私たちが日常的に使うインターネット。いまや、ビジネスや社会生活で欠かすことのできない重要な社会インフラの1つになった。
「第4次産業革命」の重要要素
2016年10月21日、そんな重要インフラを脅かす大きな事件が米国で発生した。インターネットの接続に欠かせないアドレスなどを管理して提供する米国のダイン社が、数時間おきに3度にわたって大規模なサイバー攻撃を受け、一時的に機能不全に陥った。ネット接続に必要となる重要なネット・インフラが攻撃されたのである。
被害は甚大だった。ダイン社を利用していたIT企業のアマゾンやツイッター、テレビ局の『CNN』、『FOX』、米新聞の『ニューヨーク・タイムズ』、『ウォール・ストリート・ジャーナル』といった数多くの大手企業のサーバーがダウンし、サービスが提供できない事態に陥った。
手口は「DDos攻撃」と呼ばれるサイバー攻撃だった。DDos攻撃とは、攻撃者が前もって支配下に置いている数多くのコンピューターなどのデジタル機器を使って、標的に対して一斉にパケット(データ)を送りつけることを言う。攻撃を受けた側のサーバーなどには大きな負荷がかかり機能停止になって、日常業務が行えなくなる。シンプルだが効果的な攻撃だ。
この攻撃の背後にいたのは、3人の若い米国人だった。そして2017年12月、3人はこのダイン社のケースの他、関与した数件のサイバー攻撃容疑について罪状認否で有罪を認めたことが、米司法省によって発表された。
当時「過去最大級のDDos攻撃」と言われたこの攻撃だが、そもそもこのDDos攻撃というのは、古くからある古典的なサイバー攻撃である。だが最近、IoT(モノのインターネット)が世界中で急速に普及していることで、DDos攻撃が再び注目されている。なぜなら、DDos攻撃にかなりの数のIoT機器が悪用されているからだ。
大規模なDDos攻撃は明日にでも私たちを襲ってきておかしくないサイバー攻撃であり、日本でも官公庁のみならず民間企業も決して軽視できないものだ。日本では最近、IoTを「第4次産業革命」の重要な要素と位置付け、国を挙げて推進している。IoTの普及がこれからさらに進むことになりそうだが、それに伴うリスクとして存在感を増しているDDos攻撃の現状に迫ってみたい。
マルウェア「Mirai」で攻撃
まず冒頭の「過去最大級のDDos攻撃」と言われたケースについてもう少し掘り下げる。この攻撃では、インターネットに繋がった電気機器であるIoT機器が悪用されていた。どんなIoT機器かというと、私たちの身近に増えつつある監視カメラやコードレスのカメラ、デジタル機器をつなぐルータ、個人などが使うデジタルビデオ・レコーダーといったものだ。
実は、2017年12月に起訴が発表された3人は、ダイン社に対する大規模DDos攻撃に直接手を下したかどうかは明らかになっていない。ただ少なくとも、彼ら3人はこの攻撃に使われたIoT機器をハッキングして支配するための「Mirai(ミライ)」というマルウェア(悪意あるプログラム)を製作し、自分たちも何件かのサイバー攻撃で使っていた。
「Mirai」を作り上げた3人の素性は、大それたサイバー攻撃を行う犯罪者には思えないものだった。12月に米司法省が公表した裁判資料によれば、この3人はネット上で知り合っている。主犯格のパラス・ジハ被告(21)は、事件当時、実家暮らしの大学生だったが、自らDDos攻撃を軽減させるサービスを提供するIT企業を立ち上げていた。あとの2人も20歳と21歳の若者だ。
ちなみに「Mirai」は日本語の「未来」のことで、日本のTVアニメ「未来日記」から取ったものだった。
ジハが「Mirai」で狙ったのはセキュリティの甘いIoT機器であり、従来のDDos攻撃で使われてきたパソコンなどとは違った。彼らは、ユーザーが購入してからパスワードなどを設定し直していないIoT機器をネット上で探した。大抵の場合、購入時の機器はメーカーが設定したシンプルなユーザーIDとパスワードが使われており、ハッキングしやすい。そして世界中で検知した大量のデジタル機器を所有者に知られることなくハッキングで支配下に置き、DDos攻撃を実施するためのIoTの機器群(ボット・ネットと呼ぶ)を作っていたのである。
