サービスとしてのサイバー攻撃

弊社の佐藤研究員も「Global Perspective」のコーナーでしばしば取り上げているが、最近、サイバー攻撃が大きな社会問題になりつつある。

「コンピュータ・ウィルス」とか「マルウェア（注1）」というと、「コンピュータ好きな若者が、いたずら半分に、一人で自室にこもってコツコツ作っている」というようなイメージを抱きがちだが、実情は違うらしい。

面白半分でマルウェアをばらまく愉快犯ではなく、むしろ、特定の企業や組織に狙いを定めた、いわゆる「標的型攻撃」が増えているのだ。

また、年々高度化していく企業のセキュリティ対策の監視の網をくぐりぬけて悪事を働くには、それなりのスキルが必要になる。「ちょっとコンピュータに詳しい」程度の個人ではもはや太刀打ちできない。社内ネットワークにバックドアを設けて情報を吸い上げる「トロイの木馬」型のマルウェアを一から作るとしたら、いわば「高度なグループウェアを作るような能力が必要になる」という。

そうした中で、増えているといわれるのがサイバー攻撃をサポートするツールやサービスの利用である。

2007年から猛威をふるってきたマルウェア「Zeus」は、作成ツールがアンダーグラウンド市場で売買されていたことが知られている。また、最近増えている「Poison Iｖｙ」は、フリーウェアとしてSDKが公開されており、誰でも自前のマルウェアを作り出すことができる。

既存のマルウェアを元に亜種を作ったり（“Crypting”）、それがアンチウィルス・ソフトで検出されないかどうかを検査するサービス（“Antivirus-Checker”）もある。米国のセキュリティベンダーTrusteer社のレポートによれば、Cryptingは1件20ドル、Antivirus-Checkerは月額20ドル程度で提供されているという（注2）。

さらに「MAAS」という言葉も聞かれるようになってきた。これは「Malware As A Service」の頭文字をとったもので、いわば「クラウド・サービスとして提供されるマルウェア」である。今年の6月には「Capfire4」というサイトが、トロイの木馬型マルウェアを作りだすクラウド・サービスとして注目を集めた。

クラウド・サービスは、自社で高性能なコンピュータや大容量のストレージを用意するリソースを持たない中小企業や個人ユーザが、高度なコンピュータ・サービスを利用することを可能にした。同様に、マルウェアをクラウドで提供すれば、自分ではマルウェアを作るリソースを持たない人でも、サイバー攻撃を行うことが可能になる。

インターネットで提供されるさまざまなサービスは、犯罪者にとっても等しく便利なツールになり得ることをあらためて痛感させられる。

（注1）「マルウェア（malware）」とは「悪意のあるソフトウェア（malicious software）」の略。一般的には「ウィルス（virus）」という言葉の方が知られているが、ウィルスは「自己増殖を試みるプログラム」を意味しており、マルウェアよりも範囲が狭い

（注2）“The Thriving Malware Industry-Cybercrime Made Easy”の7ページ参照