広告掲載  | 会員登録 

横行する”サービスとしての”サイバー犯罪(Cyber-crime as a Service) -セキュリティ特集 第二回

TOP > ニュース > 横行する”サービスとしての”サイバー犯罪(Cyber-crime as a Service) -セキュリティ特集 第二回
セキュリティ特集 足立氏
by

IoT社会が進む中で、叫ばれているセキュリティの問題。IoTNEWSでは、今週も国際政治(サイバー)研究家の足立照嘉氏が、様々な角度からセキュリティとサイバー攻撃に関して解説をしていく。

サイバー世界の武器商人

私は、武器の調達や密輸、転売を行なったことはないが、実際は手間が掛かり、多大なるリスクを伴うことであるということは、映画などを観ていても想像に難くない。もし、これらが容易にできるとすれば、どうだろうか?

サイバー攻撃は武力行使に匹敵すると言われているため、ここではサイバー世界での武器の調達・密輸・転売を行う者のことを「武器商人」と呼ぶこととしよう。

前回書いた、IoT機器を用いたDDoS攻撃は、サイバー世界の武器商人から攻撃用のツールを借り受けた何者かによって行われたと言われている。

何故、「言われている」という不確実な表現を用いているのかと言うと、様々な憶測があるものの、2017年1月現在で真犯人が誰なのか判明していないからだ。

では、サイバー世界の武器商人はどのようにして武器を調達し、それをどのようにして何者かに譲り渡したのか考えてみよう。

武器の調達

まず、調達について考えてみる。

2016年に日本再興戦略(内閣府)が発表したところによると、IoTなどの活用による第4次産業革命は2020年に30兆円市場になると言われており、IoTを用いた世界は日々拡大し続けている。

また、米国の調査会社ガートナーによれば、インターネットに接続されたIoT機器は2016年現在で世界中に64億台存在し、一日あたり550万台ずつ増え続けていると言われている。

ここで問題となるのは、IoT機器が増え続けていることではない。

「安全ではないIoT機器」がインターネットに日々接続されていっていることが問題なのだ。

IoT機器には、セキュリティの概念の元に設計されたものも含まれるので、一概に全てが安全ではないというわけではない。

しかし、セキュリティを前提とした設計や運用をされていないモノも同時に存在してしまっていることもまた事実だ。

セキュリティを前提とした設計をされていないものとして、例えば、ログインIDやパスワードを出荷時の状態から変更できない「ハードコーディング」という方法で作られたIoT機器がある。

このような製品の場合、「IDがadmin」、「パスワードがpassword」といった、非常に分かりやすい状態で出荷されているにもかかわらず、このパスワードを変更することが構造上できない。
(前回紹介した「Mirai」というマルウェアでは、このようなIoT機器が大量に乗っ取られることになった。)

試しに、みなさんの自宅やオフィスにあるWiFiルータの管理画面などを一度見てみてほしい。

ログインIDやパスワードが購入時から変更されていない場合が多くあるだろう。

そして、このログインIDやパスワードを変更したくても、ハードコーディングされた機器では変更を行うことが不可能なのだ。

また、セキュリティを前提とした運用がされていない例としては、ログインIDやパスワードを変更できる製品仕様ではあっても、工場出荷時の初期設定でそのまま利用されてしまっている場合もある。

これらのIoT機器は武器商人にとってのターゲットとなり、前回紹介した「Mirai」や「Bashlight」といった、IoT機器にログインを試行し侵入するタイプのマルウェアを使うことで容易に乗っ取ることが可能なのだ。

それこそ、IoT機器をインターネットに接続してほんの数分で乗っ取られることもある。

こうして乗っ取ったIoT機器を遠隔操作することでDDoS攻撃を行うわけだが、乗っ取ることができたIoT機器が多ければ多いほど、DDoS攻撃の際のトラフィックを増やすことができる。

つまり、より大きな攻撃ができることから、武器としての価値も上がることになることがわかるだろう。

そのため、武器商人たちは、日々競いあってより多くのIoT機器を乗っ取っているという現状があるのだ。

武器の販売

こういった方法で調達したサイバー攻撃のための武器を、どのようにして売りさばいていくのだろうか。

まず、武器商人たちは、乗っ取ったIoT機器をまとめ、DDoS攻撃の際のトラフィック量に応じて価格を設定する。

そして、顧客の要望と予算に応じてオンライン上で時間貸での武器レンタルを行なっていくのだ。

なんとその価格は、1時間あたり日本円に換算して数百円から数万円。

需要と供給によって価格設定も変動するので、ここでの金額はあくまでも例えばの話だが、例えば、200ギガビット/秒の攻撃なら1時間あたり3,000円といった形で提供される。

更に商売熱心な武器商人は、無料お試しを設けていることもある。

このように、完全にサービスとして提供していることから、このような業態は「Cyber-crime as a Service(サービスとしてのサイバー犯罪)」とも呼ばれているのだ。

もし極めて短時間であってもあなたのサイトが攻撃を受けたとすれば、それは何者かが武器商人との本契約をする前に、お試しであなたを狙っていたのかもしれない。

セキュリティ特集
第一回:サイバー犯罪の代理人 IoTデバイスが温床に?!
第二回:横行する”サービスとしての”サイバー犯罪(Cyber-crime as a Service)

無料メルマガ会員に登録しませんか?

膨大な記事を効率よくチェック!

IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。

そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。

  • DXに関する最新ニュース
  • 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
  • 実践を重要視する方に聞く、インタビュー記事
  • 業務改革に必要なDX手法などDXノウハウ

など、多岐にわたるテーマが配信されております。

また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。

無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。

無料メルマガ会員登録

DX実践ノウハウ解説

業務プロセスをデジタル化、業務のDXを実現する方法
BPMSで、業務改善にとどまらない、業務改革を行う方法
DX実践講座
DX実践講座
業務改善に活用できるフレームワーク「ECRS」とは
業務プロセス改善のDXで使う「ECRS」とは、具体例や使い方を解説
業務のDXを、ベンダーに頼らず内製化する方法
業務改善のためのDX、5つの基本ステップ
DX人材とは
DX人材の6つの役割と必要なスキル
DXを加速する、アジャイル型組織
DXを加速する、アジャイル型組織とは
攻めのDX、守りのDX
攻めのDX、守りのDX
DXに使えるビジネスフレームワーク5選
DX戦略を作るのに必須となる、5つのビジネスフレームワーク
DX時代の正しい事例の読み解き方(事例マニアにはなってはいけない)
DX時代の正しい事例の読み解き方(事例マニアはNG)

DXトレンド解説

VR/AR メタバース
メタバース、VR・ARの基礎と活用事例
WEARABLE
ウェアラブルとは?ウェアラブルデバイスのビジネス活用事例10選
なぜDX人材が、必要なのか?
DXとは?本質をわかりやすく解説
いまさら聞けないIT・ICT・IoTの違い
IT、IoTとICTとの違い
スマートホームの基礎とトレンド
スマートホームの基礎とトレンド
VUCA時代を生き抜くDX
VUCA時代を生き抜くための、デジタルトランスフォーメーションとIoT
国内・海外のスマートシティDX10選
国内・海外スマートシティDX事例10選
都市のDXが進む「スーパーシティ」構想とは?
都市のDXが進む「スーパーシティ」構想とは?