サイバー兵器、IoTセキュリティ、仮想通貨の悪用――悪夢を終わらせるためになすべきこと、CODE BLUE 2018基調講演
インターネットを“悪夢”から救うために、ミッコ・ヒッポネン氏
2018年11月19日 07時00分更新
Webブラウザを開けば、地球上のどこかにいる誰かと自由につながることができる。距離も国境も、もしかしたら政治問題や紛争も乗り越えて世界中の人々と心を通わせることができるかもしれない――。インターネットが一般に普及し始めた1990年代の初頭、私たちはそんなユートピアを夢見ていた。
その後、インターネットはビジネスや生活の基盤となり、デジタル革新を促し、いつかSF映画で見たIoTやAIが日常に溶け込む、ちょっと豊かで刺激的な未来を私たちにもたらした。だが当初の期待とは裏腹に、今やインターネットは大規模な組織犯罪集団が跋扈し、国家によるネット監視やスパイ活動、サイバー戦争の火種がくすぶる場ともなった。
「夢は悪夢に変わった。そんな現状で、私たちはどんなインターネットを次世代に引き渡すことができるのか」
2018年11月1~2日、都内で開催された国際セキュリティカンファレンス「CODE BLUE 2018」の基調講演で、エフセキュア 研究所主席研究員(CRO)のミッコ・ヒッポネン氏は、インターネットが「悪夢」に飲み込まれないよう、自由でオープンなインターネットを守るためにセキュリティ業界の自分たちは一層努力するべきだと訴えた。
仮想通貨を愛するサイバー犯罪者たち
1991年にエフセキュアへ入社して以来、悪いハッカーを追い続けてきたヒッポネン氏は、インターネット上の脅威を「サイバー犯罪」と「サイバー戦争」に分けて、過去と現在を俯瞰した。
まずサイバー犯罪について、同氏は「私たちが最も多く遭遇するのは金銭目的の犯罪者だ」と語る。彼ら犯罪者にとっての大きな課題は、オンラインバンキングやショッピングサイトから盗んだ大量のクレジットカード情報をいかにして現金化するか、不正出金などで得た金銭をどうマネーロンダリングするか(匿名化するか)、といったことだ。
現金化の手段として通常の銀行口座を使うのは、足がつきやすくリスクが高い。同氏は、犯罪者集団のCarbanakが、金融機関からかき集めた10億ドル(約1200億円)を“出し子”を使って銀行のATMから引き出す監視カメラ映像を披露しながら、「彼らも頑張ってはいるが、ATMで一度に引き出せる額には限度がある。フェラーリ購入の道のりさえ遠いだろう」と皮肉交じりに述べる。
そんな犯罪者たちが目を付けたのが、仮想通貨だ。仮想通貨を構成する取引台帳のブロックチェーンは、基本的には公開されているので誰もが取引を追うことができる。しかし、たとえば「Monero」のような送金者を匿名化する仕組みが実装された仮想通貨を使えば、犯罪で得た金銭をマネーロンダリングすることも容易で、捜査側の追跡は一気に難しくなる。
ヒッポネン氏は、ランサムウェア「Petya」に対して被害者から支払われたビットコインのウォレットの取引履歴を可視化した図を見せた。ビットコインは複数のウォレットを経由しながら最終的にはMoneroのウォレットに送金され、以後は追跡できなくなっていた。
さらに別の意味でも、犯罪者たちは仮想通貨を“愛して”いる。仮想通貨取引所などへの攻撃によって、多額の仮想通貨を不正に盗み出す事件も続発している。
「銀行は歴史があり、警備体制も整っているため攻撃ターゲットとしては厳しい。だが、仮想通貨の取引所はいわばスタートアップであり、何十億ドル相当もの大金を管理しながら、警備体制は手薄だ。標的として旨味がある」
なお、サイバー犯罪の中でも“ローレベル(誰もが容易に手を出せる)”な金銭目的の犯罪領域で活動する国家が1つだけあるとヒッポネン氏は言う。それが北朝鮮だ。2017年5月に150カ国23万台以上のコンピューターに感染した「WannaCry」の黒幕と言われる同国を、「足りない国家資金をランサムウェアの儲けで補填する国家」だと同氏は指摘する。
サイバー兵器「NotPetya/Nyetya」から考えるサイバー戦争
では、国家間のサイバー戦争はどうか。ヒッポネン氏はまず、「サイバー戦争」として報道されるものの大半は諜報/スパイ活動であって、サイバー戦争ではないと断言する。
「スパイ活動は戦争ではない。戦争でないならば、それを『戦争』と呼ぶべきではない。言葉は重要だ。サイバー戦争という表現は、“本当の”サイバー戦争に対してのみ使うべきだ」
それでは“本当の”サイバー戦争とはどんなものか。ヒッポネン氏は、2014年の軍事衝突を発端にいまだ続くウクライナとロシアの紛争を取り上げ、2017年6月に税務会計ソフトウェア「MeDoc」の脆弱性から世界中で大規模感染を発生させた「NotPetya/Nyetya」を例に挙げた。
「NotPetya/Nyetyaは、ランサムウェアと見せかけたサイバー兵器だ。ウクライナの経済活動を完全停止させ、ランサムウェアなのに身代金を支払ってもデータを返してくれない。サイバー兵器とみなして問題ないだろう」
NotPetya/Nyetyaの被害はウクライナだけでなく、MeDocを使ってウクライナに税金を納めていたグローバル企業にも被害が及んだ。デンマークに本社を置く世界大手のコンテナ船会社Maersk Lineもその1つ。NotPetyaに感染したことで、約4000台のサーバーや4万5000台のワークステーション上のデータを失った。
感染被害を受けたサーバーには、151台のActive Directoryサーバーも含まれていた。世界各地のデータセンターに分散配置し、データ同期によって冗長化されていたため、同社ではバックアップなど不要だと考えていた。だが、それらが全滅した。同社内のその後の混乱はご想像のとおりだ。
大規模感染の原因は、MeDocのパッチ自動更新機能を有効にしていたことだと指摘されている。「このインシデント発生前であれば、自動更新機能は有効にすべきかと尋ねられたら、(MeDocのセキュリティを維持するために)私も『ぜひそうすべきだ』と答えていただろう」とヒッポネン氏は語る。
結局、真相はいまだ薮の中である。「ウクライナ以外の企業は、二次被害に過ぎないのかもしれない。もしかして“ウクライナとビジネスしたらサイバー攻撃するぞ”というロシアからのメッセージかもしれない」。
そもそもサイバー兵器は効果的かつ価格も手頃であり、何よりも攻撃の痕跡をほとんど残さず、攻撃の事実すら永遠に否定することができる。ここがミサイルなどの物理的攻撃とは大きく違う点だ。たとえばイランのウラン濃縮施設を狙ったマルウェア「Stuxnet」は、アメリカとイスラエルが開発したサイバー兵器であることがほぼ確実だと指摘されているが、両国は否定し続けている。「だから軍隊はサイバー兵器が大好きなんだ」。ヒッポネン氏はそう皮肉る。