米国の経営学者マイケル・ポーターは、企業が業界内競争で優位に立つ上で、付加価値の連鎖の視点に立つことの重要性を強調した。この「価値の連鎖」は企業活動全体を見直して収益を高めるための考え方であるが、それが今、サイバー犯罪者組織においても注目されている。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
情報セキュリティの世界における攻撃側の進化はとどまるところを知らず、今や、大半のIT脅威の発生の背景には、マルウェア開発者やその出資者が金銭的な利益を得ようという意図が見え隠れしている。さまざまな種類の攻撃や脅威は、この前提に基づいて仕掛けられるとともに拡散されている。その結果、より多くのユーザーや企業・組織に多大な被害を及ぼしているのが現状である。
現在、サイバー犯罪の「ビジネスモデル」は、新たな方法がとられるようになっており、経営学で言う「バリューチェーン」(価値の連鎖)の創出を目指している。例えば「SaaS」(サービスとしてのソフトウェア、Software as a Service)になぞらえた「サービスとしてのサイバー犯罪」は、サービスを通じて違法活動を促進する。言い換えれば、詐欺やサイバー攻撃を組織するために必要なものは全て、技術に関する知識や技能がなくても、誰にでも手に入れることができるのである。
最高入札者のためのサイバー犯罪サービス
こうしたサービス販売の形態は、絶えず増加する需要に対する市場のニーズにうまく応えている。つまりこの種のサービスは、IT脅威の開発者だけでなく、盗み出したり奪い取ったりしたデータを金銭化しようとする者たちにとっても求められているのである。そればかりか、影響範囲が会社、産業、ユーザーあるいは政府など多岐にわたっているため、市場における地位を確たるものにし始めている。
サービスとしての不正行為(FaaS, Fraud as a Service)
サイバー犯罪の分野で、詐欺の影響を最も受けやすい業態の一つが銀行業務である。デジタル時代特有の脅威が数多く開発されており、詐欺だけに限られるわけではないが、ユーザーにとっては主にクレジットカードやデビットカード部門での損失が目立って発生している。
同様に、具体的な脅威は、カードの窃取、スキミング(カード情報を抜き出して模造カードを作成)、ソーシャルエンジニアリングからフィッシング攻撃、バンキング・トロージャン(オンラインバンキングを狙うトロイの木馬)などのマルウェアに至るまで、幅広く存在し、いずれも銀行のデータを取得しようという意図があることで一致している。これに関連した「サービスとしての不正行為」もまた、スキミングを実行するツールの販売から「ゼウス」(Zeus)のような財務データを盗むために開発された不正コードに至るまで、さまざまな形で提供されている。
サービスとしてのマルウェア(MaaS, Malware as a Service)
さらに2014年~2015年ごろからは、不正コードがサービスとして提供され始めた。これは「エクスプロイト・キット」と並行して特定の目的のために開発された。攻撃者は脆弱性を介してシステムに侵入すると、C&Cサーバーなどのインフラ全体を利用し、データとパスワードを盗み、ユーザーの活動のスパイを行う。ほかにも、スパムの送信、感染したデバイスへのアクセス、リモート制御によるマルウェアの投入などを行おうとする。
また、「誘拐」による脅迫が、デジタル環境で新たに行われるようになった。ファイルやシステムを誘拐(=暗号化)し、それらを復元するための支払いを要求するように設計された不正コードである「ランサムウェア」が利用され始めたのである。エクスプロイト・キットや「ベータボット」(Betabot)などの「ボットネット」(botnet)の不正活動の幅も広がり始めた。
サービスとしてのランサムウェア(RaaS, Ransomware as a Service)
「サービスとしてのランサムウェア」の主な考え方は、この脅威を開発した人物がそれを拡散する人物と同じではないということを前提としている。開発者側はただ、この種のマルウェアを自動的に生成するツールだけを提供する。他方で拡散する側は、技能や技術的知識がなくても、これらのツールを使用して攻撃を行うことができるのである。
このビジネスモデルでは、ランサムウェアを生成するツールの開発者と、それを配信する個人の両方が、「win-win」の関係で金銭的な利益を得ることができる。「サービスとしてのランサムウェア」のよく知られた例としては、無償ツールキット「トックス」(Tox)がある。
サービスとしての攻撃(AaaS, Attack as a Service)
同じ文脈において、攻撃をサービスとして提供することも可能である。例えば、「DDoS」は、ボットネットに属する多数の感染システムを利用し、借り出されるかリースされるかして、この種の攻撃が実行される。さらに、不正コードを伝播させたり、不要な大量メールを送信したり、仮想通貨ビットコインを掘り起こすためにも利用され得る。
サイバー犯罪の発展とサイバーセキュリティのパラダイム
すでに明らかなように、今、サイバー犯罪産業は大半のIT脅威を新たな選択肢として提供しており、ちょっとしたつながりや知識があれば誰でも利用可能となっている。
サイバーセキュリティ部門から見ると、最近数年で広まってきた新たな状況に直面して対峙することになった2つの立場が強調される。まず、組織の主要な資産を保護する責任者であり、他方では、これらのサイバー犯罪サービスを開発するに当たってリソースを投資することを専門として編成された集団である。
こうした状況下にあっても、これまでのデータセキュリティ管理は、組織が攻撃されることを想定することが、まずなかった。しかしこれは今や時間の問題であり、いつ被害を受けるか分からない。この観点からすると、防御に当たっては、予防対策が重要になってくる。現実的なシナリオに基づけば、データやほかの重要な資産に大きな影響が及ぼされることを想定しなければならない。そうした資産は総合的な観点から防御されなければならないのである。
これはまた、それぞれの企業・組織のリスクに対する考え方に沿って、セキュリティ事故を回避または解決し、許容レベルまでリスクを減らそうとするための、防御的、攻撃的、対症療法的、予防的な戦略の策定にも関連する。そうするとセキュリティは、さらに、ビジネスに不可欠な活動と深く関わるために、継続的に改善する必要性が生じてくるのである。
