マルウェア攻撃はここ数年で新たな意味合いを帯びてきました。企業や消費者は、トロイの木馬やフィッシング詐欺といった脅威に日々慣れ親しんでいますが、より複雑で洗練された新たな種類の脅威が状況を一変させています。
StuxnetワームやDuquワーム、そしてFlame、Gauss、Red Octoberといったマルウェアは、いずれも国家または組織化されたテロリスト集団によって開発されたようです。それぞれに明確な目的と明確な標的が設定されています。これらのサイバースパイ攻撃の標的にされない限り、心配する必要はありませんよね?そうではありません。
サイバースパイ活動やサイバー戦争の脅威の影響は、たとえ意図された標的でなくても、誰もが 3 つの方法で感じることがあります。
1. 重要インフラ
マルウェアを使用する国家やテロ組織は、標的国の重要インフラを麻痺させる可能性があります。これには、電力網、鉄道や航空交通、信号、天然ガスパイプライン、原子力発電所、水処理施設などが含まれます。
これらが「重要インフラ」と呼ばれるのには理由があります。それは、基本的な生存、防衛、輸送、通信に不可欠な要素だからです。国家の重要インフラが攻撃を受けた場合、その影響はそれらのサービスに依存するすべての企業に及ぶことになります。
2. 巻き添え被害
これらの高度なサイバースパイ攻撃の背後にいる開発者の「善意」にもかかわらず、標的とされていなかった企業や消費者が被害を受ける可能性があります。結局のところ、付随的被害はほぼあらゆる軍事作戦や諜報活動において計算されており、これは不正グループによる戦略的攻撃にも当てはまります。
敵の核施設のPLC(プログラマブル・ロジック・コントローラー)を機能不全に陥れることを目的とした攻撃が、自動車製造工場の類似モデルのPLCを誤って停止させてしまう可能性があります。攻撃が製造施設への被害を意図していなかったという事実は、被害に遭った場合、ほとんど慰めにはなりません。
3. リバースエンジニアリング
今週ニューヨークで開催されたカスペルスキー・サイバーセキュリティ・サミット2013でのプレゼンテーションで、カスペルスキーのグローバル調査分析ディレクターであるコスティン・ライウ氏は、興味深いデータを指摘しました。サイバースパイ活動の脅威「Duqu」は既に発見・無効化されているにもかかわらず、その中核となるエクスプロイトの一つが、昨年12月に2日連続で、最も蔓延している脅威のトップにランクインしたのです。
一体なぜそんなことが可能なのでしょうか?脅威は一度検知・特定されると、パブリックドメインになります。攻撃者はコードを入手してリバースエンジニアリングし、攻撃の仕組みを解明し、その手法を独自のエクスプロイトに再利用することができます。サイバースパイ活動による当初の脅威は一般ユーザーを対象としていなかったかもしれませんが、一度発見されれば、その革新的なエクスプロイトはあらゆる攻撃者にとって格好の標的となります。
元ホワイトハウス・サイバーセキュリティコーディネーターのハワード・シュミット氏は、カスペルスキー社のイベントでのパネルディスカッションで孫子の言葉を引用し、戦いで火を使う際に覚えておくべき3つのルールを挙げた。1) 風が顔に当たらないようにすること。2) もし風が当たっているなら、燃えやすいものを持っていないこと。3) もし持っているなら、燃えやすいものは重要ではないことを確認すること。
サイバースパイ活動は、まるで戦場で火を使うようなものです。一度公開されると制御が難しく、発見されて元の開発者に不利に利用されないという保証はなく、制御不能に陥って意図よりもはるかに広範囲に及ぶ影響を及ぼさないという保証もありません。
これらの脅威から身を守るのは、言うは易く行うは難しです。サイバースパイ活動による攻撃が発見されると、研究者たちは、これらの脅威が実際には3年、5年、あるいは10年も前から活動していたことを突き止めます。なぜ多くの企業や政府機関が導入している標準的なセキュリティ対策では検知されなかったのか、あるいはなぜ何年も検知されずに活動できたのか、という疑問は当然の疑問です。
