FOLLOW US

  • twitter
  • facebook

EVENT | 2019/05/29

ランサムウェア、詐欺、DDoS攻撃など、サイバー犯罪の「サービス化」が進行中。もはや技術や設備を持たずとも犯罪の実行が可能に

Photo By Shutterstock


伊藤僑
Free-lance Writer / Editor&n...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

多様なビジネス分野で拡大するクラウド化の潮流

企業活動のオンライン化が進むとともに、IT関連ビジネスの「サービス化」が急速に進展してきた。

サービス化と言われてもピンとこないという人には、「クラウド」と言い換えれば分かるだろうか。メールやブログ、ビジネスツールなどネット上で提供される様々なサービスの仕組みを説明する時に、「雲」として図示される「クラウドコンピューティング」によるサービスのことだ。

クラウドから提供されるサービスには様々な種類があるが、代表的なものとしては、ユーザーが必要とするソフトウェアの機能を、必要な分だけネット経由でサービスとして提供する「SaaS(Software as a Service)」、ソフトウェアを構築し実行するためのプラットフォームを、インターネットを介して提供する「PaaS(Platform as a Service)」、情報システムの稼働に必要な仮想化されたコンピュータ基盤などのインフラを、インターネット経由のサービスとして提供する「IssS(Infrastructure  as a Service)」の3つがあり、既に多くの企業で利用が進んでいる。

これらクラウドサービスの普及が進む背景には、導入・運用の容易さがある。それは、多くの企業でクラウドの普及が情報システム部の縮小を招いていることからも分かるだろう。つまり、「手がかからない」のだ。

これら3つのサービスを、導入の容易さと運用コストの低さで比較すると、SaaS>PaaS>IssSの順になり、利用者ごとのビジネスへ最適化する自由度はその逆となるので、それぞれのニーズに最適なものを選択すればいい。自前ですべてを導入・運用・管理する旧来型の方法に比べれば、いずれのスタイルでも企業自身の負荷は軽くなるはずだ。

この流れはIT関連ビジネスだけにとどまらず、自家用車をのぞく公共交通機関などの移動手段をシームレスに結びつけ、サービス化してしまおうという「MaaS(Mobility as a Service)」に向けた模索も始まっている。他の業種にも拡大していくことだろう。

サイバー犯罪分野においても進むサービス化の流れ

だが困ったことに、組織化・営利目的化が進んでいるサイバー犯罪分野においても、サービス化の動きは進んでいる。実際に、犯罪の温床となっているダークウェブでは「CaaS(Cybercrime as a Service)」が販売されており、エコシステムすら構築されつつあるといわれる。

参考:The cybercrime business model and its value chain(Welivesecurity.com) 

例えば近年、多くの企業や団体、個人が被害を被った「ランサムウェア(感染したコンピュータの使用をロックし「身代金を払わなければ解除できない」と脅すウイルス)」による攻撃をサービス化した「RaaS(Ransomware as a Service)」の存在も確認されている。

犯罪目的だから、いい加減なサービスだろうと侮ってはいけない。驚くべきことに、正規のソフトウェアを提供するサービスと同様に、利用目的やターゲットに合わせて多様なランサムウェアの種類が用意されており、契約すると、技術サポートやアップデート、C&Cサーバ(感染したコンピュータに対しインターネットを通じて指示・制御を行うサーバ)へのアクセスなどが、契約プランに応じて提供されるというのだ。

詐欺の手口をサービス化した「FaaS(Fraud as a Service)」では、クレジットカードとデビットカードを中心に、スキミング、フィッシング、ソーシャルエンジニアリング、マルウェアなど、企業や個人・金融機関を狙った多様な攻撃手段が提供される。

マルウェア関連の攻撃をサービス化した「MaaS(Malware as a Service)」もある。脆弱性を利用してシステムに侵入してマルウェアに感染させることにより、パスワードの盗難やユーザーの監視、スパムの拡散、感染の拡大、感染機器のリモートコントロールなどを提供可能という。

「AaaS(Attacks as a Service)」は、DDoS(分散型サービス拒否攻撃)などの攻撃をサービス化したもの。多数の感染したコンピュータやIoT機器によって構成された「ボットネット」を、攻撃の基盤として提供することによって、悪意あるコードの拡散やスパムメールの大量送信、仮想通貨の採掘などに利用される。

サイバー犯罪のハードルを下げるサービス化

これらの手口・サービスの種類からも分かるように、各種サイバー犯罪のサービス化は、特別な技術や設備を持たない者にも容易に犯罪を実行できる環境を提供してしまう。直接人と接触するリアルな犯罪行為に比べて現実感の薄いサイバー犯罪は、罪悪感もその分軽減されるため犯罪に手を染めるハードルを下げてしまう恐れもあるのだ。

しかも、プロの構築したサービスは手口も巧妙で、被害を受けても加害者の追跡は極めて困難になることが予想される。今後は転ばぬ先の杖として、CaaS(Cybercrime as a Service)の種類や手口を知っておくことが大切になりそうだ。

RECOMMENDED