寡黙なプロフェッショナルサイバースパイグループがあらゆる企業が秘密にしておきたい情報(ビジネスを推進する貴重な情報)を盗み出しています。ニューノーマル時代が到来しました。
先日、Morpho(別名Wild Neutron)のニュースが飛び込み、企業サイバースパイ活動が第一面を飾りました。呼び名はどうあれ、この事実の発覚によって、サイバー世界で企業スパイ活動が増加していることが改めて裏付けられました。このグループは、世界的なIT、薬品、法務、日用品販売の大手企業、中でもその米国、ヨーロッパ、カナダの拠点を標的にしました。彼らは高度に組織化されており、犠牲者を絞り込んで将来収益につながる機密情報を収集しています。
Morphoの活動を簡単に紹介します。このグループの手口は、水飲み場型攻撃、ゼロデイ攻撃、マルチプラットフォームマルウェアを組み合わせたものです。標的のWebサイトを侵害して悪用し、Javaベースのゼロデイ不正コードかInternet Explorerのゼロデイ不正コードを送り込みます。つまり、ゼロデイを利用してサイバースパイ活動を行うのです。
ここまでの情報からわかることは、彼らがゼロデイを発見できる技術的ノウハウを持っている(Morphoは小規模グループと考えられていますが、小規模グループではこの知識があるとは考えられません)か、または闇市場でゼロデイ不正コードを購入できる資金を持っている可能性があることです。彼らが「サービスとしてのサイバー犯罪」市場に依存しているのであれば、十分な資金がある限りこの「サービス」を利用してサイバー犯罪ゲームに参加できるという私たちの主張の正当性が高まります。
Morphoは、カスタムリモートアクセスツール(RAT)を利用して標的の情報や感染させるコンピュータを調査しました。また、暗号化された接続を介して感染マシンとC&Cサーバーを通信させるためのバックドアもインストールしました。しかし、このグループが行っている特に賢明な行為は、クリーンアップです。いったん電子メールや機密情報を盗むと、ファイルやイベントログが確実に削除されているのです。まるで侵入が発生していないかのように見事に形跡が残りません。
細心の注意を払ったこのクリーンアップとゼロデイ攻撃の確実な実行によって、Morphoは2011年の活動開始以来(英語サイト)、成功を収め続けています。しかしMorphoの成功の最大の要因は、ビジネス上の機密情報(BCI)と知的財産(IP)の侵害、抽出、悪用に特化したプロフェッショナルなアプローチを取っていることです。
以下の情報は、いずれもハッカーにとっては貴重なもので、この情報が競合企業に漏れることがあれば、どのような事業にも支障が起こります。
知的財産:芸術、書籍、設計、画像、ロゴ、企業名からソースコード、製品デザイン、製剤処方、ビルの設計図まで、創造的なソースから生み出されたこのような作品や発明は、金融資産、不動産、物理的製品と同様に重要な資産です。複雑な製品やユニークな概念の開発には多大なリソースが投じられているため、未来に効果をもたらすアイデアを開発してきた企業では、これらが失われれば数十億ドルの損害となります。
薬品、化学、テクノロジーなど、まさにMorphoが標的としている大規模な業界は、知的財産の再現や現金化が容易なために狙われています。しかし、小規模でも既存のビジネスや業界全体に対抗する新しいアイデア、テクノロジー、製品を開発している企業は、決してこうしたサイバー攻撃の被害を逃れられません。
ではどれほどの損害があるのでしょうか。その定量化は明らかに困難です。工場が全焼した場合、株式公開企業は決算書にその損害を反映させる義務があります。サイバースパイ犯罪の損害の定量化は、多くの場合その検出と同じくらい困難です。しかし、米国商務省は、(サイバー犯罪だけでなく)すべての種類の知的財産の窃盗が米国企業に年間2000~2500億ドルの損害をもたらしている(英語PDFファイル)と見積もっています。一方、経済協力開発機構(OECD)では、偽造および海賊版によって企業に年間6380億ドルもの損害が発生していると推定しています。こうした数値を受け、McAfee Labsでは、サイバースパイ活動による侵害行為は「21世紀の犯罪」であり、現在と将来両方の経済と発展に影響を及ぼすと結論付けています。
ビジネス上の機密情報:投資データ、資源探査データ、機密商業データ(営業秘密、プロセス、運用情報など)をはじめとするこの情報は、ほぼ間違いなく重要性が高く即座に利用可能であるため、非常に魅力的な標的になっています。
つい最近も、ビジネス上の機密情報は、セントルイスカージナルスとヒューストンアストロズ(英語サイト)というメジャーリーグ2球団を巻き込んだスポーツ関連のサイバースパイ活動における標的となりました。このスパイ騒動でもMorphoの事例でも、ビジネス計画、契約、取引に関連する情報は、知的財産に勝るとも劣らない貴重なものです。Morphoも同種のサイバー犯罪者も、重要なビジネス取引、製品発表、投資ニュースを先取りするために利用できる情報を見つけることで、標的の組織への洞察を入手します。
Morphoグループが成功を収めている理由は、標的とする情報とその入手方法に一寸の狂いもないためです。意図、使用する手段、あるいはビジネスモデルを問わず、最大のポイントは、この種のサイバー犯罪が1つの共通項、つまりビジネスを推進する情報価値によって推進されているということです。
そして、世界経済が重要な資産としての情報への依存度を増しているため、サイバースパイ活動は、今日の企業が競い合うグローバル競争環境の一部となっています。MorphoとWild Neutronの登場により、IPとBCIの保護ほどビジネス上重要なことはないということ以外の企業経営陣による判断が危険なほどに甘い(英語サイト)ことが浮き彫りになっています。
サイバースパイ活動などのサイバー犯罪の損害に関する詳細については、Intel Securityと戦略国際問題研究所(CSIS)で作成したサイバー犯罪とサイバースパイ活動の経済的影響(英語サイト)に関するレポートをご覧ください。
元の投稿については、Dark Reading(英語サイト)を参照してください。
関連記事:
金を出せば略奪が可能:「サービスとしてのサイバー犯罪」が存在する経済の現実
※本ページの内容は McAfee Blog の抄訳です。
原文: What Morpho Means: Why Hackers Target Intellectual Property And Business-Confidential Information
著者: Rees Johnson (VP, CTO for McAfee EMEA)
