インターネットの黎明期にさかのぼり、当初にいったい何が起こっていたのかを振り返ってみる。特に最初のワーム「クリーパー」が登場したときの模様、特徴、傾向について触れる。IoTの時代におけるセキュリティの確保のされ方、また、サイバー脅威に立ち向かう上での心構えにも焦点を当てる。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
半世紀ほど前、米国カリフォルニア州において2台のコンピューター間でのデータのやりとりが「成功」するという歴史的出来事があった。送られたのは「lo」という文字である(それは「login」という文字を入れたつもりであったに違いないが、この点ははっきりとはしない)。この出来事こそ、今日私たちがインターネットと呼んでいるものの始まりとされる。
インターネットは元来、軍と大学での通信目的で利用されていた。だが、このネットワークの利便性を多くの人が享受するに至るまで、そう長い時間はかからなかった。1980年代の終わりまでに、政府、ビジネスマン、そして一般市民が続々と自分のコンピューターを世界中のコンピューターと接続するようになっていった。
その後、20世紀末ごろになると、実際にインターネットを使うユーザーはあっという間に4億人になっていた。さらに15年後には驚くべきことに、その数は32億人に達した。それは、47年前には不可能であるように思えた仕方で私たちの暮らしを変え、今も変え続けている。それゆえこれは、人類の発明の頂点の一つと見なし得るだろう。
しかし、その歩みは順風満帆というわけではなかった。インターネットが改良され、何年にもわたって指数関数的に成長していく一方で、それにまつわる脅威もまた驚くべき勢いで増えていった。以下では、これまでどのようにサイバー犯罪の活動が進化してきたのか、簡単に見ることにしよう。
サイバー犯罪――セキュリティに対する世界的脅威
犯罪者はいつも新たな好機、例えば認証に関して、セキュリティの抜け穴を見つけ出して食いものにしようと目を皿のようにして探し回っている。全世界規模でデバイスが接続されているこのネットワークは、彼らに格好の機会を、しかも非常に数多く提供しており、近年では新たな犯罪の温床となっている。
国際刑事警察機構(インターポール)は、以下のような声明を発表している――「サイバー犯罪は犯罪の中でも急速に成長している分野です。ますます多くの犯罪者が、スピーディーで、便利で、かつ匿名性の高いインターネットを悪用して犯罪行為にさまざまな方面から手を染めています。そのような犯罪にはリアルな意味でもバーチャルな意味でも境界がなく、深刻な被害をもたらし、全世界の被害者にとってまさにリアルな脅威をもたらしています」
オンラインの脅威はいつも意図された犯罪とは限らない。1971年、最初のワーム「クリーパー」(Creeper)が作られたが、それはコンピューターを趣味とした人物によって設計された実験的な自己複製型のプログラムであって、不正を意図して作られたものではなかった(例えばクリーパーは自身の古いバージョンを消去した)。
しかし、悪意がなかったにせよ、クリーパーがインターネットに固有の脆弱性を明らかにしてしまったのは事実である。そこを突けばインターネットを悪用できるからである。はたして、今現在を鑑みるに、日々洗練された不正な脅威がつくり出され、また退治されているのが現状となっている。その意図はさまざまではあるが――金銭目的、政治的・倫理的な動機、などなど――全体としてサイバー侵害は、よりありふれ、より厄介で、より危険なものとなっているのである。
オンラインでどれくらいの安全を確保できているか
暮らしの大半がデジタル世界もしくはインターネットで結び付けられた世界を中心に営まれるようになると、私たちは日々リスクに直面することにもなる。「IoT」(モノのインターネット)についてはなおさらこのことが言える。それは現にありとあらゆるものをインターネットに結び付けることができるものだ。
こうしたIoTの普及により、サイバー攻撃は今、新たな局面を迎えている。例えば2014年、セントラルフロリダ大学のセキュリティ研究の学生たちはある種のデバイスにアクセスするのがどれだけ簡単かということを証明した。彼らは、Google傘下のネスト(Nest)社のサーモスタットを15秒のうちに「スマート・スパイ」に変身させてしまう様子を公開したのである。
例えば、自分のデスクトップパソコンやノートパソコン、またはモバイルデバイスを使って買い物をし、ソーシャルメディアのプロフィールのアップデートや請求の支払いを行う――このとき「日常の」リスクが発生している。支払いなどはインターネットバンキングの目覚ましい発展によって30秒以内にできるようになった。つまりこの世界のどこかにいる誰かが自分の銀行の口座から同じくらい迅速にお金を引き出すこともまた、可能となっているのである。
問題は詐欺師たちのふるまいと信頼できるユーザーのふるまいが、ほとんど見紛うばかりであり、サイバー犯罪を目に見えない脅威としてしまっていることである。誰もが、ちょっとした不注意からこの脅威に貢献してしまうことさえ、しばしば起こっている。
ソーシャルメディアを例にしてみよう――多くの人は個人情報が自分たちを犯罪の被害者にするのに使われるかもしれないということを考えもせずに引き渡しかねないし、現にそうしていることも少なくない。「なりすまし」のような危険な攻撃は洗練されたソーシャルエンジニアリングによって成し遂げられる(ついでながら言うと、ソーシャルエンジニアリングは、ランサムウェアを広めるのにも同様に利用される)。
これはほんの一部の例にすぎない。ほかに、洗練された銀行のトロイの木馬やテクニカルサポートを装った詐欺、そしてもっと厄介なことに現実のインフラへの攻撃を行う脅威といったものもある。家庭でも職場でも、はたまた映画の中でも、世界中の全てのインターネットユーザーにとっては(知っていようがいまいが)戦うべきさまざまな脅威が存在するのだ。
サイバー脅威とオンライン犯罪との戦い
こういった多くのリスクがあるにもかかわらず、インターネットはより良いものへと変貌を遂げてきた。インターネットは個人の暮らしや職業生活の質を高め、仕事からコミュニケーションに至るまで、あらゆることの支えとなっている。そして2020年にはオンラインデバイスの数が250億台へと到達すると見込まれている。そうした中で現在、情報セキュリティを最優先課題とし、安心と安全なオンライン環境を維持すべき時を迎えているのである。
言うは易し、行うは難し。問題となるポイントはこうだ――大半の人は自分のオンライン上のプライバシーに不安を抱えているが、自分を守るべく策を講じている者はほとんどいない。例えばFacebook上では、92%の者が自分のオンラインプライバシーについて懸念を抱いている。しかし、個人情報を守るためにプライバシー設定をアップデートしているのはたったの29%にすぎない。一方セキュリティ・ベンダーが推奨していることに反して、多くの人が非常に簡単に見破られるパスワードによってアカウントを「守る」という危険なことを続けているのである。
オンライン上の安全は各人がセキュリティに対して積極的に関与することが求められる。それがもっと情報を得ることであれ、信頼に足るセキュリティソリューションに投資をすることであれ、サイバーセキュリティ啓発トレーニングに参加することであれ、データのバックアップを取ることであれ、さらには、何かしら「フィッシングらしい」ことを示す兆候に注意することであれ、私たちがしなければならないことはたくさんある。それも日常的な活動として行う必要があるのだ。
要するに、良きセキュリティの実践と結び付いた良きセキュリティソリューションがあってこそ、インターネットが成し遂げようとしたこと――世界中の誰とでも交流して情報を交換することができるようにすること、しかも恐怖や不安を覚えることなくそうできるようにすること――を確かなものとすることができるのである。何といってもインターネットの可能性は、まだようやくその端を開いたばかりなのである……。