攻撃者とエコシステムの観測から見えたサイバー攻撃ビジネスの実態

　「サイバー攻撃やマルウェアの活動を観測し注意喚起を活発にしても、セキュリティの脅威は減少するどころか、むしろ増加しているのが現実だ」――。横浜国立大学 大学院環境情報研究院／先端科学高等研究院 教授の吉岡 克成 氏は、こう指摘する（写真1）。

写真1：横浜国立大学 大学院環境情報研究院／先端科学高等研究院 教授の吉岡 克成 氏

　横浜国立大学 サイバーセキュリティ研究機構は2015年から、さまざまなサイバー攻撃やマルウェアの活動を観察し、IoT（Internet of Things：モノのインターネット）機器のメーカーや利用者に対する注意喚起や情報提供によってサイバーハイジーン（公衆衛生）の向上に努めてきた（図1）。

図1：サイバーセキュリティ研究機構による観測の全体像

　サイバーハイジーン対策の一環として、自宅で利用しているルーターなどがマルウェアに感染していないか脆弱性がないかを個人がチェックできるサービスを無償提供している。「am I Infected?」というサイトに必要な情報を入力してもらい、問題が検出されればメールで通知する。2020年2月の開始以降、10万人以上が利用している。

サイバー脅威の観測からわかった攻撃者像

　こうした活動を活発にしても、サイバー攻撃は増加しているのが現実だ。そのためサイバーセキュリティ研究機構は、「攻撃してくる脅威アクターと、その意図の理解に努めている」（吉岡氏）。ダークウェブやTelegram、DiscordといったSNS（ソーシャルネットワーキングサービス）上で、サイバー攻撃のエコシステムを観測し、理解を深める試みだ。そうした観測で判明した事例として吉岡氏は次の5つを紹介する。

事例1：SNS上で観測されたサイバー攻撃の状況

　IoT機器へのマルウェアを収集し動的解析すると、多くは攻撃者のC＆Cサーバーに接続する様子が観測できる。C＆Cサーバーとの通信を模擬するスクリプトを用いることで、攻撃者のサーバーに安全に接続しながら、攻撃者からのさまざまな命令を観測する（図2）。これまでに1万7000検体分を解析し、4400以上の攻撃者のサーバーを監視し、約33万件の命令を受信した。

図2：攻撃者からのコマンド受信

　マルウェアや攻撃者のサーバーを直接観測した結果を基づき、制御サーバーの情報と脅威アクターを紐付ける試みも進行中だ。DDoSの攻撃サービスを提供するアカウントやWebサイトの中には、複数レベルのメンバーシップが提供され、それぞれに個別の攻撃容量と料金を設定するものもある。攻撃サービスの提供者の詳細な自己紹介ページが見つかることもあり、GitHubやゲームアカウントのページが含まれていれば、攻撃者の居住地域や国籍の手がかりが得られるという。

• 次へ

  生成AI技術も活用しながら継続的な情報収集が必要

• 1
• 2