「機械を作るやつ、整備するやつ、使うやつ、人間の側が間違いを起こさなけりゃ機械も決して悪さはしねえもんだ」――。1989年に公開された映画『機動警察パトレイバー the Movie』で登場人物がこう語る。
この映画は今から20年前に製作されているが、PCが現在ほど普及していないにもかかわらず、コンピュータウイルスを中核にして物語を展開させる。サーバやPCに触れる人間は社会全体からしてみると、ほんの一握りでしかなかったはずだ。そうした社会状況の中で、技術と、それを使う人間の関係を簡潔にこの映画は言い当てている。
人間が“間違い”を起こさなければ、機械も“悪さ”をしないのである。だが、悲しいことに悪さをする人間はいつの世も確実に存在する。ウイルスやワーム、ボットネットなどを含むマルウェアを開発するのは、人間でしかない。マルウェアが進化するのは、開発する人間の意識が変化しているからだ。
情報セキュリティ関係者ならば、誰でも思うことだろうが、改めてそうしたことを強く意識させられたのが、先頃米でMcAfeeが開催したセキュリティカンファレンス「FOCUS09」のあるセッションだ。「The Morphing Threat Landscape」(“脅威はCGのように滑らかに変化する”と表している点が興味深い)と題されたセッションで、McAfeeの研究調査部門McAfee Labs(旧McAfee Avert Labs)で調査を担当するCraig Schmugar氏と同部門で製品管理を担当するAnthony Bettini氏が情報セキュリティの“脅威”がどのように変化してきているのかを説明している。
より効果的な犯罪を求める
情報セキュリティ上の本格的な脅威として広く一般社会に影響を与えたのが、2000年前後にから出没したウイルスだ。1999年の「Melissa」や2001年の「Anna Kournikova」、2004年の「Sasser」は爆発的に感染したことで、情報セキュリティを意識することのなかった一般のエンドユーザーにも、脅威がいつでも自分の身に降りかかるものであることを知らしめた。
これらのウイルスは「初期の金銭を目的とした攻撃」(Schmugar氏)だが、Schmugar氏は「こうした大きなスケールのマルウェアの攻撃は、経済的利益を得られるが、大きなリスクを伴う」と説明する。スケールが大きいだけに目立ってしまい、かえって追跡されやすいという大きなリスクを伴うことになる。
そうしたことに気付き始めたマルウェア開発者たちは当然、戦術を変えるようになる。つまり、より低いリスクで大きな利益を得ようと考える。その対象の一つとなったのがオンラインゲーム上の仮想通貨である。「狙いやすい対象であるオンラインゲーマー」(Schmugar氏)を攻撃することで、犯罪に伴うリスクを下げようと思ったのである。
犯罪に伴うリスクを小さくしようとする方策は、違った形態でも見られるようになっている。「比較的小さなスケールの攻撃」(Schmugar氏)となったのが、ソーシャルネットワーキングサービス(SNS)の「Facebook」やマイクロブログの「Twitter」といった、比較的小さなネットワークを対象にしたものだ。マルウェア開発者を含めたネットワーク犯罪者たちの戦術は、これだけにとどまらない。より見つかりにくいような行動も取るようになる。ファーミングや広告へのリダイレクション、ウイルス対策やスパイウェア対策などのソフトになりすましたマルウェアなどである。
経済の低迷期は犯罪が拡大傾向に
ネットワーク犯罪者たちの犯罪に伴うリスクを低減しようとする戦術は、さらに違ったものに拡大している。ネット上で無料あるいは有料で提供されるトロイの木馬のツールを入手することもあれば、アフィリエイトを悪用したものもある。Schmugar氏の説明によれば、アフィリエイトを悪用したネットワーク犯罪は、1人でも10万ドルもの利益を稼ぐことができるという。
