身の回りに忍び寄るサイバー攻撃とは

＃８「サイバー攻撃のヤバさにチョ待てよ」の巻

脅威が増していくサイバー攻撃の最新事例

近年、日本がサイバー攻撃の標的になってニュースを騒がせています。２０２１年の東京オリンピック、パラリンピックの期間中に、大会運営に関わるシステムだけでも、サイバー攻撃が４億５千万回もありました。２０２１年１１月には徳島県のとある病院がサイバー攻撃を受けました。およそ８万５千人分の電子カルテが盗まれ、「公開したくなければ、身代金を支払え」と要求されたのです。この病院の医師は、「まさかこんな田舎の病院に来るとは思っていなかった」と言っていました。

サイバー攻撃の標的は大都市やビッグイベントだけでなく、私たちの身近な所まで忍び寄っているのです。アメリカの石油パイプライン会社も２０２１年５月、サイバー攻撃を受け５日間の営業停止に追い込まれました。復旧のため、やむにやまれず身代金およそ４億８０００万円を支払ったことも世界中で大きな話題となりました。

今では全世界でサイバー攻撃の数が、１か月で平均およそ３億件に上り、その被害額はおよそ１１０兆円にもなるという予測もあります。日本でも対策が進められ、警察庁は２０２２年４月に新たに「サイバー特別捜査隊」を発足しました。

サイバー攻撃は、目的や手段もさまざまで、その深い闇と脅威、さらには国家間の恐ろしい戦いまで見ていくと、デジタル化されていく世界のことを、ちょっと真面目に考えたほうがいいかもしれない？という話なんです。

自己増殖を繰り返すプログラム

Q、サイバー攻撃の歴史とは？

きっかけはある大学院生の無邪気な知的好奇心

サイバー攻撃のはじまりは、まったく悪意のなかったものでした。１９８８年、アメリカでコーネル大学の大学院生だったロバート・Ｔ・モリスが、実験用に作った「自己増殖を繰り返すプログラム」を国防総省のコンピューター網に侵入させました。それがエラーを起こしてしまい、回線でつながっていた全米の大学や研究機関、およそ６０００のコンピューターにもプログラムが侵入し一部をマヒさせる事態を引き起こしました。

事件後、大学は「コンピューターに夢中な若者による結果をかえりみない知的な無軌道」と動機に悪意なしと結論付けました。しかしその２年前に制定された「コンピューター犯罪防止法」を初めて適用されるケースとなり、モリスには有罪の判決が下り、この件は「モリスワーム事件」と呼ばれるようになりました。

悪意によってマルウエアがサイバー攻撃に使われるように

ワームとは虫という意味の通り、「自らネットワークの中を走り回って自己増殖し、入り込んだ先で、さまざまな故障を起こす不正プログラム」です。

このモリスワーム事件の最大の罪は、悪意を持ってワームを使えば、他人のＰＣを遠隔から壊すことが出来るということを、世界に知らしめたことでした。

ワーム以外にも、このころから多くの「コンピューターウイルス」や「トロイの木馬」といったユーザーのデバイスに不利益をもたらすプログラムが生まれていきました。近年耳にする「マルウエア」とは、ユーザーのデバイスに不利益をもたらすプログラムの総称のことです。ざっくり言うと、サイバー攻撃をするハッカーにとって、マルウエアが武器で、この武器の技術が進化して、さらにハッカーの悪意が高まれば高まるほど凶悪で強力なモノに錬成されているのです。

ミトニックのハッキング方法

１９９０年代　ハッカーの先駆けミトニックの目的は優越感！？

１９９３年、アメリカの大物ハッカーケビン･ミトニックは、２万人分以上のクレジットカードの暗証番号や数十億ドル以上の価値がある企業秘密を盗みだし「情報社会の脅威」となっていた人物です。

主にミトニックが行っていたのは、ハッキングといわれる「システムへの不法侵入」でした。大抵、機密情報はネットに直接つながっていません。ですがミトニックは、企業や政府の窓口にあるコンピューターから手を付けました。企業内の幾層にも連なるネットワークの壁を、１つ１つＩＤやパスワードを解析して、最深部にある機密情報を手に入れたのです。

