「人類は同じ過ちを繰り返す」、サイバーテロに警鐘を鳴らす米McAfee

米McAfeeのセキュリティ研究機関、Avert Labsでオペレーション担当ディレクターを務めるジョー・テラフィシ氏が来日。脅威の傾向について語った。

[高橋睦美，ITmedia]

　米McAfeeのセキュリティ研究機関、Avert Labsでオペレーション担当ディレクターを務めるジョー・テラフィシ氏は11月20日、プレス関係者を前に、セキュリティ上の脅威のこれまでの変化と今後の見通しについて語った。

　すでに多くのセキュリティ専門家が指摘しているとおり、かつてはおもしろ半分や自己顕示欲を満たすために「ホビイスト」が作成していたマルウェアだが、今では、金銭や犯罪を目的としたものへと変化している。その理由は、インターネットやPCが普及し、価値のある重要なデータがその中に格納されている状態だからだ。テラフィシ氏も同様の見方だ。

　「マルウェアの利用法は変化し、金儲けが必須になった。その目的のため、実行型で広く感染を広めるタイプに代わり、あまり感染を広めないスタティック型、目立たずに活動するステルス型のマルウェアが増加している。目立てば、金銭的利益という目的を達成できないからだ。つまり彼らは、低コストでよりよいROI（投資対効果）を求めている」（テラフィシ氏）

　この結果、マルウェアはますます洗練されてきた。その大半が、ファイル感染型でもポリモーフィック型でもないスタティック型になっており、しかもスタティック型マルウェアの80%以上が、何らかの形で難読化を図っているという。「気付かれにくく、解読しにくく、また悪質なソフトウェアかどうかの判断を下しにくくしている」（同氏）。その存在をOSから見えなくするrootkitテクノロジが利用される割合も急増しているという。

「MySpaceやWikipedia、Orkutなど、ソーシャルネットワーキングサービスすべてがマルウェアをホスティングしているし、ターゲット型攻撃の標的を見つけるために利用されている」とも述べたテラフィシ氏

　もう1つの傾向として、ROIの重視が挙げられる。ターゲットとなるプラットフォームを見るとWindowsが依然として多い。Mac OS XやLinux、UNIXを狙った攻撃も登場しているが、その数は大幅に増加したとは言い難い。「それよりも多数派を狙う方が効率がいいからだ」（テラフィシ氏）。おサイフケータイの登場などにより、モバイル機器も魅力的なターゲットになりつつあるが、これを狙う攻撃が本格的に始まるのは、普及の速度ややり取りされる金額によるだろうとした。

　同氏はまた、「攻撃者はただ、弱いリンクを狙えばいい。うまくいかなければまた別のところを攻撃すればよい。誰が使っていようと、どこにあろうと、全体のわずか5％であっても保護されていないPCにボットを仕掛けられれば十分だ。それが今のサイバー犯罪の強みだ」ともコメントしている。

ターニングポイントは「死者発生」

　テラフィシ氏は、今後もしばらくは、ROIを優先した隠れた攻撃は増加するだろうと予測する。ボットは引き続き増加するうえ、ボットと指令サーバとの通信手段もIRCに代わって、P2PやHTTPといったより目立たない方法が採用されるだろうとした。またrootkitも増加してマルウェアの50％に搭載されるようになり、いわばデファクトスタンダードになるだろうという。

　しかし、同氏が本当に懸念するのは、さらにその先だ。

　テラフィシ氏は「人は同じ過ちを繰り返すものだ。これまで人類が生み出してきたテクノロジの使われ方を見れば、悪用される可能性はある」と述べ、悪意あるソフトウェアによるものにせよ、意図的ではないにせよ、死者が出てしまうという形でターニングポイントが訪れる可能性を指摘。その先に、今までの犯罪者とは違うグループによる「サイバーテロ」の段階がやってくるのではないかと懸念する。

　今ではPCだけでなく、医療機器や車、あるいは軍事兵器にもプロセッサが搭載されるようになった。また、Slammer発生によって米国の電力網が麻痺したケースが象徴的なとおり、生命に関するインフラもITに依存している。これらを狙ったコンピュータ攻撃により、誰かの生命が奪われるような重篤な事態が起こる可能性があると同氏は述べた。

　背景には、東欧や中東、アジアの一部などとの経済格差がある。今でさえ、高いスキルを持っている人物が、生活の糧のためにマルウェアを書いているケースは多い。今後、高まる国際緊張を背景に、さまざまな地域のスキルある人物、それも現状に対して怒りを抱いている人物がプロフェッショナルなテロリストになる可能性は否定できないという。

　「サイバースペースと現実とは別のものだと考えられがちだが、実際には、その背景に社会的問題がある。そうした部分に注目し、つながりがあるということを認識しなければならない」とテラフィシ氏は述べ、そうした事態に対し、サービスプロバイダーも含めた業界の連携が必要だとした。製品間の相互運用性を高め、一貫したデータ解析やレポーティングを実現していく一方で、攻撃に対する弾性を高めるために、多様性を維持していくことも重要だという。