IPA(独立行政法人情報処理推進機構)は、毎年「情報セキュリティの10大脅威」を発信しています。
脅威は「個人への攻撃」と「組織への攻撃」に大別されてます。
2023年の「組織への攻撃」は、以下の順位でした。
順位 | 脅 威 | 昨年 順位 |
---|---|---|
1位 | ランサムウェアによる被害 | 1位 |
2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
3位 | 標的型攻撃による機密情報の窃取 | 2位 |
4位 | 内部不正による情報漏えい | 5位 |
5位 | テレワーク等の ニューノーマルな働き方を狙った攻撃 |
4位 |
6位 | 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) |
7位 |
7位 | ビジネスメール詐欺による金銭被害 | 8位 |
8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
9位 | 不注意による情報漏えい等の被害 | 10位 |
10位 | 犯罪のビジネス化 (アンダーグラウンドサービス) |
圏外 |
このランキングで細かな順位の変動はあまり意味がありません。
そもそも、サイバー攻撃をする人は、誰もが気づきにくいシステムの脆弱性(盲点)をついて、情報や金品を搾取するのが本質であり、流行を追う意味がないからです。
ただ、10位にランキングされた「犯罪のビジネス化(アンダーグラウンドサービス)」は、圏外からのランクインになるので、トレンドとして注目すべき脅威だと思います。
情報セキュリティに於けるアンダーグラウンドサービスというのは、「サイバー攻撃」をサービスとして攻撃者となる顧客に提供することです。サイバー攻撃して儲けたいが、IT 技術を持たない攻撃者に、組織化された悪の集団が「サイバー攻撃」のツールやサービスを提供するビジネスです。
サイバー攻撃は手間のかかる作業です。
下記は標的型メールによるランサムウェアへの感染を目論む一般的な攻撃者の作業手順を示しています。実際にターゲットとなる企業の機器のデータを感染(暗号化)させるまでに多くの労力を必要とすることが分かります。
更に感染に成功したからといって、被害者が身代金(暗号通貨が主です)を振り込む保障はありません。いまは、コンプライアンスの観点から、企業がサイバー攻撃を行うような人たちにお金を払うのは非常に困難です。そもそも、企業が締結する契約は、反社条項を盛り込むことを推奨しています。また、反社チェックという取引をする前に、取引先が「反社会的勢力」に該当しないか、「反社会的勢力」とのつながりがないかを確認するのも当たり前です。
そして上の絵には示していませんが、当然、ランサムウェアに感染させるには、マルウェアの開発が必要ですし、ターゲットから搾取したデータや暗号化に使用した秘密鍵が発見されないよう、ダークウェブ上で安全に保管するような保守作業も必要です。
サイバー攻撃をビジネス観点で見ると、労働生産性が低く、収益モデルも不安定だと思います。
ですので、サイバー攻撃は、個人芸から組織の作業として、効率化が図られるのは自然です。
サイバー攻撃のビジネスモデルを構築し、サービスの仕様をまとめるビジネスチーム、マルウェアを開発する開発チーム、ダークウェブや搾取したデータの管理を行う運用チームが、分業し、BizDevOps の如く、協業するスタイルが、アンダーグラウンドサービスを活性化させています。
アンダーグラウンドサービスとして、有名なのが、RaaS というビジネスモデルです。これは、Ransomware as a Service の頭文字をとった言葉です。言葉のとおり、RaaS は、攻撃者がランサムウェア攻撃を簡単にできるようにしたサービスです。RaaS という言葉から、クラウドサービスでよく使われる、SaaS、PaaS、IaaS を連想しますが、その連想はあっています。RaaSを契約する攻撃者は、ランサムウェアサービスを所有するのではなく利用します。サブスクのような月額の定額制と、実際にターゲットから入手した身代金の一部をロイヤリティとして、RaaS の事業者に支払う方式があるようです。
アンダーグラウンドサービスには、多くのITエンジニアが関わっていると思いますが、情報セキュリティの犯罪が組織化、集団化することで、個々のエンジニアは「自分が犯罪に加担している」意識が薄れていくことを懸念します。
かって、物理学者のアインシュタインは、ルーズベルト大統領に原爆開発を進言しました。そして、アメリカは広島と長崎に原爆が投下したことで、戦争は終結します。ただ、アインシュタインは「われわれは戦いに勝利したが、平和まで勝ちとったわけではない。たとえ国家が要求しても良心に反することはしてはいけない」と誓ってます。
マルウェアと原爆を同一線上で語るのは大げさかもしれないですが、エンジニアは自らが関わっている技術が何に利用されているかに強い関心を持つことが必要だと思います。