おもしろいのが、当時の報道によると、ミトニックの目的はお金ではなく、「頭脳ゲームで優越感にひたること」だったそうです。

ミトニックの目的は頭脳ゲームで優越感に浸ること！？

大物ハッカー・ミトニック　対　日本人セキュリティー専門家

なかなか捕まらなかったミトニックですが、彼にとって人生最大の大勝負がやってくることになりました。その大勝負の相手というのが、当時アメリカでトップクラスのセキュリティー専門家として知られていた日本人の下村努さんです。ミトニックは下村さんのパソコンに侵入して、ハッカー対策の貴重なファイルを盗んだ後、ボイスメッセージを残しました。

その内容がこちらです。

「俺のテクニックの方が、ずっと上だ。俺が誰だかわかるかな？」

自信がありすぎて犯行が大胆すぎますが、下村さんの方がうわてでした。侵入されたパソコン以外に、もう一台パソコンをつないでおり、ミトニックが侵入した記録を全部そちらのパソコンに自動で送信していました。このデータをもとに下村さんは、ＦＢＩに全面協力し一緒にミトニックの潜入経路を猛追跡し、ミトニックの潜伏先を突き止め、逮捕したのです。まだこのころのハッキングは、自分の顕示欲を満たすためだけに行っていた一面もあり、そこまで悪意全開のサイバー攻撃ではない感じでした。

２０００年代　サイバー攻撃は世界中の人々の脅威に

ただ２０００年代に入ると様相が変わります。シティバンクのシステムに侵入し、１０億円を盗み出したウラジミール・レヴィンや、コンピューターウイルスで数百万台のＰＣをコントロールしたオーウェン・ウォーカーなど悪意を持ったハッカーの出現により、サイバー攻撃は、世界中の人々の脅威になっていきました。

サイバー防衛隊　５４０人体制に強化

２０１０年代　サイバー攻撃は国家間戦争の新たな兵器

さらにサイバー攻撃は国家間の戦争においても、新たな兵器として使われることになります。核兵器開発疑惑のあったイランに対して、アメリカはイスラエルと共同で開発したワーム「スタックスネット」で攻撃し、およそ１０００基のウラン濃縮施設の遠心分離機を破壊しました。これにより、イランの核開発を遅らせることに成功したと言われています。

この事件のあと、アメリカのオバマ政権が、「サイバー空間のための国際戦略」を発表し、サイバー空間を陸、海、空、宇宙に次ぐ５番目の戦場と定めました。

また中国は「人民解放軍戦略支援部隊」を結成し、兵士と民間企業合わせておよそ２２万人のサイバー部隊が３交代制で働いているのだそうです。

日本では２０１４年に防衛省が「サイバー防衛隊」を発足させ、２０２２年にその部隊を５４０人に強化し、日夜サイバー攻撃と向き合っています。

サイバー攻撃は民衆の戦いのための道具として使用されることに

権力者と民衆の争いに使われるサイバー攻撃

さらにサイバー攻撃は、ハッカー犯罪や国家間の争いだけではなく、新しい対立軸、権力者と民衆の戦いにも使われるようになっていきました。

２０１０年から２０１１年にかけてチュニジアで起こった民主化運動「ジャスミン革命」では、民主化を求めるデモが発生し、民衆はＳＮＳで参加を呼びかけ、１か月足らずで政権を崩壊に追い込みました。これをきっかけに民主化運動がエジプトにまで広がった時、エジプト政府はデモ抑止として、インターネットの遮断という暴挙に出たのです。

この行動に対して、突如民衆の味方として現れたのが「アノニマス」でした。彼らは「情報の自由を守る」ため政府や企業にサイバー攻撃を行う匿名のハッカー集団です。アメリカの匿名画像掲示板「フォーチャン」のユーザーによるハッカー集団で、特定のリーダーもいないらしいのですが、当時アノニマスは、エジプト政府に対してこんな声明を出しました。

