本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回は、サイバー攻撃において「奇襲の成功」が約束される「隠密行動」と「新技術」という2つの要因と、その2つが組み合わさることで成功率が飛躍的に高まる理由を述べた。今回は、サイバーの世界で「攻撃者有利」となる、さらに重要なもう1つの要因について述べていきたい。
サイバー空間だけにあるもう1つの理由
サイバー空間には、物理的な世界とは異なるもう1つの要因がある。結論から言うと、それは「コピペ(コピー&ペースト)ができる」ことだ。
しかも、デジタルにコピペしたものは、元となるものの劣化版ではなく、全く同じものだ。そのため、世界のどこかで誰かが作ったマルウェアなども、それを入手したらコピーすることはたやすい。さらに言えば、コピーしたマルウェアのパラメーターなどをちょっと改変してしまえば、ウイルス対策ソフトのパターン照合による検知を回避できてしまえる可能性も少なくない。攻撃者に必要なのは、一定レベルのハッキングなどの知識だけでいい。場合によっては、ほんの少しのITの知識があれば、一定レベルの攻撃が行えてしまえるのだ。
一方、サイバー攻撃者ではない私たちが暮らしている現実の世界では、そんな「新技術」をスピーディーに量産できることはあり得ない。戦争で使う兵器、飛行機やミサイル、戦艦のようなものは膨大な資源と大規模なプラント設備が必要で、何よりも年単位の研究開発や建造期間が必要だ。そのようなハイテク兵器はもちろん、昔からある鉄砲や刀、槍でさえも、戦闘に利用できるまでに相応の手間ひまがかかる。最も重要なのは、そのような兵器を兵員とセットで、戦地まで輸送させないといけないことだ。しかも単に輸送しては、敵に作戦の意図が露見してしまうし、個々に撃破されてしまう。その結果、大軍勢があっと言う間に雲消霧散してしまったという例も歴史上では珍しくない。
このような現実世界に対して、サイバー空間における戦闘ではそれらが全く必要ない。攻撃者は家や職場で椅子に座ったままサイバー攻撃ができる。つまり、現実世界とサイバー空間ではスピード感が全く異なるのだ。そして、その際たるものがサイバー攻撃特有の第3の要因として挙げた「コピペができる」ことである。
サイバー攻撃は、100%に近い確率で奇襲に成功し、このコピペによって、それがとんでもないスピードで、無数に繰り替えされていると言える。また、巧妙に侵入できる技術を持つサイバー攻撃者は、痕跡も上手に消せる場合が多い。世界のどこにいようと、ネットワークにつながったコンピューターさえあれば攻撃が実行できるにもかかわらず、その痕跡すら残さないのだ。しかも、ほとんどの場合、各国の警察組織はサイバー攻撃者を逮捕することができない。サイバー攻撃を実施する側にとって、リスクと呼べるものは、ほとんどないだろう。
本当は怖いサイバー攻撃の「コピペ」文化
「コピペ」という言葉だけを聞くと、学生がレポートの課題などで出来心で何となくやってしまう(良い子は真似してはいけない)ように他愛のないことに感じてしまいがちだ。しかし、これがサイバー攻撃では最もやっかいなことだとも言える。
なぜなら、先に述べたように、デジタルの世界ではコピーを何度繰り返しても、その対象は劣化せずに無限に同じものができるからだ。そこに一定の手間とコストがかかればまだ良いが、ほんの少しだけコンピューターのリソースを使えば完璧なコピーを簡単かつ大量に作り出せてしまえる。つまり、サイバー攻撃者は情報収集力があれば、防御側が対策を立てていない攻撃手法やマルウェアを見つければいい。それだけのことで、それなりに高度なサイバー攻撃が実施できてしまうのだ。
一方で防御側は、まず腕に自信のあるセキュリティエンジニアが攻撃に関する情報をリサーチし、攻撃の被害が深刻化する前に、対策を考えなければならない。そして、それがマルウェアのパターンファイルやその対応が可能な新しいセキュリティパッチや対策製品などの形でリリースされて、やっと対策を講じることとなる。残念ながら、サイバー攻撃とセキュリティ対策は、このようないたちごっこの繰り返しだ。
これらは、防御側からすると、気の遠くなるくらいの準備が必要なことだが、攻撃者からするとコピペすることでほとんどの準備が済んでしまう。サイバー攻撃において、コピペとは、このように非常に怖いものなのだ。それに、攻撃者は攻撃に関する情報を収集することすら必要のない場合も多い。サイバー攻撃を実行するためのツール類はもちろん、脆弱性に関する情報もダークネットと呼ばれる闇の市場で出回っており、それらを利用すればいいだけだからだ。
