ネットワークセキュリティベンダー、ウォッチガード・テクノロジー(以下、ウォッチガード)による2018年のセキュリティ予測(https://www.watchguard.co.jp/security-news)は恐るべきものである。今後数年以内に起こり得るネット犯罪は、一般ユーザの予想をはるかに超える規模と技術レベルであり、これまでネットにより私たちが享受してきた便利で豊かな社会が、ハッカーの手によって一瞬にして崩壊する可能性が濃厚なのだ。新しいネット犯罪はどのようなものなのか? はたして私たちにそれを防ぐ手立てはあるのか? ウォッチガードCTOのCorey Nachreiner もブログ内でたびたび引用している、全米人気ドラマ『MR.ROBOT』のキャラクターをベースに、最新のネット犯罪の手口とその脅威を解説しよう。

中小企業でも多要素認証によるセキュリティが当たり前に

顧客情報の搾取や外部からのネットワークへの不正侵入のようなネット犯罪は、いまや特別な事例ではない。攻撃対象も大手企業だけではなく、中小企業までもがその標的とされており、企業規模の大小にかかわらずすべての企業に強固なセキュリティ体制が求められている。

しかし生体認証にまで踏み込んだセキュリティ体制を敷いている中小企業はめったにない。パスワードのみではなく、いくつかの認証方法を併用してセキュリティレベルを上げる多要素認証は非常に高い堅牢性を実現するが、現実的には中小企業にはコストと運用の両方から導入が難しいのだ。

パスワードに頼ったセキュリティのみの場合、いかに高度なセキュリティ環境を構築していたとしても、従業員の認証情報がひとつでも手に入りさえすれば、正規のユーザになりすまし、あらゆるセキュリティ対策をすり抜けることが可能となる。事実、べライゾン社の2017年版情報漏えいレポートによると、ハッキング関連のセキュリティ侵害の81パーセントのケースで、搾取された認証情報や脆弱な認証情報が悪用されていたという。

ウォッチガードは2018年に多要素認証のソリューションが劇的にコストダウンし、中小企業にも普及すると予測している。カギとなるのがスマートフォンとSaasだ。Saas(Software as a Service:サースまたはサーズと読む)はクラウドコンピューティングの一種で、プロバイダのサーバ上にアプリケーションを置き、ユーザが必要な時に必要な機能だけを使うサービスのこと。オフィス系のソフトをクラウド上で利用しているユーザも多いだろうが、あのようなサービスのことだ。多要素認証はハードもソフトも高価だったが、ソフトをSaasで提供し、スマートフォンで生体認証を行う(スマートフォンに採用されている指紋認証や顔認証などの生体認証を流用するわけだ)ことで、中小企業も出費を抑えながらソリューションを導入できる。

ハッカーの攻撃に合わせて、社会のセキュリティも高度化するのである。

『MR.ROBOT』とは?
2015年6月24日から全米で放送されている人気テレビドラマ。現在、シーズン3が放映中。サイバーセキュリティ会社の神経症を患っているエンジニアが、ハッカー集団に引き抜かれ、巨大企業の資産を消し去る計画に参加させられる。「企業の資産を世界に再分配することで、完全に平等な社会が訪れる」とハッカー集団の謎のリーダー、MR.ROBOTは言うのだが……。日本ではAmazonによる動画配信サービス、プライム・ビデオにて独占配信中。

過激化するボットネットの攻撃

コンピュータを操り人形に変える! コンピュータウイルスに感染した端末は、外部から自由に操作できるようになる。端末が操られる様子から、ウイルスはロボットをもじって"ボット"と呼ばれる。ボットに感染しても端末の操作性が損なわれることがないため、ほとんどのユーザは気がつかない。その間に端末は外部からの操作で違法メールを送信したり、サイバー攻撃の踏み台に使われたりする。さらに端末をネットワークで結び付け、数万台単位のボットを使って大規模攻撃を行うこともある。このようなボットの集合体をボットネットと呼ぶ。

2016年9月13日の夜、米国のセキュリティ専門家のサイトに何者かがDDoS(Distributed Denial of Service attack)攻撃をかけた。空前の規模で行われたサイバー攻撃を仕掛けたのはボットネット"Mirai"。感染した端末をクライアントにした大規模ネットワークを構築、攻撃対象のサーバに大量のパケットやリクエストを送り込み、負荷をかけて使用不能に追い込んだ。

Mirai事件の最大の問題は、Miraiの感染した端末がパソコンではなくIoT機器だったことにある。家庭用ルータやモデム、ネットにつながったハードディスクレコーダーや監視用カメラなどがボットになり(感染した端末は数十万台にも及ぶ)、攻撃に参加していたのだ。

IoT機器は年に数十億個単位で急激に普及しており、IHS Technologyによると、2015年時点の154億個だったものが、2020年には300億個を超えると予測されている。セキュリティが社会常識化しているパソコンに比べて、IoT機器ははるかに脆弱だ。ボットネットの感染に対して、メーカのセキュリティ対応が追いついていないのが現状である。

2018年はIoT機器のセキュリティ対策が急務となる一方、Miraiよりも強力で悪質なボットネットによる被害が急増すると考えられる。パソコンの場合、ユーザがセキュリティソフトを購入したり、標準提供されているツールを活用したりすることで、ある程度は感染を食い止めることができた。IoT機器の場合にはユーザがセキュリティ対策を立てることはまず無理だ。IoT機器のメーカ側の対応に頼ることになるが、製品化を急ぐメーカにとってセキュリティ機能の実装は後回しになりかねない。その結果、IoT機器のセキュリティ対策には国が関与することになり、IoT機器のボット化にメーカが製造者責任を負うことになるだろう。成長市場に国家の規制が入ることは、成長にマイナスの要素となるため、業界動向を注視したい。

自分の家庭にあるネットワーク機器が誰かの悪意ある行為に利用される……不快で危険な話である。

[PR]提供:ウォッチガード・テクノロジー・ジャパン