IoTセキュリティの現状に警鐘、サイバー犯罪のゲーミフィケーションも～McAfeeのギャリー・デイビス氏が新たなサイバー犯罪を予測

　米McAfeeチーフコンシューマーエヴァンジェリストのギャリー・デイビス氏が、マルウェア「Mirai」を例にIoT機器のセキュリティの現状に警鐘を鳴らすとともに、今後の新たなサイバー犯罪を予測。ランサムウェア「WannaCry」についても現状の分析を披露した。

IoT機器に、安全性を示す規格を

米Mcafeeチーフコンシューマーエヴァンジェリストのギャリー・デイビス氏

　デイビス氏はまず、2016年10月に米国東海岸を中心に大きな被害を出したIoTマルウェアのMiraiについて解説した。

　当初の攻撃は、ジャーナリストであるブライアン・クレブス氏のウェブサイトに対するもので、その規模は620MB/sだったが、それでも1つのデータセンターに障害が起きた。また、Miraiが攻撃の踏み台としていたのは、当初は監視カメラだったが、その後、DVRやルーター、その他のデバイスに感染を広げ、DNSサービスを提供する米Dynに対するDDoS攻撃の際には、最終的には1TB/sもの大規模なものになり、Amazon.com、Twitter、Instagram、Netflixなどのサイトで障害を発生させたとした。

　Miraiの開発者がソースコードを開示したことについては、「自身が捕捉されないよう、誰もが使えるようにした」との見方を示した。そして、これにより出現した亜種によっては、SQLインジェクション、ビットコインマイニングまでが可能になっている。一方で世界には90億のIoTデバイスが存在し、1分間に4800ずつ増加を続けており、現在では、「ボットネットは2週間7500ドルのレンタルで出回っている」という。こうした状況によって、「（犯罪者は）より大きな混乱をもたらすことができる」とした。

　デイビス氏はMcAfeeの研究施設において、DVRを直接インターネットに接続し、感染活動を観測。すると、パスワードのブルートフォース（総当たり）攻撃が試みられ、64秒ほどで認証が行われ、管理者権限が乗っ取られてしまったという。この観測結果については、「ほとんどのデバイスは、（インターネットとの間に）ルーターがあるのでこうしたことは起こらず、攻撃は発生しない」とした一方で、「メーカーがセキュアにしていないルーターの配下のネットワークでは、危険性が増す可能性はある」とした。

　ルーターやIoTデバイスでは、「セキュリティ制御機能をどう組み込んでいくかが十分に考えられていない」。そして「これは大きな課題の1つで、メーカーは利便性や参入速度しか考えていない」と述べ、さらに「ユーザーが導入時にセキュリティの確保を考慮していない」ことも問題とし、「複雑なパスワードを設定するなど、簡単なことだけで、標的にされない状況にできる」とした。

　そして、冷蔵庫や家電における省エネ表示の規格である「エネルギースター」を例に、「コネクテッドデバイスにも、（安全性を示すような）こうした規格を作れないかと考えている」とした。

個人情報にはカード情報の10倍の価値がある

　そうしたサイバー犯罪者は、数年前まではクレジットカード情報の窃取を狙っていたが、「最近は個人情報が狙われている」という。ブラックマーケットでは、クレジットカード情報が1～2ドルで売買されており、「販売を開始してからの経過時間により、使えない可能性が上がるため安くなる」。

　一方、個人情報は、その約10倍で取引されているという。例えば2年前にテイクダウンさせたボットネットに保存されていた情報には、パスワード、セキュリティ質問、話したこと、母親の旧姓をはじめ「英国ノーリッジ在住のとある男性に関するすべてが含まれていた」との例もあった。クレジットカード情報は使用を停止して別の番号に変更すれば済むが、個人情報は、それが単に住所・生年月日・社会保障番号だけの情報でも、「データが一度漏えいしてしまったら、元には戻せない。こうした情報を把握していれば、何年間も攻撃が可能になる」とした。

　さらに、サイバー犯罪におけるAIの利用についても触れた。ソーシャルエンジニアリング攻撃として、ある会社のCFOを特定し、その人物がいつ休暇に入るかをAIで認識できるようになっており、こうした財務のプロに攻撃を仕掛けて金銭を振り込ませる攻撃がすでに発生しているという。

