新種の「ハクスポージャー」が2015年に集中的に発生した。ハクスポージャーとはクラッキングによって個人情報を盗み出し(=ハッキング)、Webを利用して世界中にそのデータを公開する(=エクスポージャー)犯罪を指す造語である。以下、その動向を振り返り、対策についても概観する。
この記事は、ESETが発行するホワイトペーパー「ESET Trends 2016 (In)security Everywhere」の第6章「Haxposure: an emerging threat with important implications」を翻訳したものである。
2015年前後にしばしば見られたサイバー脅威のトレンドの一つに、広範囲に及んだ攻撃ではないものの、注目に値するものがあった。それは「ハクスポージャー」(Haxposure)である。このトレンドは「ハッキングチーム」(Hacking Team)と「アシュレイ・マディソン」(Ashley Madison)という、2つの著名なセキュリティ侵害に象徴される。どちらのケースも、犯人は内部の機密情報を盗み出すとともにそれを世の中に公開したもので、従来の主流である売買目的の情報窃盗とは別のカテゴリーに属している。従来のデータ窃盗の典型例としては、2013年のターゲット(Target)社の支払いカードに関する情報漏えい事件、2014~15年のブルークロス(Blue Cross)社の保険契約者の情報漏えい事件などが挙げられるが、ハクスポージャーは、これらとは決定的に異なるのである。では、それは従来の脅威とどう異なるのか、また、それが今なぜ増えているのか、そして各企業・組織はどのように対処をしていくべきなのか、以下で検討してみよう。
ハクスポージャーの被害――企業秘密の毀損と罪のない顧客
2015年7月、イタリアのセキュリティ企業であるハッキングチーム社から400GBの情報が盗み出され、公開された。これとは関連しないインシデントであるが、その後同月内に、インパクトチーム(Impact Team)と称するグループがアシュレイ・マディソンのWebサイトを運営するカナダのアヴィドライフメディア(Avid Life Media)社から顧客のアカウント情報を盗み出した。クラッカー集団は、不倫や浮気をしたい男女を結び付けるサービスを提供しているアシュレイ・マディソンのWebサイトを閉鎖することを要求した。しかしそれが実行されないことを知ると、2015年8月に大量の内部情報を公開し、多くの人を困惑させるとともに、その会社に対して訴訟を起こすための証拠を提供した。こうした行為によりハッキングチームのクラッカーたちは法執行機関に目を付けられ、大規模な作戦の中心に据えられて、賞金が懸けられることとなった。
ハッキングチームとアシュレイ・マディソンのインシデントに共通しているのは、セキュリティの欠陥から秘密情報が公開されるに至っており、公開によって組織の評判やビジネスモデルを毀損するという点である。ハッキングチームの例では、この会社がデジタル監視ツールを問題の多い各国の独裁政権に販売していたことが、公開された情報からほぼ証明されており、これはこの会社の従来の主張と矛盾している。アシュレイ・マディソンのケースでは、顧客のデータベースからの個人情報削除に対して課金をしていたにもかかわらず削除をしていなかったことがほぼ証明されている。さらに、公開された情報から多数の女性会員は「サクラ」であることが裏付けられ、企業の信用を失墜させ、また不倫実現をサポートしているという提供価値さえも信用されなくなった。
どちらのケースでも、この攻撃の背後にいる人物は、標的となった企業が提供しているビジネスモデルに不満があった。企業のセキュリティに対するアドバイスについてESETが提供するオンラインセミナーがあるが、そこでは2014年のソニーピクチャーズ(Sony Pictures)事件とこれらの2つのケースを比較している。ソニーピクチャーズへの攻撃の真の動機が何であれ、それが機密情報を暴露し、企業とその経営陣の評判に傷を付けたことは間違いない。政治的かつ道義的な動機がこれら3件の全てにあったとすれば、これらは「ハクティビズム」(hacktivism)(*1)の新たな段階として捉えることができるだろう。初期のハクティビズムの行動は、Webサイトの改ざんを行う傾向があった(例えば、1996年の米国衣料メーカーのクリーグスマン(Kriegsman Fur)社の事件では、Webサイトが改ざんされたにもかかわらず、犯罪者たちの言葉にだまされず真実を見るように警告を発するページを掲示した)。
