HOMEセキュリティ特集サイバー世界の武器商人

第二回 サイバー世界の武器商人

サイバー世界の武器商人

武器の調達・密輸・転売を行なったことはありませんが、このことが手間が掛かり、
多大なるリスクを伴うことであるということは、映画などを観ていても想像に難くありません。
ではもし、このようなことが容易にできるとすれば、どうでしょうか?

サイバー攻撃は武力行使に匹敵すると言われているため、
ここではサイバー世界での武器の調達・密輸・転売を行う者のことを
武器商人と呼んでみることにします。

前回お話ししましたIoT機器を用いたDDoS攻撃は、サイバー世界の武器商人から
攻撃用のツールを借り受けた何者かによって行われたと言われています。
何故、「言われています」という不確実な表現を用いているのかと言いますと、
様々な憶測はありますが2017年1月現在で真犯人が誰なのか判明していないからです。

では、サイバー世界の武器商人はどのようにして武器を調達し、
そして、それをどのようにして何者かに譲り渡したのか考えてみましょう。

驚くほど簡単だった?!サイバー世界の武器調達

まず、調達について考えてみます。

2016年に日本再興戦略(内閣府)が発表したところによると、
IoTなどの活用による第4次産業革命は2020年に30兆円市場になると言われており、
IoTを用いた世界は日々拡大し続けています。

また、米国の調査会社ガートナーによると、インターネットに接続されたIoT機器は
2016年現在で世界中に64億台存在し、一日あたり550万台ずつ増え続けていると言われています。

ここで問題となるのは、IoT機器が増え続けていることではありません。
「安全ではないIoT機器」がインターネットに日々接続されていっていることが問題なのです。

IoT機器には、セキュリティの概念の元に設計されたものも含まれますので、
一概に全てが安全ではないというわけではありません。
しかし、セキュリティを前提とした設計や運用をされていないものも
同時に存在してしまっていることもまた事実です。

セキュリティを前提とした設計をされていないものとして、
例えばログインIDやパスワードを出荷時の状態から変更できない
「ハードコーディング」という方法で作られたIoT機器があります。

このような製品の場合、IDが"admin"、パスワードが"password"といった
非常に分かりやすい状態で出荷されている製品は驚くほど多いのですが、
このパスワードを変更することが構造上できません。
(前回お話ししました「Mirai」というマルウェアでは、
このようなIoT機器が大量に乗っ取られることになりました。)

試しに、ご自宅やオフィスにあるWiFiルータの管理画面などを一度ご覧になってみてください。
ログインIDやパスワードが購入時から変更されていない場合が多くあります。
そして、このログインIDやパスワードを変更したくても、
ハードコーディングされた機器では変更を行うことが不可能なのです。

また、セキュリティを前提とした運用をされていないものとして、
ログインIDやパスワードを変更できる製品仕様ではあるものの、
工場出荷時のデフォルト設定でそのまま利用されてしまっている場合です。

これらのIoT機器は武器商人にとってのターゲットとなり、
前回お話ししたMiraiやBashlightといった
IoT機器にログインを試行し侵入するタイプのマルウェアを使うことで
容易に乗っ取ることが可能です。
それこそ、IoT機器をインターネットに接続してほんの数分で乗っ取られることもあります。

こうして乗っ取ったIoT機器を遠隔操作することでDDoS攻撃を行うわけですが、
乗っ取ることができたIoT機器が多ければ多いほど、DDoS攻撃の際のトラフィックを増やすことができます。
つまり、より大きな攻撃ができということは、武器としての価値も上がることになります。
そのため、武器商人たちはより多くのIoT機器を乗っ取るために、
日々競いあってIoT機器を乗っ取っているという現状があります。

武器商人の提供するサービス

そして、これらの方法で調達したサイバー攻撃のための武器を、
どのようにして売りさばいていくのか見ていきましょう。

武器商人たちは、乗っ取ったIoT機器をまとめ、DDoS攻撃の際のトラフィック量に応じて価格を設定します。
そして、顧客の要望と予算に応じてオンライン上で時間貸での武器レンタルを行なっていきます。

なんとその価格は、1時間あたり日本円に換算して数百円から数万円。
需要と供給によって価格設定も変動しますので、ここでの金額はあくまでも例えばの話ですが、
例えば、200ギガビット/秒の攻撃なら1時間あたり3,000円といった形で提供されます。

更に商売熱心な武器商人は、無料お試しを設けていることもあります。
このように、完全にサービスとして提供していることからの、
このような業態はCyber-crime as a Service(サービスとしてのサイバー犯罪)とも呼ばれています。

もし極めて短時間の攻撃を受けたとすれば、それは何者かが武器商人との本契約をする前に、
お試しであなたを狙っているのかもしれません。

執筆者

足立 照嘉

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。
テレビのコメンテーターなどにもアドバイスを行なっている。