強大な力を持つ新しいボットネットが、世界中のさまざまな組織のコンピューターに危害を加えた。ファイルを人質に取り、大きな損害をもたらすサイバー攻撃はますます増加しているが、私たちが直面しているサイバー・セキュリティ上の最大の脅威ではない。
6月27日、チェルノブイリ原子力発電所、インド最大のコンテナ港、米国の医療施設を含む多数の施設や組織が、ナットペトヤ(NotPetya)と呼ばれる新種のランサムウェアの攻撃を受けた。5月に発生したワナクライ(WannaCry)による襲撃と同様、このマルウェアもファイルを暗号化し、解除と引き換えにビットコインの支払いを要求する。 しかし、被害者が攻撃者にビットコインの支払いを伝えるEメールアドレスは、すでに第三者の手によってブロックされている。このため、もはや身代金を支払っても、暗号化が解除されることはないという状況に陥っている。
ワナクライと同じように、ナットペトヤも米国国家情報局(NSA)が発見、流出させたウィンドウズの脆弱性、エターナルブルー(EternalBlue)を悪用してコンピューター・デバイスに侵入する。しかし、ナットペトヤによる攻撃は、ワナクライと違ってOSのセキュリティ・パッチを適用するなど単純な方法では阻止できない。ナットペトヤはどうやら、ハッキングされたソフトウェア・アップデートを通じて侵入先を見つけ、コンピューターのRAM(ランダム・アクセス・メモリ)から管理者の認証情報を抜き取ることで感染を広めるらしい。このため、組織のネットワーク全体に非常に素早く被害が広がってしまうのだ。
攻撃の背後にどんな犯人がいるのかは今のところわかっていないが、ウクライナのシステムが特に重点的に狙われている(ウクライナは先月、大規模なランサムウェア攻撃を3回受けた)ことから、ロシアの関与が疑われている。
問題をもう少し詳しく整理してみよう。ランサムウェア攻撃によって、施設や団体を機能停止に陥れることができるのは確かだ。システムが復旧するまでの時間とエネルギーを無駄にするだけの被害で済めばいいが、最悪の場合データを消去されたり、多額の支払いを強要されることもある。 病院などの施設がこういった攻撃を受ければ文字通り人の生死に関わる事態となるわけで、到底許されない行為だ。
しかしながら、現在起きている攻撃はウィンドウズXPの脆弱性をついたものだ。ウィンドウズXPはほぼ10年前に出荷が終わったOSで、マイクロソフトのサポートはすでに終了している (マイクロソフトは脆弱性の悪用を防ぐアップデートを提供した)。こんなにも多くの組織が未だにウィンドウズXPを使用しているのは残念だが、OSの更新などによって改善可能な、かなり解決しやすい問題ともいえる。
だが、この解決法は、現在われわれが直面している最大のセキュリティ・リスク、ボットネットに対しては当てはまらない。ますます多くのインターネット接続型デバイス、たとえばウェブ・カメラやデジタル・ビデオレコーダーといった機器が、分散型サービス拒否攻撃(DDoS:一斉に多量のデータ要求をかけることでサーバーの機能を停止させ、正常なデータ要求の処理を妨害する攻撃)などに利用されるために、不正に乗っ取られている。
典型的な例は、昨年、ミライ(mirai)と呼ばれるボットネットがダイン(Dyn)を攻撃した事件だ。 ダインは何千ものWebサイトで使用されているドメイン名を管理する事業者で、 ユーザーの要求に応じてコンピューターに正しいWebページを表示させる処理を管理する。ダインのサーバーが攻撃された結果、米国東海岸全域でインターネットが機能停止に陥った。
以前MITテクノロジーレビューに寄稿してくれたセキュリティ専門家のブルース・シュナイアー氏(IBMレジリエントの最高技術責任者でもある)は、モノのボットネットを「2017年版ブレークスルー・テクノロジー10」の一つに挙げ、ボットネットによる脅威は今後も弱まることなく、ますます勢いを増していくだろうと述べた。「ボットネットによる攻撃は、より大規模で強力になっていくでしょう。単純に、脆弱なデバイスの数が今後数年で急激に増加するからです。来年はダインが受けたものと同様の攻撃が、より多く発生することを覚悟しておかねばなりません」。
中央制御型のWebサービスが標的とされる事案が増えていることから、被害はより深刻化していくかもしれない。これまでより遥かに大きなネットワークがダウンしたり、広範な地域でインターネットが使えなくなったりする恐れがある。重要な問題は、こういったサイバー攻撃が、コンピューター・システムの更新を怠ることによってではなく、家庭や仕事で用いられる安価でセキュリティの手薄な周辺機器から発生する猛攻撃によって引き起こされるという点だ。最大規模のDDoS攻撃が、セキュリティ対策製品を使っても回避できないことがある。
セキュリティ専門家らは米国連邦議会に向けて、これは非常に深刻な問題であり、IoTデバイスの規制だけでは対処しきれないだろうと警告した。トランプ政権はボットネットの厳重な取り締まりを誓ったが、提案された対策では望み薄だ。ボットネットがセキュリティ上の大きな脅威であり、防御対策が困難を極めるということに変わりはない。今はランサムウェアが世間を騒がせているが、ボットネットによる脅威もこれから広がっていくことを、心に留めておいたほうがいいだろう。
(関連記事:The Register, Guardian, “The WannaCry Ransomware Attack Could’ve Been a Lot Worse,” “2017年版ブレークスルー・テクノロジー10:モノのボットネット,” “Holding Data Hostage: The Perfect Internet Crime?”)