図1 犯罪にはさまざまなスキルが必要 (イラスト:なかがわ みさこ)
図1 犯罪にはさまざまなスキルが必要 (イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]
図2 攻撃をサービスとして提供する (イラスト:なかがわ みさこ)
図2 攻撃をサービスとして提供する (イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]

 CaaS(crimeware as a service)は,悪意のある人向けに提供する,インターネット上の攻撃代行サービスである。CaaSを利用すると,ターゲットを攻撃し,狙った情報を手に入れてくれる。いわば,ソフトウエアをネットワーク上のサービスとして提供するSaaS(software as a service)のネット攻撃版である。

 インターネットの世界では,金銭目的のネット攻撃が主流になっている。商用サイトを狙ってデータベースの中身を盗み出したり,特定のユーザー向けに専用ウイルスを送り込んで情報を盗み出したりして,営利に結び付ける手口がはやっている。

 ただし,CaaSが登場する以前は,ネット攻撃にはそれなりのスキルが必要だった。攻撃目標を見つけるだけでなく,攻撃ツールを開発する能力や,実際に攻撃する実行力がないと,ネット攻撃は成功しない。それぞれのスキルを持っている犯罪者予備軍はいても,すべてのスキルを備えて実際に攻撃できる犯罪者はなかなかいなかった(図1)。

 そこでまず登場したのが,ネット攻撃用のツールである。開発能力があるクラッカが,攻撃ツールを開発して闇サイトで販売するようになった。これで犯罪の意思があれば,ネット攻撃用のツールを購入して,狙ったサイトを容易に攻撃できるようになった。

 単純な攻撃ツールだけでなく,拡張可能な攻撃ツールやウイルス開発用ツールキットも登場している。これらをカスタマイズすれば,特定サイトを狙い撃ちした攻撃や,特定ユーザー向けのウイルスを製造することができる。拡張可能な攻撃ツールは,一般のソフトウエア開発ツールと同じように,サポートの親切さに応じて異なる料金でライセンスされていたりする。

 このようにネット攻撃は,分業化が進み,それぞれのスキルを持つ犯罪者の間で,金銭をやりとりすることで発達してきた。最近では,攻撃ツールやウイルス開発用ツールをカスタマイズできない犯罪者向けに,カスタマイズを代行するクラッカも登場している。

 CaaSは,こういったネット攻撃の分業化の究極の形態といえる。CaaSを使えば,攻撃ツールの操作やウイルスの開発から実際の攻撃まで,サービスとして利用できる。自分の手を汚さずに,ギャングに依頼して犯罪を実行してもらうようなものだ(図2)。CaaSを使う側にとっては,依頼するだけで目的の情報が手に入る。自分の手を汚さない分,捜査が及びにくいというメリットもある。

 インターネットは,犯罪者たちにとっても便利なもの。世界中のネット犯罪者は,自由に連絡を取りあって足りない部分を補完しあう取引ができる。ネット犯罪のビジネス化が進むことで,ユーザーへの攻撃が高度になっている。