横行する”サービスとしての”サイバー犯罪(Cyber-crime as a Service) -セキュリティ特集 第二回

IoT社会が進む中で、叫ばれているセキュリティの問題。IoTNEWSでは、今週も国際政治(サイバー)研究家の足立照嘉氏が、様々な角度からセキュリティとサイバー攻撃に関して解説をしていく。

サイバー世界の武器商人

私は、武器の調達や密輸、転売を行なったことはないが、実際は手間が掛かり、多大なるリスクを伴うことであるということは、映画などを観ていても想像に難くない。もし、これらが容易にできるとすれば、どうだろうか?

サイバー攻撃は武力行使に匹敵すると言われているため、ここではサイバー世界での武器の調達・密輸・転売を行う者のことを「武器商人」と呼ぶこととしよう。

前回書いた、IoT機器を用いたDDoS攻撃は、サイバー世界の武器商人から攻撃用のツールを借り受けた何者かによって行われたと言われている。

何故、「言われている」という不確実な表現を用いているのかと言うと、様々な憶測があるものの、2017年1月現在で真犯人が誰なのか判明していないからだ。

では、サイバー世界の武器商人はどのようにして武器を調達し、それをどのようにして何者かに譲り渡したのか考えてみよう。

武器の調達

まず、調達について考えてみる。

2016年に日本再興戦略(内閣府)が発表したところによると、IoTなどの活用による第4次産業革命は2020年に30兆円市場になると言われており、IoTを用いた世界は日々拡大し続けている。

また、米国の調査会社ガートナーによれば、インターネットに接続されたIoT機器は2016年現在で世界中に64億台存在し、一日あたり550万台ずつ増え続けていると言われている。

ここで問題となるのは、IoT機器が増え続けていることではない。

「安全ではないIoT機器」がインターネットに日々接続されていっていることが問題なのだ。

IoT機器には、セキュリティの概念の元に設計されたものも含まれるので、一概に全てが安全ではないというわけではない。

しかし、セキュリティを前提とした設計や運用をされていないモノも同時に存在してしまっていることもまた事実だ。

セキュリティを前提とした設計をされていないものとして、例えば、ログインIDやパスワードを出荷時の状態から変更できない「ハードコーディング」という方法で作られたIoT機器がある。

このような製品の場合、「IDがadmin」、「パスワードがpassword」といった、非常に分かりやすい状態で出荷されているにもかかわらず、このパスワードを変更することが構造上できない。
(前回紹介した「Mirai」というマルウェアでは、このようなIoT機器が大量に乗っ取られることになった。)

試しに、みなさんの自宅やオフィスにあるWiFiルータの管理画面などを一度見てみてほしい。

ログインIDやパスワードが購入時から変更されていない場合が多くあるだろう。

そして、このログインIDやパスワードを変更したくても、ハードコーディングされた機器では変更を行うことが不可能なのだ。

また、セキュリティを前提とした運用がされていない例としては、ログインIDやパスワードを変更できる製品仕様ではあっても、工場出荷時の初期設定でそのまま利用されてしまっている場合もある。

これらのIoT機器は武器商人にとってのターゲットとなり、前回紹介した「Mirai」や「Bashlight」といった、IoT機器にログインを試行し侵入するタイプのマルウェアを使うことで容易に乗っ取ることが可能なのだ。

それこそ、IoT機器をインターネットに接続してほんの数分で乗っ取られることもある。

こうして乗っ取ったIoT機器を遠隔操作することでDDoS攻撃を行うわけだが、乗っ取ることができたIoT機器が多ければ多いほど、DDoS攻撃の際のトラフィックを増やすことができる。

つまり、より大きな攻撃ができることから、武器としての価値も上がることになることがわかるだろう。

そのため、武器商人たちは、日々競いあってより多くのIoT機器を乗っ取っているという現状があるのだ。

武器の販売

こういった方法で調達したサイバー攻撃のための武器を、どのようにして売りさばいていくのだろうか。

まず、武器商人たちは、乗っ取ったIoT機器をまとめ、DDoS攻撃の際のトラフィック量に応じて価格を設定する。

そして、顧客の要望と予算に応じてオンライン上で時間貸での武器レンタルを行なっていくのだ。

なんとその価格は、1時間あたり日本円に換算して数百円から数万円。

需要と供給によって価格設定も変動するので、ここでの金額はあくまでも例えばの話だが、例えば、200ギガビット/秒の攻撃なら1時間あたり3,000円といった形で提供される。

更に商売熱心な武器商人は、無料お試しを設けていることもある。

このように、完全にサービスとして提供していることから、このような業態は「Cyber-crime as a Service(サービスとしてのサイバー犯罪)」とも呼ばれているのだ。

もし極めて短時間であってもあなたのサイトが攻撃を受けたとすれば、それは何者かが武器商人との本契約をする前に、お試しであなたを狙っていたのかもしれない。

セキュリティ特集
第一回:サイバー犯罪の代理人 IoTデバイスが温床に?!
第二回:横行する”サービスとしての”サイバー犯罪(Cyber-crime as a Service)

Previous

ソニー・グローバルエデュケーション、ロボット・プログラミング学習キット「KOOV(クーブ)」を発売

米アマゾン、アメリカで無料のスマートホーム・コンサルティングサービスを開始

Next