仮想通貨「ビットコイン」が話題だ。国内の大手取引所での価格は急騰し、1ビットコインあたりの価格が8日には200万円を超えたと報道された。11月26日には100万円になったとの報道があったが、わずか2週間程度で、一気に2倍に急騰したことになる。今月はアメリカでビットコインの先物取引が始まったこともあり、値上がりはまだ続きそうだ。
一方で、事件も起きている。仮想通貨の採掘(マイニング)環境を提供するスロベニアのナイスハッシュは6日、同社のシステムに侵入したハッカーにより、ビットコインをウォレット(保管口座)から盗まれたことを明らかにした。被害は時価にして6400万ドル(およそ72億6000万円)相当にものぼるという。
ビットコインというと、「価値が急騰」「バブル」などという言葉がニュースの見出しを飾ることも多い。そこから、あくまで投資の対象であって、スロベニアの事件も自分には縁のない話だと考えている人も多いかもしれない。しかし、ビットコインをめぐる状況だけでなく、その技術自体も、さまざまな分野から注目されている。
仮想通貨であるビットコインは、簡単に言えば、ブロックチェーンと呼ばれる分散型の台帳技術によって支えられている。ビットコインは物理的な通過ではなく、どこにいくら発行され、誰から誰にいくら支払われたか、データを記録するものだ。それらの支払い記録はすべて、誰でも閲覧できる。それを記録した“台帳”がブロックチェーンといえる。
このテクノロジーはさまざまな企業や団体が採用を検討しており、金融、商取引、電子契約、医療などの分野で調査が進められている。ただ、それらの膨大なデータは、悪意を持った攻撃者には格好の標的となるだろう。ビットコインそのものだけではなく、それを取り巻く環境や技術の利用者が増えれば、当然、悪用を考える人たちも現れてくるものだ。その場合の被害の大きさは、前述のビットコイン盗難の規模を考えれば甚大になるおそれもある。
ビットコインの場合、ビットコインを送付する際に使用されるアドレスを作る「公開鍵」、そして“暗証番号”にあたる自分以外は知らない「秘密鍵」があるのだが、秘密鍵が他人の手にわたった場合、公開鍵までも把握されるだけでなく、そこからビットコインの残高を自由に送信できてしまう。PCの中、あるいはオンライン上に仮想通貨を保管する場合、ハッキングの被害に遭う可能性があることは注意しなければならない。ナイスハッシュの事件では、決済システムが侵害されたことで、同社のビットコインウォレットの中身が奪われてしまった状態だという。
また、ビットコインによって脅威が“進化”した例もある。たとえば昨今の脅威として注目されているランサムウェアにしても、1980年代後半から存在していたものだ。しかし、ネット上での支払いが容易になったことで、多くの悪意ある攻撃者が利用する存在となった。2017年に猛威を振るったWannaCryも、ビットコインの支払いと接続できるようになって、大きな脅威として成り立ったランサムウェアの1つといえる。
つまり、ビットコインで取引をしないという人でも、ビットコインが世界に普及していく状況や、仮想通貨に利用されているテクノロジーなどを知ることは、セキュリティーの最先端を知り、自らの身を守るリテラシーを高めることに繋がるといえる。
逆に言えば、ビットコインなど自分には縁がない話……と考えていると、新たなサイバー犯罪の標的になりかねないということでもある。もちろん、ビットコインの利用を考えている、あるいは利用しているなら、なおさら無知ではいられない。
2018年は、仮想通貨、そしてそれを取り巻くテクノロジーの問題が、ますますクローズアップされることだろう。見識を深めるためにも、McAfee Blog「サイバー犯罪者の次の標的:長期の標的(パート2)」を読んでほしい。
より大きな利益を求める、サイバー犯罪者の次の標的とは?