*1 編集部注 政治的な意図を持ったクラッキング行為、およびその行為によってもたらされた情報などを不正使用すること。ハッキングとアクティビズムをつなげた造語。
なお、他人の個人情報を調査・収集してインターネットにさらす「ドキシング」(doxing)も、しばしば行われている。だが、ドキシングは非常に不快であるものの、ハクスポージャーとはその質が異なり、またダメージも小さい。
ハクティビズムは10年ほど前から、その攻撃性を増してきた。「アノニマス」(Anonymous)(*2)に関係すると言われている2008年の抗議「プロジェクト・チャノロジー」(Project Chanology)では、標的となった組織の内部通信を公開するとともに、DDoS攻撃を実施した。
*2 編集部注 国際的なクラッカー集団で、攻撃予告などのメッセージ映像に際して仮面を付けているという特徴がある。ただし「集団」といっても非常にあいまいで、緩やかなつながりを持っているにすぎない。
アシュレイ・マディソンやソニーの事件の際に攻撃者は身代金を要求しているが、純粋なハクティビズムは身代金要求をしない、という主張もある。データの窃盗者が企業・組織の内部情報を公表しない見返りを要求する際には、彼らは窃盗だけでなく金銭要求の脅迫を加えて迫ってくる。しかもそれらは、法規を遵守している大半の活動家が懸念するように、倫理的に常軌を逸している。さらに、こうした脅威が企業・組織の従業員もしくは顧客に属する個人情報の漏えいを引き起こす場合には、企業・組織が責任をとることは非常に難しくなるのである。
ハクスポージャーが引き起こす問題
ハッキングチームとアシュレイ・マディソンへの攻撃をハクティビズムと見なしていいのかという議論はさておき、ハクスポージャーの戦略は、データを略奪し、それを悪用する人々に販売するという従来の手法に比べると、企業・組織にかなり大きなダメージを与える可能性がある。秘密にしておきたいデータに機密性があるということは、破られた際に損害を被る可能性が高いのである。
ここで、クラッカーがベイクトビーンズ(インゲンマメを甘辛いソースで調理した料理)のレシピを食品会社から盗み出したケースを考えていただきたい。もしクラッカーがレシピを競合他社に販売するか公開してしまうと、もちろん企業にとって悪いニュースではあるものの、そのレシピが害をなす秘密を抱えていない限り、その企業を倒産に追いやるには至らない。しかしこれが、秘密の材料として、禁止されている発がん物質が利用されていれば、このデータの流出は、評判や収益、そして、上場しているのなら株式の評価額にも大きく影響する恐れがあるだろう。
近年、以下の5つの要因によって、企業が危険な秘密情報を保持することによって生じるリスクが増加していると考えられる。
1 身近な手段としてのクラッキング
誰でもクラッカーを雇うことができるようになっている。以前は、限られたごく少数の技術的スキルを持つ人のみが電子的手段による混乱を生じさせることができた。また、不満を持つ従業員のうちIT部門所属の者のみが電子的手段による復讐をすることができた。今では、技術的知識やクラッキングのスキルに関係なく、組織に不満を持つ誰もが、クラッキング攻撃という選択肢を持っているのである。
2 オープンソース・インテリジェンスへのアクセス
インターネットを利用してビジネスの宣伝をするときは、そのビジネスを世界にさらけ出すことになる。その結果、幾つかの領域のビジネスパーソンはインターネットの利用を避け続けるだろう。Webを用いて物議を醸すような商品・サービスを、特定のグループの人のみに売り込むことは、その構造上、できない。毛皮や、サイの角の粉、抑圧的な政権に悪用され得る監視ツールなどを販売する際に、Webでそれを慎重に実施するのは不可能である。いつそれを行ったのか履歴とロジックが明確に証明するため、ビジネスは批判者に目を付けられ、調べられ、場合によってはさらしものにされるだろう。
3 情報公開ツールが多数存在
「ウィキリークス」(Wikileaks)(*3)や「ペーストビン」(Pastebin)(*4)などのサイトは盗んだ情報であってもそれを匿名で公開可能にするため、ハクスポージャーに関与した者のリスクを低減する。
*3 編集部注 匿名の内部告発情報を公開しているサイト。ジュリアン・アサンジが創設。
