おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です
日経新聞に下記の記事が掲載されていました。
企業のネットワークシステムなどに対するサイバー攻撃で「分業」が進んでいる。過去1年弱の間に、システムへの侵入に使うログイン情報などのデータが少なくとも900件以上売り出され、多くが100ドル(約1万1000円)前後で取引されていた。ハッカーなど犯罪者が購入し、サイバー攻撃の急増につながっているとの指摘がある。
この記事での注目ポイントは、
- サイバー攻撃の分業化
- システム侵入のログイン情報が1件100ドル
という2点です。
では、いってみましょう!
サイバー攻撃はどんどん分業化されている
数年前から、サイバー攻撃は興味本位や主義主張のための攻撃ではなく、「ビジネス」として攻撃をしてきている攻撃者が増えてきていると言われています。
上記記事のように、探し当てた侵入経路の情報を売ったり、どこかのデータベースからハッキングしてきた顧客情報を売ったり、探し当てたソフトウェアの脆弱性情報を売ったりと、
闇マーケットではそれはそれは、様々な情報が売られていることでしょう。
今回、こうしたサイバー攻撃が「分業化」されてきているという情報は、セキュリティに携わる人間としては、「悪夢」と言わざるを得ないです。
なぜなら、一般企業においては、セキュリティ特化したチームを持っている企業は少なく、さらには平時は金食い虫としてむしろ邪魔者扱いされることが多いからです。
そんな状況で、「今サイバー攻撃は分業化してきていて、攻撃されるリスクが高まっています。わが社もより高度なサイバー攻撃に対応するために、特化した専門家を集めて防御を高めましょう!」と言って、
「よし、わかった!」と即答してくれる経営者が何人いるか・・・
9割以上は、
「今そこまで問題が起こっていないのだから現状維持。もっと数値で必要な理由を説明してくれ。なんなら、君たちは利益を生み出さないのだから、必要に応じて人を減らしたい。」
とか、言われそうですね。
サイバー攻撃を受けて、大きな損失とならないように、日々様々な情報にアンテナを張り、怪しい挙動を確認し、それぞれの仕組みが有事に十全に機能するようにチェックする。
それが仕事なので当たり前なのでしょうけど、会社側からすると「何もしてない」とネガティブに捉えられることが多いと思います。
一方で攻撃する側は、世界中のセキュリティのゆるいシステムを炙りだし、その情報を売買するとお金を得られるので、より積極的に攻撃したいと思うようになります。
また有益な情報を差し出せば、購入金額も上がりますし、攻撃者同士の横のつながりから得意分野を連携して、分業化することでより効率的に金銭を獲得できます。
サイバー攻撃側は、ある意味ポジティブな活動なのです。
※サイバー攻撃は犯罪です。駄目絶対。
ネガティブな会社と、ポジティブな会社。
圧倒的に有利なのは、攻撃者側ですね。一目瞭然。
どちらで働きたいかと言われたら、犯罪じゃなければサイバー攻撃側で働きたいです。
かように、防御側はただでさえ不利なのに、攻撃者側が徒党を組んで攻撃してくるなら、勝ち目がないという訳です。
侵入情報は比較的安価である
システムの脆弱性を突かれて搾取された情報は、1件100ドルで取引されているようです。
昔セミナーかなにかで、個人情報1件は1円にも満たない価格で取引されると聞いた記憶があります。
例えば1万人の会社で、社員全員分のリスト1万人の個人情報を取得して売買する場合、1万円にも満たない金額ということです。
情報漏洩するリスクと、売買で得られるリターンが釣り合わないので、内部犯行は駄目絶対と良くセキュリティ教育で言っております。
売っても利益にならないじゃん、攻撃者側も利益なくて困るのでは?と思われるかもしれませんが、これら闇マーケットに出回っているものは利用価値の薄いものが多いと思われます。
もっと利益性の高い企業の情報はこうしたマーケットに出ずに、狡猾な犯罪者集団に利用されていて、それらの犯罪者集団がひとしきり攻撃し終わったあと情報が放出されたり、攻撃してもあまりうま味のない会社情報だったりするのだと思います。
マイクロソフトの情報と、社員規模数名の会社の情報、どちらが欲しいですか?と言われたら、前者のマイクロソフトですよね。100ドルで売られているのは、後者のような会社です。
(100ドルで買ってランサム感染させて1000ドルとか奪えれば利益でます)
また、分業化により、多量のシステムログイン情報が手に入り、闇マーケットでも価格競争が発生しているのかもしれません。
とにかく、様々な背景があるのかもしれませんが、安い価格でシステム情報を売られて攻撃が増えるのは、攻撃される側の企業からしたら、たまったもんではありません。
一度放出された情報は、数年にわたり利用され続けますしね。
まとめ
守る側は圧倒的に不利です。
攻撃者は徒党を組んで、分業化し効率よく攻撃をしてくるのに、
防御側は経営層からの理解を得られなければ、放置されることが多く人員も補充されず、攻撃された痕跡も見逃してしまうかもしれません。
また、セキュリティという観点上、なかなか会社外に情報が出せず、自社内でガラパゴス化していることも多いでしょう。
全部を外部に任せるというのは中々リスクが高いので、監視や分析といったものはなるべく外だししつつ、インシデントが発生した時やその際の判断といった部分に柔軟に対応できるように、
自社内で整備していけると良いなと思います。
攻撃者側がどんどんアップデートしているのに、防御側はそのままというのは、あまりにも無策すぎますよね。防御側もアップデートが必要な時期に来ているのかもしれません。
セキュリティや社内系の仕組みへの風当たりの強さは異常。
直接的に利益に結びつかないですけど、間接的に会社を守るための活動だし、社員の効率化を図る部分だと思いますけど、そこにお金使いたがらないのなんでなんでしょうね。
ではでは