ライフハッカー［日本版］>

Hot Topics 仕事術 . iPhone . Android . MacOS . Google . DIY . Microsoft Office . 生活術 . キミハツ

ハッカーは「画期的なレベルの成功」を収めている。専門家が語るサイバーセキュリティの現状

2014.06.21 21:00

Inc.：2014年も半分を過ぎたところですが、今年はサイバーセキュリティの専門家にとって過酷な1年になるでしょう。「Heartbleedバグ」が世間を騒がせ、米国企業の企業秘密を盗んだとしてFBIが中国軍の将校5人を起訴しました。eBayは、2ヶ月前に1億4800万人の顧客データが盗まれたことを認めました。

セキュリティ会社AgariのCEOパトリック・パターソン氏によれば、彼の会社はいつも外国のハッカーたちと戦っているのだとか。「中国軍将校の起訴状を見れば、セキュリティ・コミュニティにおける公然の秘密が暴露されるだろう。たくさんの外国の政府系ハッカーが精鋭チームを持っていて、サイバースペースで私たちと戦いを繰り広げている」

先日、パターソン氏の会社はレポート「Agari Q1 2014 TrustIndex」を発表しました。メール攻撃に対する脆弱性がどれほど米国企業を悩ませているかを明らかにしたものです。133企業のうち実に100の企業が「脆弱なターゲット」に分類されました。また、調査した11の業界の中で、とくに旅行業界において脅威スコア（企業に悪意あるメールが送られた数をもとに算出）が急増。前期に比べて400％も増えています。

以下、サイバーセキュリティの現状についてのパターソン氏へインタビューしました。

── 最近の攻撃はどのようなものですか？

第1四半期で最も多く見られたのは、メールの「集中攻撃」でした。2年前は、ハッカーたちはただ、集中攻撃をしかけ、それがうまくいかなくなるまで続けるだけでした。

今では、ハッカーたちは数週間をかけて目的を完遂します。彼らは4つか5つの異なる攻撃を同時に仕掛けます。偽造メールを送る、偽造ホームページに誘導する、サーバーを乗っ取り、「信頼できる」サーバーから悪意あるメールを送信する。マルウェアが確実にダウンロードされるよう手を尽くす、などです。

彼らは複数のチームに別れ、準備を整えて一斉攻撃に打って出ます。攻撃がばれたら威力が半減するのを知っているからです。一斉攻撃は、最小の時間で最大のダメージを与える方法なのです。ハッカーたちは攻撃を気づかれる前に防御壁をすり抜けます。

── ハッキングのレベルは進化していますか？

進化していると思います。しかし、今我々が目撃しているのは、外国の犯罪者たちによる画期的なレベルの成功です。外国の犯罪者からのハッキング自体は新しいものではありませんが、現在、彼らは飛躍的な成功を収めており、手口も革新的です。以前は、ハッカーたちはターゲットを攻撃して、暗号化されたクレジットカード情報を盗むだけでした。今では、販売店のターミナルに侵入して、クレジットカード情報が暗号化される10ミリ秒前にそれを盗みます。これは単なる「進化」以上のものです。成功したハッカーたちがエコシステムを形成しデータを共有すれば、かつてないほどのダメージをもたらすでしょう。

── ビジネス界にはどのような影響がありますか？

ほとんどの犯罪は経済的なところに動機があります。しかし、経済的ダメージにも2種類あります。直接な損失と、ブランドへのダメージです。Target社（米国の大手量販店）はハッキングによって経済的な損失を被りました。クレジットカードが勝手に使われても、それはあくまで犯罪者と銀行の間の問題です。Target社は負債を負いません。しかし、同社は事件の調査と訴訟、その他の損害の埋め合わせに何億円もを費やすことになります。直接の被害がなくとも、多大な経済的損失を被るのです。

大企業の多くは多少の損害には耐えられるでしょう。しかし、ブランドに対するダメージや、失った顧客の信頼を回復するのには何年もかかります。例えば、eBayによると、ハッカーが盗んだ顧客データのほとんどは暗号化されていたそうです。つまり、犯罪者ができることは非常に限られます。しかし、米国の大半の人は、その意味がわからず、今後eBayを使うのをためらうでしょう。顧客の信頼は、1回のデータ流出で簡単に失われます。そして、一度失った信頼は簡単には戻りません。

── 自分のデータが流出したら気づきますか？

まったく気づかないでしょう。例えば、英国航空や、UPS、Booking.comなどから旅行日程表が送られてきたとします。あなたは、メールをクリックして添付ファイルを開きながら、配偶者に電話をかけます。「南フランスへの旅行を予約したの？」あわててクレジットカード会社に照会しても、そんな取引情報はないと言われるだけです。基本的に、犯罪者に情報を盗まれてもあなたは気づきません。ただし、ひとつだけ例外があります。昨年の9月に登場した「CryptoLocker」と呼ばれる新しいマルウェアです。クリックすると翌日、こんなメッセージがポップアップ表示されます。「あなたのハードウェアを暗号化しました。元に戻したければビットコインで400ドル送金ししてください」

ハッカーとの戦いに終わりは見えないのかもしれません。

The State of Cybersecurity: Hackers Are Having 'Breakthrough Levels of Success'｜Inc.

Will Yakowicz（訳：伊藤貴之）