*4 編集部注 Webにソースコードをはじめとしたテキストを公開・共有するサービス。
4 「怒り」という感情の拡散
ソーシャルメディアは憤りを広く拡散することができ、しかも何らかの裏付けがなくても拡散される。ソーシャルメディアの情報は全世界の人が触れる可能性があるため、何か事を起こしたいクラッカーにとって魅力的なプラットフォームとなっている。ソーシャルメディアにより、公開された秘密情報はより速く拡散し、より大きなインパクトを与えるようになった。
5 複雑性はセキュリティと秘密厳守の敵
デジタル形式で保存されているものの秘密を維持するのが困難なのは明らかである。複雑なシステムはたいてい複数のデータパッチの当てられていない既知の脆弱性を持っており、攻撃の対象にされる。また、未知のゼロデイ攻撃のエクスプロイトに対するパッチなどは、まず当てられていることはない。さらに、デジタル形式の秘密情報をこっそりと持ち出すのは比較的容易であり、例えば、ネットワーク外に運ばれる単なるノイズ音や、物理的なメディアの一部という形で持ち出すことも可能である。また、1990年代に、フォルクスワーゲン社がゼネラルモーターズ社から秘密を盗み出したと訴えられたときのことを思い出してほしい。盗まれたと主張された情報は、20個の箱に詰められて飛行機で持ち出された。これにより、紙による情報は盗まれにくいという思い込みは破られたわけだが、とはいえ、今日ではそうした情報はデジタル化によって、郵便切手よりも小さなフラッシュメモリーに収め、非常に簡単に持ち出すことができるようになっており、危険が増している。
こうした5つの要因から何が分かるだろうか。まず、セキュリティに関する基本的な対応の必要性が求められている。最低限、以下の内容が必要不可欠と言える。
- 強力な認証、ウイルス対策、暗号化 (これらがあれば、ハッキングチームやアシュレイ・マディソンの事件でも被害を大幅に低減することができたはずである)
- バックアップ、災害時の復旧計画
- インシデントレスポンスチーム (ソニーピクチャーズとアヴィドメディアには十分に機能するものが存在しなかったことは明らかである)
- 内部犯行の脅威の監視 (権限を持つ信頼していた人物による内部犯行は、外部攻撃者による何千もの攻撃より格段に恐ろしい。米国国家安全保障局(NSA)と元局員で機密情報をリークし告発を行っていたエドワード・スノーデン(Edward Snoden)氏との確執を参考にされたい)
これらの基礎的なセキュリティ技術に加え、ハクスポージャーの脅威に対応するためには以下のような戦略的要素が必要である。
- リスクアセスメント: ハクスポージャーの脅威に対する認識は、セキュリティポリシーとコントロールにしっかりと反映されているか。
- 業務面での意識:企業・組織の実施している業務がハクスポージャー攻撃を招きかねない可能性について、企業・組織は注意を払っているか。
- 組織の透明性:企業・組織はその業務について不必要に秘密をつくっていないか。また情報を秘密にする際には、その情報の漏えいと、それに続いて生じる各種の悪影響について十分な意識をしているか。
ハクスポージャーの今後の動向
2016年以降、より多くのハクスポージャーを観測することになるのだろうか。その答えは幾つかの要因により左右される。例えば、各組織がこの脅威についてどの程度学習し、必要な対策を講じることができるかに依存する。もし知名度の高い優良企業がこのような攻撃を阻止し、法の執行に協力し、犯人に裁きを与えることができるならば、その事例が抑止力として機能するようになる。残念ながら、その逆も真であり、企業の秘密情報の管理が適切に行われていないと、ハクスポージャーを助長してしまうことになる。
フォルクスワーゲン(Volkswagen)によるディーゼル排出物テスト詐欺やクライスラージープ(Chrysler-Jeep-Fiat)の自動車の深刻なセキュリティの脆弱性を考えてみてほしい。
これらの企業は世界的に著名な大企業だが、秘密情報が暴露されたことにより、市民の健康と安全を損ねるリスクを生じていることが明らかになり、大きな損害を受けることとなった。自分が正しいことをしており正義の裁断者であると考えているクラッカーならば、今後もさらに秘密を探しだした上で公開していくかもしれない。そしてその際に無実の被害者にダメージを与えることは大いにあり得るだろう。