“大流行するマルウェアには発生周期がある”は、トンデモ仮説かそれとも予言か?:編集部コラム
「大規模なワーム型マルウェアには発生周期がある」という大胆な仮説が提示された。果たして本当だろうか。
時代時代で爆発的に流行するマルウェアや脆弱(ぜいじゃく)性がある。最近で言えば「Emotet」や「Apache Log4j」に見つかった脆弱性「Log4Shell」などが記憶に新しい。これらの脅威は猛威を振るって大規模な被害を生み、多くの企業が休日返上でインシデント対応やパッチ適用にあたる必要に迫られた。
しかし、もしこのような脅威が“流行するタイミング”を予測できるとしたらどうだろう。少しは準備するのが楽になるかもしれない。先日参加した記者説明会で興味深い“仮説”に出会ったので紹介しよう。
大規模なワーム型マルウェアには発生周期があった?
「大規模なワーム型マルウェアは6〜7年周期で登場している」
Kaspersky Labのヴィタリー・カムリュク氏(グローバル調査分析チーム アジアパシフィック地域 ディレクター)が2023年11月10日の説明会で発言したところによると、理由は分からないが統計的に換算すると大規模なワーム型マルウェアが発生するサイクルはなぜかその周期になっているという。なお、カムリュク氏の定義によると“大規模なマルウェア”の中にEmotetは入っていない。
何だか眉唾物の話だが、カムリュク氏は具体例を挙げてこれを説明している。
最初の大規模なワーム型マルウェアは2003年に発生した「SQL Slammer」(エスキューエル・スラマー)だ。このマルウェアは「Microsoft SQL Server」に存在したバッファオーバーフローの脆弱性を狙って攻撃を仕掛ける。聞くところでは、約10分で7万5000台のPCを感染させたというのだから驚きだ。ちなみに当時、このマルウェアの解析に取り組んでいたのがKaspersky Labsの創業者・CEO、ユージーン・カスペルスキー氏だという。
カムリュク氏によると、次に大規模なワーム型マルウェアが発生したのが2009年。「Windows」を標的に活動した悪名高いマルウェア「Conficker」(コンフィッカー)の登場だ(注)。Confickerは非常に深刻な感染拡大を引き起こしたことで有名であり、英国やドイツ軍のPCにも侵入していたとされている。
編集部注: Confickerは2008年の後半に登場し、2009年に大流行した。
企業の中にはしばしば、初感染を体験したワーム型マルウェアとしてConfickerの名前を挙げるところもある。読者の方にもいるかもしれない。少なくともカムリュク氏の場合もそうだったようだ。
「出社するとアラートが飛んでいたのを覚えている。Confickerは全く未知のマルウェアというわけではなく、複数の亜種が数カ月前から流行していた」
2016〜2017年にかけて流行したのが、IoTデバイスを標的にするマルウェア「Mirai」とワーム型ランサムウェア「WannaCry」だ。2016年に発見されたMiraiは、IoTデバイスを乗っ取ってbotネットを構築し、DDoS攻撃を仕掛けた。いまだに複数の亜種が観測されていることでも有名だ。
WannaCryは2017年に大流行したランサムウェアで、Windowsの「Microsoft Server Message Block 1.0」(SMBv1)の脆弱性を悪用する「EternalBlue」という攻撃手法を使っていた。感染力が非常に高いランサムウェアだったため全世界で大きな脅威となった。この辺まで来るとリアルタイムで被害に遭って不眠不休で対応にあたっていたという方もいるかもしれない。
次の大規模感染の発生は2023〜2024年? 不確定な未来に向けてやるべきこと
そしてカムリュク氏が言う、大規模なワーム型マルウェアの発生サイクルを鑑みると、次に発生する可能性があるのが2023〜2024年だ。しかし“本当に”大規模なワーム型マルウェアが発生した場合、何に注意すべきなのだろうか。
カムリュク氏は「システムがワーム型マルウェアに感染したから危険というのもあるが、巻き添え被害にも注意が必要だ。ワーム型マルウェアが標的にしていないものも負荷が上がり、インターネットトラフィックなどに悪影響が生じる可能性がある。さらに最近はAI(人工知能)も進歩しているため、この混乱に乗じたフェイクニュースや詐欺にも注意してほしい」と答えていた。
このサイクルで大きな脅威が発生するかどうかは分からないが、過去に大きな悲劇が発生しているのは間違いない。2023年はもうすぐ終わるが、Log4Shellの発生も2021年の年末だったことを考えるとまだまだ気は抜けない。このサイクルを信じて、本命である2024年に備えて入念な準備をするというのも一つの手だろう。
記者としてはされないことを祈ってはいるが、果たしてこの仮説は立証されるのか。取りあえず脆弱なパスワードは使用しないようにしよう……。
関連記事
- 中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク
サプライチェーン攻撃が激化している今、予算やリソースに余裕がない中小企業はこれにどう立ち向かうべきか。中小企業のセキュリティインシデント被害事例と、実態に即した対策を川口設計の川口 洋氏が語った。 - サイバー攻撃者視点で“攻めにくいシステム”とは――上野 宣氏が語る
境界型セキュリティの限界が唱えられて久しい中、企業が目指すべき対策とは何か。現役のペネトレーションテスターである上野 宣氏が、サイバー攻撃者の視点で有効なセキュリティ対策を語った。 - 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - 今どきのフィッシングは「レベルが違う」 私たちが引っ掛からないためにできること
2023年の不正送金額は1〜6月の上半期だけで過去最多を記録した。フィッシング対策に向けて銀行はどのような取り組みをしているのか、また引っ掛からないために、消費者ができることは何か。
Copyright © ITmedia, Inc. All Rights Reserved.