攻撃者とエコシステムの観測から見えたサイバー攻撃ビジネスの実態

事例2：IoTのプロキシサービス

　IoT機器を制御したDDoS攻撃に対し、現在注目されているのが、制御したIoT機器を踏み台に用いて他システムを攻撃するという型である。最近は、かなり体系的に行われているとの印象が強いという。

　特に、個人宅のルーターなどを制御しプロキシサービスとして利用する型は、IPアドレスが家庭のものであるため「レジデンシャルプロキシ」とも呼ばれている。家庭のルーターでVPN（仮想私設網）機能を利用し、それを踏み台に攻撃する例もある。海外メーカー製のIoT機器などが悪用されている可能性が確認できている。

事例3：ハニーポットを訪れた人への直接インタビュー

　ハニーポットでは、機械化された攻撃が多数観測されるが、ごく一部に人間による攻撃が存在する。コマンドの入力パターンやタイミングの分析から、訪問者が機械か人間かを判定する。人間だと判定すれば、メッセージを直接送信する。例えば、「私はセキュリティ研究者で、このサーバーは研究目的で運用しています」というメッセージを送り、研究への協力の意向を確認する。これまでに4600万のコネクションから5人との対話が成立したという。

　対話からは、ハニーポットにアクセスする背景や動機、行動など、さまざまな情報が得られる。例えば、ある訪問者は16歳の学生とのことだった。PHPに精通し、辞書攻撃や仮想通貨のマイニング、ボットネットの構築、乗っ取ったサーバーの販売なども行っていた。他の訪問者からは、マルウェアの開発やボットネットの運用、コインマイナーの利用などに関する情報が得られた。

事例4：攻撃者が発信する情報の収集

　サイバー攻撃に関しては多くの情報が公開されている。あるランサムウェアのグループからは、被害者の情報や身代金の要求額といった情報が得られた。身代金の支払いには猶予期間が存在し、その期間が延長されたり、情報が完全に廃棄されたりするための価格も設定されていた。

　攻撃者と被害者間のチャットによるコミュニケーションも観測できた。攻撃者は1億円の要求し、被害者が、その額の妥当性や、実際にデータが奪われたかどうかを確認する様子が観察できた。身代金の交渉や攻撃者に対する反論も見受けられたという。

事例5：仮想通貨の観測

　サイバー犯罪における支払いは、主に仮想通貨で行われている。ビットコインが有名だが、事前に定義されたルールに基づいて取引をブロックチェーン上で実行する「スマートコントラクト」も利用され始めている。サイバー犯罪ビジネスにあって支払いは非常に重要な要素だ。取引を追跡されずに価値を受け取れる仕組みが存在すれば、サイバー攻撃に使用される可能性が十分に考えられる。

生成AI技術も活用しながら継続的な情報収集が必要

　こうした脅威インテリジェンスの収集において昨今はAI（人工知能）技術が重要な役割を果たしている。「膨大な情報量から攻撃に関連するデータを選定・収集するのは困難であり、AI技術の力も借りる必要がある」（吉岡氏）ためだ。

　例えば、Discordを利用した情報収集には生成AI技術に寄るチャットサービス「ChatGPT」が利用できる（図3）。「あるサーバーが悪質かどうかを評価するよう入力すれば、それなりに正確な判断が得られる」（吉岡氏）という。

図3：Discordでの情報収集におけるAIチャットサービス「ChatGPT」の活用イメージ

　一方で、「生成AIで作った画像や音声によって社会を混乱させるような事例や詐欺の存在が確認できるなど、AI技術の悪用例もある」（吉岡氏）

　こうした脅威インテリジェンスの収集は、安全保障の観点からも必要だろう。「攻撃者の弱点を特定し対策を強化すべき箇所が検討できる。そのためには全体の流れを注視しビジネス以外の動機も含めた調査・検討が必要だ」と吉岡氏は強調する。

　そのうえで吉岡氏は、「私たちだけでは、すべてのデータは把握できない。海外や外部の情報に頼る必要もある。だが、それなりの情報を持っていなければ、どの情報に価値があり、どの情報が怪しいのかの判断すらできない。脅威インテリジェンスの収集に興味があれば是非、共に取り組みたい」と協力を呼び掛けた。