近年相次いで発生している世界規模でのサイバー攻撃。その背景には「サイバー闇市場」が関係しているとされます。サイバー闇市場で何が行われているのか、そして急増するサイバー攻撃に対して経営者が取り組むべき現実解とは――。書籍「闇ウェブ(ダークウェブ)」を刊行した、サイバーセキュリティ会社「スプラウト」の代表取締役社長 高野聖玄氏による特別寄稿をご紹介します。
この記事は、2018年5月の特別寄稿を再掲載しています。
2018年は、間違いなく我が国のサイバーセキュリティ業界にとって大きな転換点となった年と言われるようになるだろう。ここ数年、企業や政府機関を狙ったサイバー攻撃は急増しており、昨年は標的型メール攻撃の脅威が増していることや、ランサムウェア「WannaCry(ワナクライ)」が世界的に猛威を奮ったことが大きな話題となった。
だが、2018年1月に発生した仮想通貨取引所「コインチェック」(運営会社はコインチェック社)に対するサイバー攻撃で、当時のレートにして580億円相当の仮想通貨NEMが盗み出された事件は、その被害金額の大きさはもとより、金融庁による全仮想通貨取引所への立ち入り検査と一斉処分、その後の業界再編(*)を引き起こしたという意味で、これまでにない経済的かつ社会的な影響を我が国全体に与えたといえる。
* コインチェック社はマネックス証券が2018年4月に買収。本稿執筆時点で3つの仮想通貨取引所が撤退を表明
それ以来、筆者の周りの経営者たちも、サイバーセキュリティに対する考え方が劇的に変わったように感じられる。もちろん、どの企業にとってもサイバーセキュリティ対策はこれまでも見過ごせない課題であったはずだ。だが、ひとつのサイバー攻撃によって、会社そのものの存続が危ぶまれる事態が現実に起こりうること、そしてその責任追及の矛先が経営陣に向けられることが、コインチェック事件で如実にあらわになった。針のむしろの中でコインチェック社の経営陣が強いられた謝罪会見の様子から、たとえサイバー攻撃を受けた被害者側であっても、その対策不足により引き起こされた結果からは逃れ得ないものなのだと、多くの経営者が感じ取ったはずだ。これまでサイバー攻撃の急増が叫ばれても、どこか対岸の火事を見るようだった経営者たちの感覚も、この事件によって明日は我が身と一変したかに思える。
サイバー攻撃を生み出す闇市場
もとよりサイバー攻撃の恐ろしさは、攻撃側と防御側の非対称性の大きさにある。現在において、企業や組織が保有する膨大なデジタル環境とそこに蓄積されたデータは大切な資産であり、それを安全に維持するコストも無視できない規模になっている。企業内に張り巡らされたネットワークやサーバー類から、社員一人ひとりのパソコンやスマートフォン等の端末、運営するウェブサイトやアプリケーション等の自社サービス、利用している複数のクラウドサービスまで、多岐にわたるシステムに分散されている情報資産を守ることは容易ではない。
その反面、サイバー攻撃を行う側にとっては、複雑に絡み合ったシステムの中からひとつでもぜい弱な箇所を見つけ出し、内部に侵入することができれば、そこに保持されているデータ資産を盗み出すことが可能となる。企業内部への侵入の糸口は、社員に対する標的型攻撃メールであったり、社内ネットワークへの不正侵入であったりと、攻撃者側が取れる選択肢も多い。
また、サイバー攻撃者の背景は、国家的な意思を持った集団から、不特定多数の企業や組織に対して無作為にぜい弱性スキャンをかけ、ぜい弱性が見つかった箇所に侵入し、盗めるものを取っていくという者まで様々だが、背景によらない攻撃急増の要因をひとつ挙げるとすれば、ダークウェブに存在する闇市場の拡大があるだろう。
ダークウェブの存在は、コインチェック事件においても、盗まれた仮想通貨NEMの闇取引を行うサイトが立ち上げられた場所として注目を浴びたが、各国法執行機関の間では数年前よりサイバー犯罪の温床として最も警戒する領域となっていた。簡単にいえば、特殊な通信暗号化ソフトウェアを通さないとアクセスすることのできないインターネット空間の深淵部のことで、その匿名性と秘匿性の高さから、サイバー攻撃に関わる様々な違法品の取引に利用されている(サイバー攻撃に関するもの以外にも、麻薬や偽造IDといった様々な違法品が売買されているが、本稿の主旨とは外れるのでここでは触れない)。
例えば、企業のWebサーバーに大量のデータを送りつけ、麻痺させることをもくろむDDoS攻撃を代行するある違法事業者は、1時間当たり5ドルからサービスを提供し、どんなサーバーでも確実にダウンさせるとうたう。また、闇のアマゾンとも揶揄されるマーケットプレイスを覗けば、過去に大流行したマルウェアの亜種が3ドル、ランサムウェア(身代金型マルウェア)が15ドル、キーボードの入力文字を盗み取るキーロガーが6ドルといった具合に、攻撃ツールが整然と並べられ、仮想通貨によって買い取られるのを待っている。
