第26回 「標的型攻撃対策」ブームの終わりとその先にあるもの：日本型セキュリティの現実と理想（3/4 ページ）

[武田一城，ITmedia]

標的型攻撃の先にあるもの

　さらに、攻撃者側の状況変化に話題を移してみたい。セキュリティ対策の始まりは、ベンダーや狙われている企業などの意向ではなく、あくまで攻撃者の行動がきっかけである。そのため、この攻撃者の動向を見るのがその将来を予想する唯一の方法になる。

　今後、攻撃者の矛先は標的型攻撃のような手間暇がかかる手法に向かなくなると筆者は予想している。なぜなら、攻撃者の目的のほとんどは金銭だからだ。攻撃者にとって金銭を稼ぐための手間暇はコストでしかなく、その結果として得られた情報が必ず金になる保証もない（時間の経過による陳腐化やダミーの可能性）としたら、そこに大きなコストをかけるのは懸命ではない。すぐに金銭を入手できるキャッシュフロー重視の攻撃手法を選ぶのは、攻撃をビジネスとして実行し、その点では経営者ともいえる攻撃者にとって当然の意思決定だろう。

　攻撃者はなぜ、いまのタイミングになってリスクをかけずに効率よく金銭を儲ける方法を覚えるようになったのかを推測してみたい。まず、不正に得た情報から金銭を得るために裏取引的な地下市場を経由したとする。しかし、この市場もそれなりに利益を取ることを考える人間ばかりだ。そうなると、攻撃者にとっては地下市場を経由することなく相手から直接（足のつかない）金銭を得る方法があれば、その方が高い利益率が見込める。

　つまり、このようなロジックで直接決済しても足が付きにくいビットコインなどの普及を背景に、ランサムウェアが流行したと考えると非常に理解しやすい。

　もちろん、このようなことは事前に全て分かるものではないが、この5年間は防御側の取り組みが標的型対策攻撃を防ぐことに偏重していた。その間に攻撃者は、標的の手薄なところを探し、そこを突くための攻撃ノウハウを貯め込み、たどり着いたのがランサムウェアのような無差別に近い攻撃をする手法だというのは、腑に落ちる論理展開といっていいだろう。

ランサムウェアと標的型攻撃

　ランサムウェア自体は、標的型攻撃対策として最も注目されたものの1つであるマルウェアの一種のため、幸いにも同種の対策の流用も可能だと思われる。さらにランサムウェアは、その都度正体を現してくれるので、相手が気づかずに被害が蔓延することも考えにくい。それだけに“セキュリティ対策の一大ブーム”とまでは行かないと思われる。

　しかし、攻撃者が価値のある情報を判断してから、その情報をターゲットにする手間暇と時間をかける攻撃から、今後このような無差別に近い攻撃にトレンドがシフトするターニングポイントにはなると考えられる。私たちは現在、その攻撃の大きな流れの潮目にいるのかもしれない。