　サイバー犯罪全体については「典型的マルウェアのROIは1400％」とした上で、「3000億から1兆円規模のビジネスと推測している」の試算結果を示した。そして「2016年に英国の全犯罪の53％を占めた。これは発展途上国でも起きてくること」とした。

　そして日本特有の事情として、オリンピックのホスト国として2020年を目標に5Gが導入される点を挙げた。「このテクノロジー導入は世界初となる。懸念すべき点は、あまりにもネットワークが高速でレイテンシーが小さい点だ。何もできない間にデータが盗まれてしまう」とした。

今後起き得る3つの新たなサイバー犯罪

　そして、今後起き得るサイバー犯罪として3つを挙げた。1つは「ドローンジャッキング」と呼ばれるものだ。ドローンは現在、Amazon、UPS、各国警察など、さまざまな組織で活用され始めているが、「ほとんどのIoTデバイスと同様、メーカーはトラッキングをしっかりしていない。ポートはグローバルで、認証も乗っ取られやすいものだ」とし、実例として数カ月前にオーストラリアの大学で起きた「隣のビルに（ドローンを）飛ばし、建物のスマート電球すべてをマルウェアに感染させた」事例を挙げた。

　次に挙げたのは、モバイルデバイスを狙うマルウェア。中でも、ランサムウェア、銀行を狙うトロイの木馬、スマートフォンのPINを書き換えてアクセス不能にするリモートアクセスツールの危険性を挙げた。特に「スマートフォンは究極のコントロールプレーン。コミュニケーションや銀行振込はもちろん、車のエンジン、ドア解錠、サーモスタット制御などが行えるようになっており、何者かがランサムウェアを注入したら、大変なことになる」とし、こうした事例は増えてくるとの見方を示した。

　さらに、犯罪者の興味の対象として、医療機関を挙げた。理由として「常に緊急状態で、混乱をもたらすことができるため、標的にすれば身代金を支払わせやすい」との見方を示した。さらに8600もの脆弱性が見つかったペースメーカーの例や、糖尿病患者用のインシュリンポンプに直接攻撃を行う5年前の例を挙げ、「今後、ユーザー、消費者の利用する医療機器にも矛先が及ぶだろう」とした。

10代ではサイバー犯罪のゲーミフィケーションも

　このほか、「過去6カ月での傾向」とした上で最後に挙げたのが、サイバー犯罪のゲーミフィケーションだ。いま10代のユーザーがオンラインゲームでチートコードを入手したり、対戦相手にDDoS攻撃を加えるといった行動が見られ始めているという。デイビス氏は「本人たちは違法との認識はない。ゲーマーにとって次のレベルに行くことがすべてで、（対戦相手の）スナイパーを止めるために必要なことをやっているだけだ」とし、「彼らは普通の人が考えないことをする。ゲームのマインドセットのまま、その後に何があるかを理解せずに行っている」と述べた。

　一方で、今後数年でサイバーセキュリティ人材が不足することを挙げ、「彼らは不法と分かっていないだけので、教育（による矯正）もあり得る。こうした人材はどう使うかが得策。私としては、うまく有効活用したいと考えている」との考えを披露した。

ランサムウェア「WannaCry」の目的は、混乱？

　150カ国、20万のエンドポイントに影響が及んだランサムウェア「WannaCry」については、複数のコーディング技術が使われていたことから、2人以上の作者がかかわっていると推測。そのコードからは、暗号化したファイルの復号機能は保持しているものの、「身代金を払った人が特定できず、復号キーを送信できない」点を欠陥として挙げた。

　そして、その動機については「金銭だけではなく、実際に試して混乱をもたらしたかったのではないか」との見方を示した。また、作者への連絡を試みたが、返信は来なかったという。WannaCryと北朝鮮のかかわりについての報道も一部で出ているが、「そこまで言う準備はできていない」とした。コードの一部が、北朝鮮が以前かかわっていた犯罪者グループである「Lazarus」と同じである点は同意したものの、「そのコードは誰もが使えるようになって何年も経っている。（北朝鮮がかかわっている）可能性はあるが、必ずそうだと言えるまでは我々は待っている」と語った。