闇市場の拡大はこういった攻撃ツールの供給側に多様化と低価格化を促し、中にはクラウドサービスとして提供することで、利用者はサイバー攻撃に関する技術的な知識を必要としなくなってもいる。このことは、サイバー攻撃実行のハードルを押し下げるとともに、攻撃に手を染める人間を数多く生み出す原因にもなっていると考えられる。攻撃者側に立ってみれば、参入障壁は限りなく低くなっているのだ。
さらに、攻撃の糸口として利用できるような、企業から流出したメールアドレスやパスワードの組み合わせ等の流出情報が、闇市場では大量に出回っていることも注視すべき点である。攻撃者がある企業に対して標的型メール攻撃を行おうと考えた場合、その企業の社員メールアドレスを闇市場に出回っている流出情報の中から選び出し、そこに同じく闇市場で入手したマルウェアを添付して送りつければ、精度はともかく簡単に実行できる土壌がそこにはある。2018年4月に内閣サイバーセキュリティセンター(NISC)が「中央省庁職員のメールアドレス延べ約2000件が闇市場に流出している」と注意喚起したが、これも標的型攻撃などを警戒してのことだろう。
我々スプラウトの独自調査でも、日本国内の法人メールアドレス数百万件がパスワードとセットで出回っていることが分かっている。これらのリストは標的型攻撃に使われるだけでなく、ID(メールアドレスをIDとするWebサービスが多い)とパスワードを多くの人が使い回している習慣を悪用して、様々なWebサービスに対する不正侵入(リスト型攻撃)などにも頻繁に利用されているとみられる。
リスクをいかにコントロールするか
このように、いまのサイバー空間においては、残念ながら攻撃者側が圧倒的に有利な状況にあるというのが現実である。そして、この非対称性こそが、企業におけるサイバーセキュリティ対策を複雑にし、何にどこまでコストをかけるべきかといった経営判断を難しいものにしている。企業は知的財産をはじめとする様々なデジタル資産を守らなければならないが、その防御のための施策によって、生産性の低下やイノベーションの阻害を招いてしまっては、何を守るためのセキュリティなのかわからなくなってしまう。攻撃者側が圧倒的に有利な状況にあるのに対し、経済合理性に縛られる経営者には非常に足かせが多い。
多くの企業には、長年にわたって組み上げられてきたシステムがあり、それを少しずつメンテナンスし、維持してきた歴史があるだろう。イントラネットにしても、Webサービスにしても建て増した老舗旅館のような構造になっているケースは少なくない。そのような古いものが残るシステムにこそ多くのぜい弱性が内在している可能性が高いのだが、残念ながら誰の病にでも効く万能薬がないように、どんな企業に対しても効く「決めの一手」のサイバーセキュリティ対策があるわけではない。もし、完璧なセキュリティをうたうような製品やサービスがあれば、それは眉唾ものだろう。
そこで、企業の内部ネットワークが複雑化し、デジタル資産が様々な箇所に点在している状況下では、サイバーインシデントが発生することを前提に、被害を最小限に抑えるための施策を多重に用意しておくというのが、現実的な解になる。言い換えれば、完全になくすことが難しいサイバーリスクを、いかにコントロールしていくかが、経営者やセキュリティ担当者に求められていることだともいえる。
サイバーリスクをコントロールするためには、まず自社の情報資産と脅威を洗い出したうえで、対策すべきリスクを特定していくのが第一歩だ。具体的には、業務フローの整理やインタビューに基づいた情報資産の洗い出しによる重要性の分類、各システムやネットワークに対するぜい弱性の診断、セキュリティポリシーと実際の運用に乖離がないかの確認などからリスクに応じた対策の順位付けをしていき、何にどの程度のコストをかけて防御すべきかを決めていく形になる。
そのうえで、もしインシデントが発生した場合、それをすばやく検知し、状況を把握し、適切な事後対応が行える仕組みと体制には何が必要かを、運用開始後のPDCAサイクルも含めて考えていく。もちろん、そこでは外部からの攻撃だけでなく、関係者による故意の持ち出しといった内部不正の可能性まで考慮する必要がある。
企業のサイバーセキュリティを取り巻く環境は非常に複雑だ。経営者の方には、自社の状況と最新の脅威に目を配ることで、サイバーリスクをうまくコントロールしていって欲しいと願う。
株式会社スプラウト 代表取締役社長
高野聖玄 氏
Webエンジニアとして活動後、日経BP社でインターネット事業の開発などに従事。2005年に会員制情報誌『FACTA』の創刊に参画。オンライン版責任者、編集記者としてIT業界から経済事件まで幅広く調査報道に携わる。2012年12月にスプラウトを創業。2016年11月より現職。インターネット事業開発の経験と、調査報道で培った情報収集力を活かし、企業や官公庁のサイバーセキュリティ対策をサポート。近著に仮想通貨とも関連の深いサイバー闇市場を題材にした『闇ウェブ(ダークウェブ)』(スプラウト著/文藝春秋)。