2013年型サイバー攻撃の予想 (1) 2012年度の主要トピックス

1.はじめに

最近のサイバー攻撃動向は以前に増して激しくなってきていると言わざるを得ない。その背景には、社会全体のIT普及に伴い、サイバー攻撃における敷居も低くなっていることなど挙げられるだろう。特に近年ではサイバー攻撃による大規模な事案も多く発生していることを踏まえると、恐らくサイバー攻撃に携わっている組織や人数も増加しているのだろう。特に2012年度後半は比較的大規模なインシデントが目立った。

2013年3月には、韓国で農協銀行をはじめとした複数銀行のATMネットワークが、北朝鮮からとされるサイバー攻撃により停止した。韓国政府からは事案の全体像が語られた。しかし、インシデント発生前後に報告された各セキュリティベンダーのレポートの一部の内容に関しては、未だ解明に至っていない部分もあるようだ。

また、2013年1月頃から世界中の多くのウェブサイトが改ざんされ、悪性コード類が設置された。その結果、世界中の多くのPCがソフトウェアのぜい弱性を悪用され、マルウェアがインストールされてしまった。この事案に関しても、改ざん手口は推測のみで終始しており、未だはっきりとした改ざん手口は明らかにされていない。

一部のセキュリティ研究者の間では、特定のウェブアプリケーション（Parallels Plesk Panel）のぜい弱性が悪用されたのではないか、との推測がされているが、利用していないウェブサーバも改ざんも確認されており、未だ推測の域を出ていない。これらの事例の他との共通点として、2012年のインシデントの特徴は、原因が明確でないインシデントが多いことが挙げられる。

標的型サイバー攻撃の被害も一向に減少の気配が感じられない。日本においても政府機関をはじめとし、多数の事案が報道されている。しかし、これらの事案は氷山の一角であることはご想像の通りで、現在世界中でサイバー攻撃の被害が毎週のように報告されている。これらの事案は必ずしも政府関連や大企業だけで発生していることでは無く、それらの組織に関与しているだけで攻撃対象になっている。もはや、何処の誰でも標的になる可能性を持っているということだ。本稿では2012年度を振り返り、2013年度のサイバー攻撃の傾向を予測してみたい。

2.2012年度の主要トピックス

(1)ハクティビストの台頭

アノニマスで広く知られるようになった「ハクティビスト」であるが、彼らは社会的、政治的な事に対して主張するためにサイバー攻撃を行う。大義名分としては立派であるが、やっていることは褒められたことではない。

彼らの活動は分かりやすい。例えば、アノニマスが2011年に行ったもので、「Operation Green Rights」というのがあった。これは、地球上の自然に対して被害を与えたとする企業に対して攻撃を計画したものだ。この事案は東京電力が標的の1つとして候補に挙っていたことが話題となった。また、2012年には「OpJapan（オペレーション・ジャパン）」という日本組織に対して攻撃が計画されたことは記憶に新しい。違法ダウンロードの刑事罰化、違法アップロードを監視するISPモジュールについて抗議したものとされる。一部の新聞などでも記事になっていたので、覚えている方も多いはずだ。さらに、同年はハクティビストのグループの1つであるgh0stshellの活動が話題を集めた。このグループは世界で著名な100の大学への侵入行為により、よく知られるようになったので耳にした方も多いのではないだろうか。彼らはPASTEBINなどのウェブサイトに犯行予告および窃取した情報を公表することでも知られている。

彼らはどのくらいの規模でどのような人物像であるかさえ不明である。恐らく、何らかのメッセージを送ろうとしているメンバーの他に、愉快犯もかなりの数が紛れているのだろう。このようなサイバー攻撃活動は、今後も発生し続けることが考えられる。

(2)サイバー犯罪の増加

金銭目当てのサイバー犯罪は以前から存在した。特に2007年頃にWeb Exploit Kit（ウェブサイトに設置することで、ウェブサイト閲覧者を攻撃するための攻撃ツールの総称）のMpack（ロシア製の攻撃ツール）が登場してからサイバー犯罪の敷居は低くなり、攻撃件数も年々増加の一途だ。このことは過去から現在までにWeb exploit Kitが売買されている件数からも容易に想像が付く。なお、どのような種類があるか、興味のある読者は次の資料を参考にすると良いだろう。

An Overview of Exploit Packs (Update 18) March 2013(contagion malware dump)
http://contagiodump.blogspot.jp/2010/06/overview-of-exploit-packs-update.html

また、スマートデバイスを狙った犯罪傾向にも変化があった。その代表的な事案の1つとして、2012年6月に不正指令電磁的記録供用により6名の逮捕者が出たFakeTimer事件がある。FakeTimerとは、スマートフォン（Android）向けに作成された詐欺アプリケーションである。アダルト動画再生アプリケーションとして配布されたが、実際は料金請求画面が表示されるものだった。この事案で注目したい点は2つある。

(a)日本人による組織的犯行
(b)アプリケーションはネット上で配布されているサンプルコードから開発

(a)であるが、スマートデバイスを狙った詐欺アプリケーションの殆どは中国で開発されていた。しかし、FakeTimer事件では日本人により開発されていた。これは、日本国内において詐欺行為をはじめとした犯罪がサイバー化し始めたことを示している。
また、(b)も近年の特徴と言える。FakeTimerを解析すると、ネット上で公開されているサンプルプログラムと同一のものと推測されるコードが確認できたことが知られている。FakeTimerは自身の更新を数回行っている。その度に追加された機能は、いずれも何らかのサンプルコードが利用されていたとされる。この事件から分かることは、金銭目的の犯罪そのものがサイバー化していることに加え、その敷居は明らかに下がっているということである。

(3)国家や企業間の情報戦

報道によれば、日本政府関係をはじめとした複数の組織が標的型サイバー攻撃による被害にあっているという。やはり注目したいのは、財務省や農林水産省、JAXAなどへのサイバー攻撃被害の報道だろう。いずれの事件も情報流出の可能性が指摘されていることから、恐らく下記のような痕跡がデジタル・フォレンジックの解析結果として確認されたのだろう。

(a)特定情報を含む圧縮ファイルなどが確認
(b)特定情報を含むファイルがアップロード

真偽の程は分からないが、あらゆる情報がデジタル化されている現状を踏まえると、サイバー攻撃により重要情報を得ようとすることは必然である。この種のサイバー攻撃の恐い点は、原因究明と侵入経路、攻撃者の操作内容が判明する確率が技術面から見て難しい点である。これは、事案判明後に対策を施しても、短期間で“本当の意味での”クリーンな状態にすることは難しいことを示している。現在でも毎週のように世界各国で事案が報告されていることを考えると、特定組織を狙ったサイバー攻撃被害はしばらく増大するかもしれない。

(1)～(3)まで2012年度に印象が残った事案について述べた。いずれの事案も何らかの目的を有しており、攻撃者の意図は想像に難くない。ネット環境が社会インフラの一部になっていることを踏まえると、犯罪やテロ、市民活動などはサイバー化したことは必然と言える。

（デロイトトーマツリスクサービス株式会社岩井博樹）