆弱性を見つけなければならない。費用対効果の面で採算が合うのか。

小野寺匠氏: 攻撃対象の見極めは，明確な狙いがある。お金になる場所を攻撃するのだ。まず初めに「お金を稼ぐ」という目的ありきで，「この会社/個人を攻撃する」という明確なターゲットを定める。そうして，そのターゲットを攻撃するための方法を探り，その会社が使っているアプリケーションの脆弱性を突く。

　脆弱性が最初から分かっているのかどうかは，分からない。攻撃対象など目的を定めた上で脆弱性を（それなりのコストをかけて）探るのか，あるいは何らかの方法ですでに知っている脆弱性を利用することを考慮に入れて目的を定めるのか，どちらなのかは分からない。これは，実行した犯罪者でなければ分からないことだ。一つ言えるのは，実際に被害が拡大しているという事実である。

　攻撃を受けた企業が公表を控えるため表沙汰になっていないだけで，実際には被害に遭っている例は多い。現金を口座に振り込むといった手口は足が付いて警察に捕まるので比較的少ないが，よくあるのは個人情報を不正に入手してリスト業者に売るというビジネスだ。リストにもよるが，数10万円から数100万円といった値段で売れるものもある。