いま、サイバー犯罪の世界はどうなっているのか?
― サイバー犯罪の最新動向というか、いま、アンダーグラウンドではどのような事態になっているんですか。
蔵本 色んなタイプがありますけど、やっぱり今日の攻撃者の目的は、金。世の中ゼニや、なんぼ儲かんねん、という話が多いですね。
― 自己顕示をしていた美しい時代は終わったと。
蔵本 で、マネタイズできるものの例、これもけっこう勘違いをされている方が多くて、まず、「直接的な金銭」は、わかりますよね。
― フィッシングとか、ランサムウェアですね。
蔵本 感染したらファイル暗号化して、復号してほしかったらお金払ってねっていうやつ。こういうのは直接的な金銭なので、すごくわかりやすい例ですよね。あとは、機密情報ですね。みなさんの会社の中にある重要な情報をハッカーが持ち出して、これを売り飛ばすっていうわけですよね。
― 個人情報とかですね。
蔵本 この辺までは、みなさんわかるんですよね。で、こういう話をしていると、必ず「いや、うちの会社って別に重要な情報ないから、うちなんか狙うやつおらんよ」って話になってくるんです。
― あるあるですね!
蔵本 「直接的な金銭」とか「機密情報」は自分が被害者になるからイメージしやすいんですけど、自分が加害者になってしまうパターンがイメージできてない場合によく出る話ですね。自分が加害者になってしまうパターンでいうと、例えば「パソコンの操作権」が抜けているんですよね。要は、乗っ取ったパソコンを外部から自由に遠隔操作をするっていう事ですけど、この「パソコンの操作権」って売れるんですよ。
― 「パソコンの操作権」を売る?
蔵本 たとえば、僕がハッキングしたいと思ったとしますよね。でも僕が、僕の自宅からどっか攻撃したら、すぐプロバイダとかに問い合わせられて僕がやったってバレるじゃないですか。だから誰かを間に挟むんですよね。誰かを間に挟んで、そいつを踏み台にして攻撃するんです。そうすると攻撃がバレたとしても、僕じゃない、僕が操作してた誰かが疑いをかけられるわけですよね。トカゲのしっぽ切りみたいな。だから、攻撃をする人っていうのは遠隔から操作できるパソコンの操作権がほしいんです。操作権で身近なものだと迷惑メールはわかりやすいですね。あれなんかもボットとかで乗っ取ったパソコンにスパムメール出せっていう命令を出して、乗っ取られたみなさんの端末からスパムメールがボンボンでるわけですね。要は操られるわけです。だからこの操作をするっていう、操作権も売れます。
― なるほど。被害者だけでなく、間接的に加害者になる可能性もあるということですね。
蔵本 そうです。「被害者」と「加害者」っていう2つの観点から考える必要があります。被害者になるケースは容易に想像つくんですけど、でも、こっちが加害者になるケースもやっぱり重要ですね。グループ企業が攻撃されるときのあるあるですけど、グループの本社ってお金も人もたくさんいるから強いじゃないですか。
― そうですね。
蔵本 攻撃者が最終的に本社に侵入したいとしても、攻撃者はいきなり直接本社に侵入する必要はなくて、グループの末端のセキュリティレベルの低いところから侵入したらいいわけですよね。で、そっから逆流していくと。滝登り的な。要はグループ企業の1つが加害者になってグループがやられてしまうパターンですね。
― なるほど、確かに攻撃者は弱いところを狙えばいいですもんね。
蔵本 そうなんですよ。で、さらに「うちの会社なんか狙わないよ」っていうお話はもう1個観点があって、サイバーセキュリティの攻撃って乱暴に2つに分けると、僕がよく言うのは、空爆とスナイパーっていうのが2個あるっていう話をするんです。空爆っていうのは、この辺の地域に爆弾をいっぱい落としてやろうみたいな攻撃ですよね。で、あいつの政府の要人だからスナイパーを雇って、高いお金を払って攻撃してもらおうみたいなやつがスナイパー攻撃ですよね。で、自分は一般市民だからスナイパーに狙われることはないっていうのが、まあ、「重要な情報ないからうちは狙われない」って言う人の理屈なんですけど、ふつうに空爆で巻き込まれますよね。知らないうちに空爆に巻き込まれて情報漏えいしてたり、踏み台にされて自らが攻撃したことも気づかないまま、やられているケースっていうのも、やっぱりもちろんあるわけですよね。なので、「空爆」と「スナイパー」の両方の観点でちゃんと考えておくのはホンマに大切です。
― 「うちは大した情報がないから狙われない」というエクスキューズはまず成り立たないということですね。
