攻撃者の変遷をさぐる〜年金機構を狙ったのはどんなハッカーだったのか〜
日本の年金機構にとどまらず、現在世界中で、サイバー攻撃による情報流出が発生しており、アメリカでは、政府職員の人事情報を扱う人事管理局から2,000万件の情報流出が発生しています。攻撃しているのは、いったいどんな人たちなのでしょう。ハッカーの誕生までふりかえって考えてみます。
セキュリティに国家が本腰を入れる
2014年11月、国や地方自治体のサイバーセキュリティに関する基本理念や、責務、施策などに関して定めた法律「サイバーセキュリティ基本法」が衆議院で可決されました。
そして本年2015年に入って、同法律を推進する重要な役割を持つ組織のひとつ、内閣サイバーセキュリティセンター(NISC)は8月27日、NISCの2016年度の予算を、2015年の16億円の、5倍超である83億円とする方針を出しています。
大きくうねりをあげて進む、国家のサイバーセキュリティ対策ですが、ここまで国が本腰を入れるのにはもちろん理由があります。
ここ数年でセキュリティを巡る情勢が、大きく変化してきているのです。もちろん、ジョーシス読者である、普通の一般企業も無関係ではありません。
今回は、サイバー攻撃を行う主体である攻撃者の目的や主体の変化を見てみましょう。
世界最初のウイルス
パーソナルコンピュータの黎明期である1986年、当時主流だったIBM製のパソコンに感染するコンピュータウイルスをはじめて作ったのは、パキスタンでパソコン店を経営するプログラマの兄弟でした。
彼らの目的は、不正コピー防止という社会的メッセージを広めることだったといわれています。このように、黎明期に作られたコンピューターウイルスの多くは、コンピュータに詳しい個人によって製作され、何らかのメッセージや、自身の理論の検証などの目的を持っていた他、感染するとたとえばクリスマスの日に派手なメッセージを表示するような、愉快犯的犯行が目立ちました。いまからふりかえれば、なんと牧歌的な時代だったのでしょう。
サイバー犯罪産業が勃興
その後、スパムメール配信や、インターネット詐欺など、サイバー犯罪は急速に組織化の様相を呈し、犯罪産業として一大発展を遂げます。セキュリティ企業であるシマンテック社は、2011年の発表で、2010年のネット犯罪に関する世界全体の被害総額は約4,000億ドルと推定され、その金額は世界全体の違法な麻薬取引の総額である約3,000億ドルを、はるかに超えるとしています。パソコンオタクの趣味だったサイバー攻撃が、マフィアのシノギに変わったといえます。
2011年といえば、アメリカ合衆国の国防総省が、サイバー空間を、陸・海・空・宇宙に次ぐ5番目の戦場であると定義した年でもあります。サイバーセキュリティが、国家の安全保障の問題になったということです。
国家によるサイバー攻撃
そして2014年5月、アメリカ合衆国司法長官は、中国人民解放軍の将校5名を、米国企業などへサイバー攻撃を行い、技術情報などの知的財産を盗んだ等の罪で起訴しました。5名の人民解放軍将校の顔写真は、FBIの指名手配犯ページに現在も公開されています。
https://www.fbi.gov/wanted/cyber
このようにサイバー攻撃は、個人から組織へ、そして国家へと主体が拡大し、その目的も、研究の実証や愉快犯などの牧歌的なものから、犯罪組織としての営利追求、そして国家の覇権拡大へと変化を遂げています。
もはや防ぐことはできない
ここまで述べてきた攻撃側の変化によって、それを対策する我々企業側も、厳しい変化に直面することになります。最大の変化は、「もはや現在は、どんな大企業でも、サイバー攻撃を完全には防ぐことができない」という事実でしょう。
それはAPTと呼ばれるサイバー攻撃に顕著です。
APTとは、「Advanced Persistent Threat」の略で、日本語にすれば「高度で長期間にわたる脅威」となるでしょう。すなわち、特定の企業や組織に対して、長期間持続的な調査と攻撃を行い、目的を達成するまでそれをやめないようなタイプの攻撃です。また、こうした攻撃は、感染を派手にユーザーに知らせるような過去のウイルスとは正反対の挙動をとり、攻撃を受けていたことに数ヶ月も気づかないことすらあります。
これまで、米軍事企業のロッキードマーティン社や、日本の三菱重工などの、とりわけ守りが堅そうな企業が相次いでAPT攻撃の侵入を許しています。冒頭にふれた、2015年7月に明らかになった日本年金機構の攻撃もまた、APT攻撃であったとされています。
たくさんのお金と時間と人材を投じてサイバー攻撃が行われる現在、企業のセキュリティ対策の考え方も根本から変わらざるを得ない時代になっているといえるでしょう。