今や私たちは「メガハック」の時代に生きている。高度な技術を持ったハッカーが、ソフトウェアが抱える脆弱性を悪用し、それらを利用して多数の組織のコンピューターシステムに1度に侵入できる攻撃を行う事例が増えている。
Microsoftの「Exchange Server」に新たに発見された脆弱性は、攻撃の進化を示す好例になった。Exchange Serverの脆弱性は(おそらく中国政府の支援を受けた)ハッカーによる新たなネットワーク攻撃手法に利用され、広範囲に渡る攻撃が行われて、何万ものシステムが侵害を受けたとみられている。その他にも少なくとも10のグループが同じエクスプロイトを利用しようとしており、今では、最初の攻撃に便乗して、サイバー犯罪者らがランサムウェアを送り込もうとしているという。
どんなに根絶しようとしても、ソフトウェアが存在する限りバグはなくならない。私たちが今目にしているのは、これらのバグを攻撃に利用しようとするハッカーの能力と欲望の拡大だ。最近では、世界中の企業が同じアプリケーションやツールを使うことが増えている。企業によっては、自らが依存しているソフトウェアのコードさえ把握していない。それがテクノロジー製品が相互に依存し合った世界だ。また使っているソフトウェアは把握していても、脆弱性に関する警告が公表されたソフトウェアをアップデートし切れていない企業も多い。
ハッキング集団が活動する動機はグループによって異なる。国家の支援を受けたハッカーは、戦略的な価値がある標的(諜報活動の情報源、ほかのシステムを侵害するための足がかりなど)を決定する前に、できるだけ多くのシステムへのアクセスを得ようとする。またサイバー犯罪者は、データを盗んだり、金銭を得るためのランサムウェアを送り込んだりしようと、侵入できる場所を探している。いずれにせよ、今や脅威アクターは、これまでにないほど素早く弱点を突く高度な力を持つようになった。これは、誰にとってもよくないことだ。
1つのソフトウェアの脆弱性は、1つの企業だけに影響を与えるのではなく、何千、何万の企業をリスクに晒す。これは、ハッキング集団が新しいバグを手に入れると、それを素早く悪用し、パッチが作成されて適用されるまでに、できる限り多くのシステムに侵入しようとするからだ。これまで一部の企業は、自分の会社は規模が小さいので標的にはならないと考えていた。しかしそれらの企業は、悪者は身代金が得られるチャンスを求めてそうした企業にも攻撃を仕掛け、それによってビジネスが破綻することもあると身をもって学ぶことになる。また、ソフトウェアの脆弱性を放置することによる費用削減は、(控えめな表現で言えば)経済的に割に合わないことを学ぶ企業もあるだろう。
では、この問題に対して何ができるのだろうか。まず、プログラミング言語や、ソフトウェアアプリケーションの基盤になっている基本的なコード(多くの場合はオープンソース)を手始めとして、あらゆるもののバグを修正することを目指すプロジェクトがスタート地点になるだろう。安全なコードの利用を標準にすることは必要不可欠だ。また企業は、レガシーシステムには脆弱性が存在する可能性があり、それを修正することは必須であることを理解する必要がある。長期的には、ランサムウェアの脅威を解決し、国家が支援するハッキングに関する国際ルールを整備する必要がある。これらはどちらも簡単な問題ではない。
そして今は何よりも、急速に危険が大きくなっていることを全員が理解する必要があるだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。