エフセキュアでセキュリティアドバイザーを務めるショーン・サリバンが最近私にこう言いました。「私たちにはサイバー戦争をイメージする想像力が足りない。この戦争は爆発的なものではなく、クライムウェアのビジネスが枯渇した誰かが新しいビジネスを探している、といったものではないだろうか」
 
この1週間、エフセキュアのセキュリティ研究所は、エネルギー業界をねらうハッキンググループ「Energetic Bear」やHavexからの攻撃に目を光らせてきました。今はウクライナやポーランド、トルコ、ロシアを標的とするCosmicDukeに注目しています。
 
こうした攻撃の最終目的はスパイ活動、つまり買い手(もしかすると、どこかの政府)のための情報収集にあるようです。しかし、その手法は、イランの核戦力を低下させるために開発されたStuxnetのように多大な工数を投じた緻密なものではありません。
 
ショーンはこう言います。「これらはもっともらしい反証に頼っており、利用しているリソースはサイバー攻撃専用ではないようだ。これは、従来のクライムウェアで用いられるモジュール手法に匹敵する」
 
エフセキュアのシニアリサーチャーで、以前にCosmicDukeの分析についての記事を投稿したことがあるティモ・ヒルボネンはこう話します。「一つの要素だけ見れば、まるでクライムウェアのようだが、違う角度から見れば、『こんな標的をねらったものは今まで見たことがない』と言うだろうね」
 
「サイバー戦争に関わるものは何でもピカピカで真新しい、というのがこれまでの常識だった」とショーンは言います。けれども、今回の攻撃は「セミプロ」の仕事のようです。
 
こうした攻撃をきっかけに、ショーンは以下の3つの疑問について考えています。
 
国が支援しているというのはどういう意味か?
 
ショーンは言います。「サイバー戦争は現実の縮図だ。トップダウンで機能する大規模なサイバー情報インフラを整備している国もあれば、既存のクライムウェアに基づく既存のテクノロジーを取り入れて、草の根レベルの方法をとっているような国もある」
 
国家中心のキャンペーンでは、必ずしも国の支援を受けていないマルウェアを利用しているのではないか、とショーンは考えています。「黒い覆面をして記章を外した部隊を半島に送り込むような国は、同じようなことをオンラインでもやるかもしれない」
 
機会を逃さない実際的な政府は、人々にお金を払って、国際スパイ用のテクノロジーを取り入れているかもしれません。
 
こうした攻撃の最終目的は孫子が『兵法』で述べた名言、「敵を知れ」に通じるのではないかとショーンは言います。

情報で武装した国は、ソフトパワーを駆使して同盟国同士を対立させ、経済制裁のような報復を制止することができます。
 
APT(Advanced Persistent Threat)攻撃とは何か?

 
APT攻撃はStuxnetほど複雑なやり方ではありません。複雑である必要がないのです。
 
CosmicDuke(2001年から存在しているマルウェアの変種)は標的をだまして、エクスプロイトを含むPDFファイル、もしくは文書ファイルや画像ファイルのようなファイル名を付けたWindowsの実行ファイルを開かせ、感染させる仕組みです。
 
標的がこうした悪質なファイルを開くと、CosmicDukeがシステムに侵入し、キーロガーやクリップボードスチーラー、スクリーンキャプチャ、パスワードスチーラーでさまざまなチャットやメール、Webブラウザの情報を収集し始めます。またCosmicDukeには、システム上のファイル情報を収集し、暗号化証明書やその秘密鍵をエクスポートする機能もあります。収集した情報はFTPでリモートサーバに送信されます。CosmicDukeはシステムの情報を盗むだけでなく、攻撃者が他のマルウェアをシステム上にダウンロードし、実行できるようにします。ごくありふれたものです。
 
クライムウェアとの闘いは犯罪者をサイバースパイに駆り立てているのでしょうか?サイバー犯罪との闘いは逆効果なのでしょうか?
 
「なかには、政府のため、自分のために働いている奴らがいるのかもしれない」とショーンは言います。
 
サイバー犯罪の国際戦争で勝利の波に乗れば、犯罪者たちを支援する新たな買い手が現れるかもしれません。
 
ショーンは続けます。「このような人材はおのずと育つ。いまや、国外の人材を活用する政府もある。警察はクライムウェアを追っているが、クライムウェアはなくならない。これは金になるビジネスで、金を求める人材は後を絶たない」
 
このような攻撃はあらゆる人を標的にしていると、ショーンは確信しています。
 
「システム管理者を追うのはNSA(国家安全保障局)だけではなく、重要なシステムに何らかのアクセス権限を持つ人なら、誰もが標的になりえる。落ち着いて、守りを固めなければならない」
 
予防はどんなときも最善策です。企業各社はこのことを認識してくれるだろう、とショーンは期待しています。
 
「ITマネージャの皆さん、必要なセキュリティ予算を要求し、勝ち取りましょう。コスト優先のセキュリティ対策が間違った経営判断であるという証拠が次々に明らかになっているのです」
 
各国の政府が日和見的なマルウェア作成者と手を組めば、リスクは急激に増大するでしょう。
 
ショーンは次のように問いかけています。「現在はクライムウェアのボットネット、将来は国家安全保障が悪夢?こんな奴らが脱獄したらどうなるでしょう?彼らはこんな人材を放っておかないでしょう」
 
Sandra

>>原文へのリンク