「エジプト政府がインターネット接続を遮断した瞬間から我々は攻撃を開始しました。攻撃は最大で６００人が参加しました。」

アノニマスは、「ＤｏＳ（ドス）攻撃」という、１つの標的に対して大量のデータを送りつけサーバーをダウンさせる、いわゆる集中攻撃を仕掛けたのです。さらに政府の機密情報を盗み出し、暴露すると宣言します。その結果、政府はやむなくインターネットを再開し、彼らの行動は革命成功の手助けとなりました。

ランサムウエアとは？

２０２０年代　個人への悪意あるサイバー攻撃

それから１０年くらい経って、サイバー攻撃のトレンドが大きく変わってきています。近頃のサイバー攻撃のトレンドは、その８割がお金目的で、「ランサムウエア」というワームやトロイの木馬がさらに恐ろしくなったマルウエアが使われています。

ランサムウエアとはランサム（身代金）を要求するマルウエアのことで、感染したパソコンのデータを暗号化して、解除と引き替えに金銭を要求するプログラムです。例えばパソコンを動かなくして、「この日までにお金を払わないと、大事な情報を公開するぞ！」と表示させた後、謎のカウントダウンを始めるのです。

２０２１年１１月に起きた、徳島の病院を休院にまで追い込んだサイバー攻撃の正体も、身代金を要求するランサムウエアでした。同じようなことが世界各国で起こっており「こりゃいかん」という感じで、ついつい払ってしまう人が続出しています。その背景にはハッカー業界で、サイバー攻撃用のソフトをクラウドで提供する闇ビジネスが流行しているからだそうです。

史上最悪のランサムウエア「エモテット」

そんなランサムウエアの中でも、史上最悪と呼ばれているのが「エモテット」になります。メールに添付されたファイルを開くと感染するマルウエアです。情報窃盗に加えてほかのウイルスにも感染させる上に、とてもずるがしこいのです。なんと自分が誰かに送ったメールの返信になりすまして送ってくるのです。さらにこのエモテットの恐ろしいところが、自分で変異を繰り返し、セキュリティーの網をすり抜けるのです。その結果、多くの人がだまされて、２００カ国以上で感染し、被害総額はおよそ２５億ドルに及びました。

なかなか防ぎようがないのですが、エモテットをばらまいた犯罪集団に一矢報いようと立ち上がったのが、「ホワイトハッカー」と呼ばれる善意あるハッカーたちでした。世界中の有志が、「エモテット」の情報共有サイトを立ち上げ、その情報をもとに、潜伏していた犯罪集団の居場所を発見し逮捕につながったそうです。

日本ハッカー協会の杉浦隆幸さん　インタビュー

Q、ネット社会の今、サイバー攻撃は今後どうなる？

いまの私たちの生活にネットは欠かせなくなり、これから身の回りのいろんなモノがさらにネットにつながっていく中、新しいサイバー攻撃はどんなものになっていくのか、日本ハッカー協会の杉浦隆幸さんに聞いてみました。

日本ハッカー協会の杉浦隆幸さん

「ＡＩを使った技術に対してのサイバー攻撃というのが考えられます。自動運転とかに使われている技術もありますので、それを使って事故を起こすとかいうことがおこってきて、問題になってくるかなと思いますね。また、人の心を捜査するようなサイバー攻撃っていうのが発生する可能性があると思っています。その人たちに合ったような内容の情報を与えることによって、その人たちをコントロールする可能性はあると思っています。」

アメリカ史上最悪のハッカーとしてその名を残したケビン・ミトニックは、ＦＢＩからの誘いでホワイトハッカーに転身し、大手セキュリティー会社で日夜サイバー攻撃と戦っています。そんなミトニックは、こんな言葉を残しています。

｢これからのＩoＴ（モノとインターネット）時代においてのサイバー攻撃における脆弱性は、機器ではなく、使う人間の愚かさなんだ｣

こうしてインターネットの誕生とともに生まれたサイバー攻撃との戦いを見てくると、結局、攻撃を行うのは私たち人間なんですよね。そのため人間次第で正義にも悪にもサイバー攻撃は、様相を変えてしまいます。インターネットの利便性は増していくばかりですが、今後は、それに伴うリスクにも目を向けるのが大切なのかもしれませんね。

サイバー攻撃　相関図