フィンランドのセキュリティ企業WithSecureで最高リサーチ責任者(CRO)を務めるMikko Hypponen氏が来日し、フィンランド大使館で「サイバー犯罪と闘い続けて~過去・現在・未来~」と題して講演した。
講演の冒頭、Hypponen氏は、同じサイバーセキュリティ企業に32年間勤めていることから、自身を「サイバーセキュリティサラリーマン」と紹介。日本文化が好きで、日本生まれの優れたテクノロジー企業も多いことから、2022年8月に発売された著書「If It's Smart, It's Vulnerable」の日本語版が出版されることをうれしく思うと述べた。同著のテーマは、IT革命によって世界がどれだけ良く・悪くなったかだという。
Hypponen氏は、リバースエンジニアとしてキャリアをスタート。分析の対象としていたのは「この中に収められて拡散されたウイルスプログラム」と述べ、フロッピーディスクを上着のポケットから取り出した。当時、マルウェアの伝搬は感染デバイスの移動に伴っていたが、インターネット革命がその後起こったことで、今では秒単位で世界中に広がるようになった。
Mikko Hypponen氏
インターネットによって地理的制限がなくなったことで、身近にいる犯罪者だけでなく、地球上のあらゆる場所にいる犯罪者に注意を向ける必要が出てきた。また、人々は、新たなリスクや犯罪にさらされる結果にもなった。ただし、それでも同氏は、インターネットがもたらしたのは、悪いことよりも良いことの方が多かったと考えている。
インターネットの世界におけるリスクや犯罪を理解したければ、脅威の状況を理解し、攻撃者が誰なのかを知る必要があるとHypponen氏。1990年代初頭は主に10代の若者が楽しみでマルウェアを作成していたが、現在の主な攻撃者は組織化されたサイバー犯罪集団や海外の諜報機関、軍隊や過激派だ。
標的とするプラットフォームも「MS-DOS」から「Windows」、そして、「Linux」へと変わっている。Linuxは、工場や自動車、テレビ、スマートフォン、モノのインターネット(IoT)機器などなどさまざまな場所で使われている。Linuxマルウェアには、「Mirai」(ミライ)と名付けられたものもあり、「IoTマルウェアはマルウェアの未来を示す」(Hypponen氏)
WithSecureで分析したマルウェアの98%は、金銭を得ることを目的とした犯罪組織によって作られているという。サイバー犯罪集団の一部が成長して多くの富を持つようになってきたことから、同氏は「サイバー犯罪ユニコーン」という言葉を5年ほど前から使い始めている。ALPHVやClop、LockBitといったグループが該当するという。
LockBitは、ロシアのモスクワに本社機能を持ち、数百人の従業員を抱える。ウェブサイトもあり、被害企業の名前を掲載している。規模が最も大きなサイバー犯罪ユニコーン3グループは5月、1日平均3社をそれぞれ新たに掲載していたという。
2番目に大きなグループであるClopは、石油大手Shellをはじめとする88社を被害企業として公表している。攻撃を仕掛けた脆弱(ぜいじゃく)性は共通しており、「MOVEit」脆弱性が悪用されているとHypponen氏は説明する。
このようなサイバー犯罪集団は、ウェブサイトやロゴなどにより自らをブランディングしている。これは、ランサムウェア被害に遭った企業に身代金を払わせる必要があることから、身代金と引き換えに復号キーが得られるという信頼感を与えるためには不可欠だという。
サイバー犯罪ユニコーンの規模が拡大している要因として、身代金の額が大きいことに加え、身代金としてビットコインを要求していることがあるとHypponen氏。これらのグループの主要メンバーらは、被害企業から得た金銭で高級車を購入して乗り回し、発展途上国の若者らにとって憧れの対象になっている。このような問題に対処する最善の方法は、ネット犯罪者を見つけ、捕らえ、起訴し、オンライン犯罪は割に合わないことを示すことだと同氏は強調する。