このシリーズの前回の記事では、サイバー犯罪者が年末商戦を利用して、不用心な消費者と標的の企業に仕掛ける攻撃について解説しました。今後、サイバー犯罪者は、IoT(モノのインターネット)に接続したデバイスの悪用も増やすでしょう。長期的には、より大胆でより高い収益が見込まれる分野へと攻撃を拡大するでしょう。
ブロックチェーンの台頭
来年、ブロックチェーンは金融、商取引、医療や潜在的には政府機関のサービスにも導入されるかもしれません。それらは取引を永続的に記録して不特定多数のユーザーが閲覧する業種で広く利用されるような分野です。元々、ビットコインのような新しい暗号通貨のバックボーンとして開発されたブロックチェーンは、これらの業種以外でも幅広く利用できます。例えば、商品を購入したらその投資は永続的に記録されます。政権交代の激しい地域の土地の権利は、変更できない分散型の公的記録に含めれば政権交代後も維持されます。個人の株式取引は電光石火のスピードで行なわれ、大手取引所の口座がなくても注文が処理され、料金が徴収されるでしょう。暗号化された個人的な既往歴と診察記録も必要に応じて医師がすぐに利用できるようになります。政府銀行と各市民の支出口座を詐欺から保護し、取引が迅速に処理できれば、ブロックチェーンはインドで重要な役割を担うようになるでしょう。
このテクノロジーはメリットが大きいため多くの組織が採用を検討しており、金融、商取引、電子契約、医療などの分野ではすでに調査が進められています。導入後、ブロックチェーンは膨大な量の情報と権限を制御し、保護することになるため、窃盗犯、詐欺師、組織犯罪者、ハクティビスト、さらには犯罪国家の標的になることは間違いありません。そのときになって初めて、テクノロジーの真価が試されます。それ以前の暗号化と同様に、計算上は信頼できても実際には脆弱性があるでしょう。サイバーセキュリティーに関しては、ブロックチェーンによって異なるため、採用した組織にとって大きな課題になります。攻撃者はおいしい食事を簡単に手に入れるために、群れの中で最も弱いものを狙います。
ソーシャルメディアが支配する認知
認知の媒体は、この数世代の間でも大きく変化しています。新聞や雑誌からラジオ、テレビ、インターネットへと変化し、いまやソーシャルメディアプラットフォームが主流です。人々に認知されることには大きな価値があります。正当性を認めさせ、購入を促し、甘い言葉で信用させ、有名人を有名にする、認知の媒体というレンズを通して私たちは世界を見ています。さまざまなレベルに対して強い力を持つため、あらゆるタイプのデジタル脅威の標的になるでしょう。
サイバー攻撃者は、現在ではソーシャルメディアが世論を変えるツールと見なされていることを認識しています。テロリスト、ハクティビスト、犯罪国家がそれぞれの目的を達成するためにさまざまな攻撃を試みるでしょう。まず、コンテンツの宣伝、検索結果の上位表示、反対意見の遮断、影響力者のアカウントのハッキングに関係する攻撃が増えます。また、個人を困らせたり、プライベートなオンラインの利用を公開する攻撃も増えるでしょう。利益と支配を目的とした攻撃のほかに、単なる娯楽のための攻撃もあるでしょう。
ランサムウェア
ランサムウェアは今後もサイバー犯罪者に多額の資金をもたらすでしょう。ランサムエンジンは数が減少する可能性がありますが、全体的な影響力は強くなります。ソフトウェアは世代が変わるたびに改善されて機能が追加され、それによって最高のベンダーに統合されますが、ランサムウェアも同じです。まもなく、ほんの一握りのエンジンがこの分野を支配するでしょう。そうなれば、最高のツールによって標的が企業にまで拡大されて、全体的な影響が大きくなり、脅迫攻撃の利益も増えます。残念なことにランサムウェアと不正使用は長期的な問題です。
ストレスの多い年末年始
年末年始には、善良な市民と同様、サイバー犯罪者も出費が増えます。そのため、年末には特に、信用情報に無頓着なユーザーを標的にした不正行為、不正なeコマース、クレジットカード/デビットカードの詐欺、個人情報の窃盗が増えるでしょう。ランサムウェアはより大きな利益を求めて、消費者を悩ませる攻撃から企業に大きな被害を及ぼす攻撃へと変化します。ソーシャルメディアは共感を求める不満のはけ口として利用されますが、攻撃者にも利用されます。より戦略的に計画される長期的な攻撃では、哀れなほどかよわいIoTデバイスを収益化する方法を探るために早い段階でブロックチェーンをテストするでしょう。銀行、ATM、世界的な金融取引、および暗号通貨は、より大規模で大胆な計画によって今後も引き続き標的になります。
もっと詳しく知るには? サイバーセキュリティーに関する詳細と最新情報については、私のTwitter(@Matt_Rosenquist)およびLinkedInをフォローしてください。
※本ページの内容は 2016年12月27日更新のMcAfee Blog の抄訳です。
原文: Next Targets for Cybercriminals: the Long Term(Part 2)
著者: Matthew Rosenquist
【関連記事】
ランサムウェア関連情報 まとめ