Hewlet Packard Enterprise(HPE)は米国時間5月17日、「The Business of Hacking」(ハッキングのビジネス)と題したレポートを公表した。このレポートでは、サイバー犯罪やそれに手を染めるハッカーを取り巻くアンダーグラウンド経済について考察し、企業がいかに身を守るべきかを説明している。
HPEのセキュリティ製品グローバルマーケティング担当バイスプレジデントであるChandra Rangan氏は、IT組織のセキュリティ専門家と話をすると、多くの場合すぐに非常に技術的な話になってしまうと述べている。このため、一部のビジネスリーダーは、セキュリティをセキュリティ専門家だけが扱える問題として任せてしまっている。
しかしRangan氏は、サイバー犯罪のアンダーグラウンド経済がどのように動いているかを明らかにすることで、「犯罪的なハッキングはビジネスであり、企業と同じように活動していることをビジネスリーダーが理解できるようになる。それによってビジネスリーダーが実態を把握しやすくなる」と期待している。
レポートによれば、サイバー犯罪は多様な形を取る。サイバー犯罪者の行動目的は、組織的犯罪や産業スパイ、ハクティビズム、サイバー戦争、テロリズム、あるいは単に金銭目当てなど、さまざまだ。このレポートでは、収益化が可能なサイバー犯罪を扱っている。
レポートでは、犯罪者がサイバー犯罪から金銭を得るという視点から、犯罪者がハッキングによって金銭的利益を得るために利用している手段を10種類挙げている。
- 広告詐欺
- クレジットカード詐欺
- 決済システム詐欺/ビットコインのマイニング
- 銀行詐欺
- 医療記録詐欺
- ID窃盗
- 認証情報収集
- バグ発見による賞金稼ぎ
- 恐喝
- 知的財産の窃盗
広告詐欺は、ボットを使うことで、設置した広告からウェブサイトへの偽のトラフィックを生み出す行為で、最も簡単な形態のサイバー犯罪でありながら、潜在的な収益が最も高いサイバー犯罪だ。恐喝や知的財産の窃盗も同じくらい収益性が高いが、難易度ははるかに高い。
ハッキングの行為自体は、悪いこととは限らない。実際、多くの「ホワイトハット(善意の)」ハッカーは、サイバー犯罪がどのように実行されるかを理解するのを助ける、有益なサービスを提供している。ただしHPEのレポートでは「悪者」だけを対象としている。Rangan氏はハッカーが悪者になっているというよりは、犯罪者がハッカーになりつつあることが問題だと述べている。
すべてのハッカーが金銭的利益のために活動しているわけではない。HPEのレポートでは、悪いハッカーを5つのタイプに分類している。
- 国家による支援を受けているハッカー:愛国心によって、または軍務として活動している。多くの場合極めて高い技能を持っており、大きな標的を狙う。
- ハクティビスト:イデオロギーのために活動する。システムや組織を破壊したり、ダウンさせたりする。
- サイバー犯罪者:経済的利益を追求する。
- 自意識の顕示を目的とした攻撃者:有名になる、または仕事で認めらるために活動する。被害者を愚弄することが多い。
- 趣味のハッカーやプロフェッショナル:単に好きでハッキングを行っている。技能のレベルはさまざまだが、通常は匿名性が低い。