「変化の中心」をベースロードとピークロードから探る
はじめに名和氏は、サイバー攻撃の変化の中心が「技術と手法」から「戦略と仕組み」に移り変わってきているとして、“ベースロードとピークロード”という2つに脅威を大別して解説をはじめた。
まず、頻度や影響に着目したサイバー脅威の区分けについて、電力業界で使用されている電源にたとえた説明を始めた。止まることなく長期にわたって電力を生産する「ベースロード」電源に相当するのは、国家機関から一般家庭まで、場所や時期を限定せずに必ずといっていいほど発生する脅威だ。一方で、電力が不足した場合に供給する「ピークロード」電源に相当するのが、大規模イベントや外交など、時と場合によって増減があるもの、あるいは突如として発生する脅威だという。そして、最低限のセキュリティを把握したかったり、リスクに対する対応を検討したかったりするのであれば、まずはベースロードを知って欲しいとした。
では、このベースロードにはどのようなものがあるのか。名和氏は、“サイバー攻撃の技術と手法”におけるものとして、次の3つを挙げた。
- 調達/窃取した認証情報の悪用
- 正規の更新機能を利用するマルウェア感染
- スクリプト実行環境を利用した不正挙動
まず、1つ目である“調達・窃取した認証情報の悪用”について、「これは変化というよりは、積み重ねです」と名和氏は説明する。従来は、攻撃者がC2サーバー(C&Cサーバー:Command and Control server)経由で組織内に侵入させたマルウェアに対して、指示を送ったり別のマルウェアを追加したりすることが主だった。現在でも、こうした攻撃手法は続いている一方で、「悪意のあるスクリプト(マルスクリプト)」が増えているという。
マルウェアは、本来組織内に存在しないはずの異質なものといえるが、マルスクリプトは最初から組織内にある正規のプログラムに、C2サーバー経由で不正な命令文を書き加える。こうした挙動はウイルス対策ソフトで検知することは難しい。
2つ目に挙げられた「正規の更新機能を利用するマルウェア感染」は、マルウェアに感染させるための“手法の変化”だという。これまでは、人間の心理的な隙を狙うようなメールなどによりマルウェアに感染させようとしていた。現在でも感染経路の約9割がメールだといわれているが、WebサイトやUSBメモリなどのデバイスを感染経路とするものも存在するとした。
たとえば、正規の更新機能、つまりソフトウェアの更新モジュールやWebブラウザの拡張機能がマルウェア化して感染するケースが増えており、“日常的”ともいえるくらいの感染経路になっているという。2018年には、米国ニュージャージー州の危機管理センターの職員が勝手にWebブラウザの拡張機能をインストールしたところ、悪意のある挙動が発生し業務に大きな影響を与えたという事件が発生している。
そして3つ目の「調達・窃取した認証情報の悪用」では、攻撃者がユーザーの認証情報(IDとパスワード)を手に入れるための“手法の変化”が指摘された。以前から「キーロガー」や「フィッシング詐欺」は使われており、特にフィッシング詐欺については今でも多くの攻撃者が利用している。その一方で、前述したWebブラウザの拡張機能や、PCのメモリに最初から組み込まれているダンプツール、さらにはスマートフォンのアプリからも、情報は惜しげもなく取られていると名和氏は説明する。
こうした手法は悪意のあるものだけではなく、ユーザーの同意を得て正規に取得しているものもある。そのプライバシーポリシーには、取得した認証情報や個人情報は外部に出さないというものもあれば、関連会社に共有すると書かれている場合もある。また、そのルールを破ったり、共有したパートナー会社がサイバー攻撃を受けたりすることで情報が漏えいしてしまうケースもみられるという。こうして取得された情報は、攻撃者のブラックマーケット(ダークウェブマーケット)で売られていくのだ。
