破壊的なマルウェアが中東だけではなく世界各地へと拡大中
「破壊的なマルウェアの被害が拡大し、深刻化しています」と、IBM X-Force IRIS チャールズ・デベック氏が警笛を鳴らす。2018年下半期と2019年上半期で比較すると、IBMが対応した破壊的なマルウェアは200%増加したという。攻撃により、喪失したマシンの平均は約1万2千台。企業のワークステーションの3/4を占めることもある。被害額から対応にかかるコストまで合わせると、数十億ドル(数千億円規模)のぼることも少なくない。
破壊的マルウェアとは、データのアクセスを侵害したり、システムの機能を破壊するようなマルウェアの総称だ。マスターブートレコードを上書きするなどして、システムを実行不能にするものが多い。「ワイパー型」とも呼ばれる。デベック氏は「デスクトップがただのドアストップになってしまう」と言う。
サイバー脅威インテリジェンス 主席アナリスト チャールズ・デベック氏
身代金目的のランサムウェアであれば、データやシステムを復旧させる機能を持つものもある。しかし身代金を払っても復旧される保証はない。ランサムウェア(身代金目的)を装いつつも、実は破壊が目的のマルウェアもある。
気になる傾向としてデベックが指摘するのが、地域の拡大とスタイルの変化だ。これまで破壊的マルウェアというと、標的は中東に限られていた。しかし最近中東以外へも急速に広がり、攻撃が増えている。また破壊的なマルウェアは「ShamoonスタイルからLockerGogaスタイルへ」と遷移しているという。
オリンピックへの攻撃は間接的なものから直接的かつ高度化へと進化
続いて国際的なスポーツイベントへについて、これまでの攻撃を振り返ってみよう。2010年のバンクーバー冬季オリンピックでは、オリンピックの偽サイトが登場するなど攻撃は「まだ間接的だった」とデベック氏は言う。しかし2012年のロンドンオリンピックではDDoSなど直接的な攻撃が増えてきた。
後に世界反ドーピング機関や国際スポーツ組織へのサイバー攻撃があり、続く2018年の平昌冬季オリンピックでは「OlympicDestroyer」が現れた。オープニングセレモニーが狙われ、組織委員会でシステム障害が発生した。窃取した認証情報でアクセス試行が横展開されたことや、Windowsイベントログを削除して復旧やフォレンジックを困難にさせるなどの特徴が見られた。攻撃の対象が広がり、高度化したと言える。
ただし興味深いことに、デベック氏によるとOlympicDestroyerの攻撃ではデータを抽出する試みは見られなかったという。どのサイバー攻撃でも、ほとんどが何らかの形でデータを狙う。データは必要なかったとしても、売れば儲かるからだ。泥棒が侵入したのに、何も金品を盗まなかったようなものだ。これには多くの専門家が首をかしげたという。