日本でも「亜種」が猛威
「Mirai」は、デバイスを探し始めてから20時間で、6万5000個のデジタル機器に感染した。その後76分ごとに倍々で感染は増えていったという。結局、ジハたちは遠隔操作できる30万個の機器からなる攻撃ネットワークを作っていた。つまりジハは、自分が合図を出せば最大で30万個のIoT機器が標的に向けて一斉にパケットを送りつけ、標的のサーバーをダウンさせるという攻撃手段を手に入れた。
例えば日本で人気の動画サービスが、この手のDDos攻撃に狙われたらどうなるのか。突然、動画サービスのサーバーに、世界中のIoT機器からデータが一斉に送りつけられる。イメージで言えば、普段なら1万人の視聴者を見込んでいるウェブサイトに、30万人以上から同時にアクセスが来るという感じだ。サイト側はパンクしてしまい、サーバーはダウンしてしまうだろう。
裁判資料によれば、この3人のそもそもの動機は、大規模なサイバー攻撃を引き起こすことではなかった。自分たちがハマっていたオンラインゲームを攻撃することが目的だったのだが、出来上がったボット・ネットがあまりにパワフルな攻撃ツールとなったために、さらに大それた攻撃を始めたという。
さらに罪深いことに、ジハらは自分たちの攻撃が騒ぎになった後、捜査を撹乱するために「Mirai」のソースコード(プログラムの設計図)をダーク・ウェブ(インターネットの闇サイト)で公開し、誰でも使えるようにした。そして彼らの思惑通りに、他の犯罪者たちがそれに改造を加えたりして悪用するようになり、被害はさらに拡大。2016年9月から2017年2月の間だけで、「Mirai」に関連するサイバー攻撃が1万5194ケースも確認された。「Mirai」関連のDDos攻撃による被害は米国だけでなく、英国、ドイツ、フランスなど世界中に広がり、騒ぎは大きくなった。この手のサイバー犯罪がやっかいなのは、攻撃ツールを悪用する攻撃者がどんどん出てくることだ。
実は今も「Mirai」の影響は続いている。2017年12月19日、「Mirai」の亜種が日本で猛威を振るっているとして、総務省所管の国立研究開発法人「情報通信研究機構(NICT)」などが警告を出したばかりだ。
ただ既に述べた通り、こうしたDDos攻撃は昔からあるものだが、IoTの広がりに合わせて規模が大きくなり、最近また話題になっているということなのである。
「シェルタード・ハーバー」
そもそも世界で初めてDDos攻撃が行われたのは1995年のこと。フランスの核実験に反対する世界初の「ハクティビスト(ハッカーと、活動家という意味のアクティビストをかけた言葉)」の集団がイタリアで誕生し、彼らがフランスに対してDDos攻撃を実施した。そしてフランス政府機関のウェブサイトがダウンする事態に陥った。
その後は、大小様々なDDos攻撃が発生してきた。エストニアやトルコ、グルジア(現ジョージア)など国家が大々的に攻撃されるケースもあれば、民間企業が攻撃されるケースもある。米国の調査によれば、現在、民間企業の80%以上が1年間で何度かDDos攻撃を受けていると言われており、その損失額が1時間に30万ドルを超えているとの報告もある。
特に民間で影響を受けやすい標的としては、金融機関が挙げられる。ネットバンキングなど大量の取引が行われる金融機関のサーバーが、DDos攻撃によって一時でも停止すれば、その損失は大きい。そんなことから、米金融業界は「シェルタード・ハーバー(守られた港)」と呼ばれる取り組みを2017年に始めている。金融機関がハッキングやDDos攻撃を受けた際、顧客が銀行を使えなくなるのを防ぐために、「シェルタード・ハーバー」に加盟する他の金融機関で顧客データなどを代わりに使えるようにするというものだ。現在、米国の多くの金融機関が参加しており、金融機関の6~7割の口座がこの「シェルタード・ハーバー」に守られている計算になるという。
米国では金融機関に限らず、様々な業界がサイバー攻撃の情報共有などができる、こうした独自の組織を作っている。攻撃についての情報を共有し、攻撃の傾向を正しく認識しなければ対策は行えないからだ。
ちなみに日本では、企業間の情報共有が十分に行われておらず、サイバーセキュリティ分野の大きな課題になっている。
