ソーシャル・エンジニアリング 2.0──ネット犯罪の将来
ネットに潜むさまざまな脅威ソーシャル・エンジニアリングは、おそらく文明の始まりから存在しているものであろう。現在では、その形を変え、インターネット上で大混乱を引き起こすようになり、関心が高まっている。本稿では、ソーシャル・エンジニアリングを中心として、インターネット犯罪の今後について予測してみよう。
インターネット詐欺の
まん延
現在のマルウェア/クライムウェアが、経済的な理由からまん延しているということに異を唱える人は少ないだろう。初期のウイルスの多くは知的好奇心や競争心から生まれ出たもので、制作者の暇つぶしに過ぎなかったものもあった。現在では、ワンクリック詐欺やフィッシング詐欺のように、その目的がより明確に、金銭狙いとなっている。スパムメールにもさまざまな形式があるが、目的は同様だ。金儲けができないのであれば、スパムメールは存在しないだろう。つまり、犯罪者が既存のインターネット機能を悪用して金儲けをたくらむ方法を観察すれば、今後の犯罪傾向も予測することが可能となるはずだ。
セキュリティ専門家の多くは、サイバー犯罪が技術的な要素だけでなく、ソーシャル・エンジニアリング的な要素が濃くなってきていると見ている。例えば、フィッシング詐欺がよい例だ。
2008年初頭に発生した「Better Business Bureau詐欺」という犯罪は、フィッシング詐欺の一種で、米国商事改善協会を装う詐欺師が苦情申し立てを通知する電子メールを企業に送信した。このメールにはファイルが添付されており、これに苦情の詳細が記載してあるとメッセージには書かれている。実はこのファイルは、トロイの木馬のダウンローダなのだ。さらに、こうした電子メールの多くは、特定の企業・組織の上層部、あるいは苦情対応担当者を狙って送信されているのである。
犯罪者からすれば、インターネット詐欺は比較的安全な犯罪である。自宅から簡単に実行でき、規模を拡大して大きな利益を得ることもできる。また、追跡される可能性も低く、リスクが非常に小さい犯罪と言えるだろう。これでは、インターネット詐欺が大流行したのも当然のことだ。
犯罪者に対抗するためには、3つの方面から対策を講じる必要がある。この3つの方面とは、「技術」(ウイルス対策ソフトウェア、スパムフィルタリング、フィッシング詐欺対応のWebブラウザ・プラグインなど)、「啓蒙活動」(インターネット・サービス・プロバイダー、銀行、大学研究機関、セキュリティ啓蒙サイトなど)、そして「法的手段」である。
技術と啓蒙活動は、犯罪者の得る利益を少なくする効果がある。法的手段は、犯罪に対するリスクを大きくする効果がある。インターネット詐欺の規模を考えると、このリスクは重大な意味を持つ。次世代のマルウェアには、追跡をさらに困難にするコンポーネントが組み込まれることだろう。本稿では、この点を踏まえて将来を予測するため、追跡が困難な2つの攻撃について考察してみよう。いずれも、本稿執筆時点ではまだ実際に確認されているわけではないが、今後発生することは確かである。
ファイルを人質にする
ランサムウェアの失敗
少し脇道にそれるが、法的観点の重要性を理解するために「ランサムウェア」について紹介しておこう。
1990年代後半、コロンビア大学の研究者が新しいマルウェアの出現を予測した。それは、被害者のコンピュータにあるファイルを自身の公開鍵で暗号化し、それらのファイルを「人質」として、解読に必要な秘密鍵の代金を要求するというものだった。
この予想から数年後、公開鍵ではなく対称鍵暗号を使う点が異なるが、同様の攻撃を行う「Archiveus(MayArchive)」というトロイの木馬が出現した。しかし、このトロイの木馬にリバース・エンジニアリングが行われ、暗号鍵が復元されて被害者に配布されたため、攻撃は失敗に終わった。公開鍵を使用すれば、コード内に解読用の鍵は存在しないため、リバース・エンジニアリングで鍵が抽出されることはないが、やはり失敗していただろう。
Archiveusが失敗した理由は技術的なものではなく、その動機が金銭目的であったためである。犯罪者が痕跡を残さずに「身代金」を安全に受け取る方法はないのだ。
