セキュリティという視点で数年後に振り返った時、2010年は重要な年になるのかもしれない――。
12月にセキュリティソフト大手のシマンテックとセキュリティサービス大手のラックは相次いで説明会を開催。2010年のセキュリティの状況をまとめるとともに、2011年以降どういった課題があるのかを明らかにしている。そこから見えてくるものをシミュレーションすると、201X年の今日には以下のような記事が掲載されるのかもしれない。
警視庁は12月30日、東京都に住む○村×男容疑者(40歳)を窃盗罪と不正アクセス禁止法違反で逮捕したことを発表した。この男性は、現在社会問題化となっている、スマートフォンからの金銭窃盗の主犯格と見られているという。警視庁は「まだ全容がつかめていないが、被害総数は一千数百万台にのぼるのではないか」とみている。
○村容疑者は9月頃からスマートフォンの未知の脆弱性(現在は修正済み)を狙った、いわゆる“ゼロデイ攻撃”で端末1台あたり3〜5円を盗んでいた。警視庁ではその総額が3000万〜5000万円になるとみており、現在、その全容解明に全力を注いでいるとしている。端末1台あたりの被害額が数円単位であることから、ユーザーが異変を感じるまでに時間を要した。○村容疑者は9〜10月に一千数百万台のスマートフォンに対して攻撃を仕掛けたものとみられている。
○村容疑者は、10月にウクライナの犯罪組織に接触。スマートフォンへの攻撃で得た資金をもとに、米製造業大手A社への恐喝をウクライナの犯罪組織に依頼したという。A社への恐喝は、同社の製造ラインシステムに対するゼロデイ攻撃を狙ったものだとみられている。A社は、ゼロデイ攻撃を恐れ、犯罪組織に日本円にして1億円以上を支払ったものと米当局が説明している。
○村容疑者とウクライナの犯罪組織は、A社への恐喝で得た資金1億円をもとに、ブラジルの別の犯罪組織と接触したとみられている。このブラジルの犯罪組織は欧州各国政府機関へのサイバー攻撃を仕掛けている。ブラジルの犯罪組織からのサイバー攻撃には、ネット上の攻撃ツール専門市場で売買されていたものが活用されていたと指摘されている。
警視庁はウクライナやブラジル、米国、欧州の当局と連携を図りながら、一連のサイバー攻撃の全容を把握したいと説明している。○村容疑者は一連の犯罪をすべて否定しているという。
世界をまたにかける犯罪組織
ここに挙げたシミュレーション記事は(空想力ではなく)“妄想力”をフルに働かせてまとめたものだが、ベースにあるのはすべて現実のものだ。たとえば、データを盗み出すトロイの木馬に感染したPCで構成されるボットネット「Zeus」がそうだ。
ラックの新井悠氏(サイバーリスク総合研究所研究センター長)の説明によれば、この犯罪は、ウイルス作成グループと資金洗浄グループの2つで構成されているという。ウイルス作成グループはウクライナで活動、資金洗浄グループは主に英国内で活動しているが、そのほとんどが「米国への留学生で構成され、バイト感覚で活動していた」(新井氏)という。
Zeusは米国内の390社以上の中小企業宛にメールで送付され、感染したPCからオンラインの銀行口座情報を搾取する。そして盗み取った資金を3500以上の米国内の銀行口座に転送していたという。米連邦捜査局(FBI)は、このグループを9月末に摘発。Zeusは700ドル程度で闇市場で購入できるという。Zeusの被害は米大手企業の80%に及ぶという調査も存在する。
このZeusは「Spy Eye」と呼ばれる組織にコードが提供されているという。このSpy Eyeは、脆弱性を狙ったツールを闇市場で販売しており、たとえば「Windows VistaやWindows 7を狙ったものが2000ドル、Firefoxに対応したものが2000ドル」(新井氏)といった具合だ(リモート操作対応だと1万ドルになる)。Spy Eyeは当局に摘発されているが、それ以降「ツールの市場価格が上がっている」(新井氏)という。
Android狙ったマルウェアは実在
シミュレーション記事では、スマートフォンの未知の脆弱性に対するゼロデイ攻撃を取り上げている。もちろん、この脆弱性はあくまでも妄想力によるものであり、実在するものではない。ただ、ユーザーの8割以上がスマートフォンのセキュリティに不安を感じているように、スマートフォンに脆弱性がないとは断言できないのもまた事実だ。
ある調査では2013年に国内で570万台以上出荷されるというスマートフォンは便利なものであり、スマートフォンがあることで「PCを使わなくなる人も出てくる」(新井氏)事態も想定される。だが、スマートフォンはPCよりも効率よく決済できることが裏目に出て、犯罪者からは頻繁に狙われる事態も想定される。