誰でも手軽に攻撃できる
昨今、データを勝手に暗号化して解除したければカネを払うよう要求するランサムウェア(身代金要求型ウイルス)が世界的に猛威を振るっているが、DDos攻撃でも似たような手口が報告されている。米国では、企業がサイバー犯罪者から脅迫メールを受け、特定の日にちまでに要求額を振り込まなければ、大規模DDos攻撃を仕掛けると脅される事件も発生している。
こう聞くと、そんなに簡単にDDos攻撃が行えるものなのかと不思議に思うかもしれない。だがやっかいなことに、近年、DDos攻撃はかつてないほど気軽に行えるようになっている。DDos攻撃を行うボット・ネットは闇サイトなどでレンタルすらできるようになっている。
どういうことかというと、闇サイトに存在するある業者は、「1秒間に125ギガバイトのDDos攻撃」を「600秒間」実施できるサービスをたったの「5ドル」で提供している。足のつかないビットコインで支払い、攻撃したい相手のアドレスを入力するだけで、簡単にDDos攻撃ができてしまう。多少の英語力とIT知識があれば、誰でも使えるツールになっている。
日本にも存在する「愉快犯」
2016年12月、米国や英国、フランスなど13カ国の当局とユーロポール(欧州刑事警察機構)は、共同で世界規模の捜査を実施し、DDos攻撃のツールをレンタルしたとして、世界13カ国で34人を逮捕している。さらに100人以上を捜査しているが、多くは20歳以下の若者だ。中にはDDos攻撃を行うことで生じる企業などの損失について自覚がない者もいたと、ユーロポールは述べている。
こうしたDDos攻撃は、いつ私たちを襲ってもおかしくない。実は日本でもこうしたレンタル、または代行サービスを使った愉快犯がすでに存在しており、捜査対象になっているという話も耳にする。
そして「Mirai」のケースで明らかにされたように、最近のDDos攻撃に使われるセキュリティの甘いIoT機器も、これから爆発的に増えていくことになる。これは日本のみならず世界的な傾向であり、2020年までには世界でIoT機器の数は、200~300億個にもなると言われている。IoT機器はスマートテレビやプリンター、エアコンや冷蔵庫、体重計などネット対応型の家電で私たちの身近にあるものばかりだが、私たち所有者は自分の機器が乗っ取られていたり、DDos攻撃の加害者になってしまっていたりすることにも気がつかない、という状態になってしまうのだ。
またダイン社への攻撃が示した通り、多くの人が一緒に利用するネット・インフラや共有マシーン、クラウドサービスなどが狙われたらその被害は一気に広がる。
DDos攻撃への対策は、例えばパケットを一斉に送りつけてくるデジタル機器の通信を遮断するなどの方法があり、多くのセキュリティ企業が様々な対策ソリューションを提供している。だが乗っ取りができるIoT機器が無尽蔵に増えれば、それだけDDos攻撃の規模も大きくなり、対応も難しくなるし、対策コストも高くなる。つまり、IoTの規模が大きくなるにつれて、問題もどんどん大きくなっていく。
「Mirai」を世に放った若者3人への判決は、3月に言い渡される予定だ。今後、気軽に同様の犯罪に手を出す者が続かないよう、厳しい罰則が言い渡されるべきだ。さもないと、DDos攻撃はさらにパワフルになって、世界中で猛威を振るうことになるのだから。
山田敏弘 ジャーナリスト、ノンフィクション作家、翻訳家。講談社、ロイター通信社、ニューズウィーク日本版などを経て、米マサチューセッツ工科大学(MIT)のフルブライト研究員として国際情勢やサイバー安全保障の研究・取材活動に従事。帰国後の2016年からフリーとして、国際情勢全般、サイバー安全保障、テロリズム、米政治・外交・カルチャーなどについて取材し、連載など多数。テレビやラジオでも解説を行う。訳書に『黒いワールドカップ』(講談社)など、著書に『モンスター 暗躍する次のアルカイダ』(中央公論新社)、『ハリウッド検視ファイル トーマス野口の遺言』(新潮社)、『ゼロデイ 米中露サイバー戦争が世界を破壊する』(文芸春秋)など多数ある。
(2018年1月15日フォーサイトより転載)
関連記事