前回の感想文の続きになります(その3)。
最初の記事はこちらです。
サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス) 中島 明日香 著
7章では、弊社で長年取り扱っている TippingPoint の名前や、Rapid7の名前が登場します。おお...。この章の最初には、金銭目的のサイバー犯罪について書かれています。
よく私はこんな話をします。
サイバー攻撃者の種類:
- ビジネス目的の犯罪者・犯罪グループ
- 国家の支援を受けていると言われる攻撃グループ “APT”
- 産業スパイ
- 自己顕示、愉快犯などのサイバー犯罪者
- ハクティビスト(アノニマスなど)
- 組織の関係者(内部犯行)
金銭目的、となると、1. そして 2、3 も含まれますかね。
サイバー犯罪は利益効率が高い
そう書籍に書いてありますが、それはそのとおりで、以下のようなことが言えます。
- 通常の犯罪と異なり国を超えて行われる
- そのため法執行機関も犯人を逮捕しにくい
- 例えば、日本の警察がロシア人をロシアでは逮捕できない
- つまり、犯罪者からすれば非常にリスクが低い
Exploit Kit の話について言及されていますが、既にサイバー犯罪は闇産業化していますから、例えば、以下のように犯罪は「分業化」されているわけです。
- サイバー攻撃を指南する
- マルウェアを開発する
- マルウェアを販売する
- サイバー攻撃を行う
- 情報を盗む
- 盗んだ情報を売買するサイトを運営する
- 対価を仮想通貨などでロンダリングする
まさにエコシステムが形成され、サイバー犯罪市場は都市経済と同様の構造で拡大していると言えると思います。しかも、攻撃には技術すら必要がないかもしれません。
一般的に流通している攻撃演習用のMetaSploitやCobalt Strikeを含め、Exploit Kit の流通の問題は厄介です。サイバー攻撃グループ"APT"の問題については、なかなか言及しにくいところもあると思いますが(著者も書きたかったのでは、と推察します)、これらを使われると攻撃手法のアトリビューションがわかりにくくなるため、攻撃者の特定を困難にします。
Exploit as a Service (EaaS) が紹介されていますが、Ransomeware as a Service (RaaS) 、PhaaS (Physing as a Service)、DDoS as a Service など、サイバー犯罪のビジネスモデルは多岐に渡り、マルウェアのインストールなどは成果報酬型のものもあると言われています(あります)。
DRIVE-BY にしろ、WATERING HOLE 攻撃にしろ、複雑化が進み、中間のTDS (Traffic Distribution Systems) が、国や企業ごとに適用する Exploit に変化をつけるとか、特定の企業のIPアドレス以外には悪さをしないとか、検出を難しくしています。
本書では国家間サイバー戦争について、イラン核施設を攻撃したマルウェア(本書ではサイバー兵器と記述) Stuxnet について、ロシアがグルジア(現在はジョージアと表記)に仕掛けたDDoS攻撃について紹介されていますが、PLC (Programmable Logic Controller) という単語まで出てきます(驚)。
OT(Operational Technology:制御・運用技術)については、当社も数年前にNozomi Networks や Tempered Networks の製品取扱いを機に学びはじめたところですが、まだまだ社会の認知度も低く、そういった課題を解決していかなければいけない、と思いました。
協力体制と人材育成の重要性については、まったくもって同意させていただきます。我々は計算機科学、情報科学の恩恵を受け、フィールドの技術を磨き、お客様とWin-Winになるようなビジネスをさせていただいておりますが、セキュリティの仕事をするということには社会的意義というものがあり、それを誇りに思い、肝に銘じ、間接的であったとしても社会貢献していければよいと思いました。
ありがとうございました。
最初の記事はこちらです。
ひとつ前の記事はこちらです。
