産業化し国家と結びつくサイバー犯罪者たち　2022年サイバー空間の脅威予測

2021年12月01日（水）18時01分

OT、サプライチェーン

OT＝産業制御分野でのサイバー攻撃は激化している（ガートナー）。2022年には引き続きOTへの攻撃が拡大し、ランサムウェアを用いるケースが増える。OTはクリティカルな業務で使われることが多く、その中には発電や交通管制など常に稼働させておく必要がある業務も少なくない。そのため、ランサムウェアの脅威はより深刻で効果的である（マンディアント）。

特にサプライチェーンに関係するターゲットは重要になり、2021年に起こったSolarWinds、Codecov、Kaseyaといったサプライチェーンへの攻撃の激化が予測される（チェックポイント）。社会に大きな影響を与えるインフラや設備がランサムウェアなどのターゲットとなることが増える。

国家とサイバー犯罪企業が結びつく（民間企業、商用ツール）

ランサムウェアのアフィリエイトプログラム、エクスプロイトベンダー、商用などの仕組みを利用した悪意のあるオペレーションのアウトソーシングが進み（チェックポイント）、請負業者、マルウェアベンダー、フリーランサーは、サイバー脅威活動の頻度と複雑さを増している。2022年にもこの傾向は継続する。これらを利用することによって国家の支援を受けたテロリストグループや政治活動家は、より高度で広範な攻撃を行うことができるようになる。サイバー攻撃は代理戦争としての側面が強くなり、増加する。

その結果として国家がサイバー犯罪者を攻撃に利用するケースの増加が見込まれる（マカフィー）。たとえば、2021年5月、アメリカ政府は、4人の中国人を起訴した。4人が勤務していた企業は、マルウェアを開発し、ターゲットを攻撃して、ビジネス情報や貿易機密、機密技術に関する情報を得ていた。中国だけでなく、ロシア、北朝鮮、イランなど、他の国々もこのような手法を用いている。

アウトソーシングだけでなく民間企業が開発した監視ソフトウェアの利用が注目されている。悪意あるアクターの攻撃をエミュレートする商用のエクスプロイトツールであるCobalt Strikeのソースコードが漏れ、フルバージョンの海賊盤が攻撃者側に渡った。Cobalt Strikeはサタデーナイト・スペシャルと呼ばれるほどに広く利用されている。その結果、ランサムウェアの事例の多くでCobalt Strikeが利用されることになった（ソフォス）。

共通してはいなかったが、個人的にゼロデイ脆弱性の危険の増大が気になった。

戦略物資としてのゼロデイの危険性が増大

ゼロデイとは、脆弱性＝ソフトウェアやシステムの欠陥が発見されてから対応されるまでの期間を指す言葉である。この期間はその脆弱性を突いた攻撃を防御することが困難なことが多い。脆弱性を発見した場合、通常はしかるべき機関などに連絡し、対応策ができた段階で公開する。しかし、発見した脆弱性を密かに保有していれば強力な武器として使えるため、サイバー犯罪者、各国諜報機関、軍部、ゼロデイ脆弱性を販売する民間企業などが秘匿している。

このようにもともとゼロデイ脆弱性は危険なものだが、その危険性がさらに高まる2つの理由から深まる。ひとつは時間の短縮。脆弱性が公開されてから数時間以内に武器となるエクスプロイトやPOCが登場する（マカフィー）。ふたつ目は戦略物資として秘匿化されることによるリスクだ。アメリカには戦略物資として秘匿化する仕組み＝VEPが存在する。EUにも同様のプロセスEUではGDDPがある。

そして中国も同じものを持つ見込みだ。備蓄されているゼロデイ脆弱性が盗まれる危険がある。もしも漏洩した場合のリスクは大きい。政府機関が備蓄していた脆弱性が漏洩した事例としてはアメリカ中央情報局（CIA）の機密情報Vault7がWikileaksで公開され、ゼロデイ脆弱性を含む多数の情報が漏洩した事件が有名だ。

こうした一連のリスクを抑制するために、シリコンバレーの企業がゼロデイ・ブローカー対策に乗り出している（カスペルスキー）。マイクロソフト、グーグル、シスコ、デルは、フェイスブックとともにNSOに対する訴訟を起こした。

また、米国商務省は、「サイバーツールの売買」を理由に、米国の国家安全保障に反する活動を行ったとして、複数の企業（NSO、Positive Technologies、COSEINC、Candiru）をEntity Listに追加し、ゼロデイ市場に非常に強いシグナルを送った。

変化の意味するもの

各社のレポートから読み取れるのは、サイバー犯罪、攻撃はすでに産業となっており、社会のインフラの一部となっていることだ。そして民間企業がツールの提供を行い、作戦を代行することで、ほんとうの実行者がわかりにくくなっている。もともとサイバー攻撃は相手の正体を突き止めることが困難だが、それがさらに難しくなる。国家が依頼者になることで、民間企業の活動は正当化される。

サイバー犯罪が産業化の初期にはRBN（ロシアン・ビジネス・ネットワーク）の活動が目立っていた。2006年頃からRBNはスパム、ホスティング、EC、オンライン決済などを備えた犯罪プラットフォームに成長し、2010年には世界各地に決済拠点を分散させ、アエロフロートの決済代行まで行うまでになっていた。こうした動きは2012年にはマルウェア産業革命として世界に広がっていた。

2022年の予測をご覧いただいてわかるように、産業化したサイバー犯罪組織はその規模と影響力を増大している。ビッグテックが地政学上のアクターとして国家と並ぶ存在になったように、サイバー犯罪組織もそうなる可能性を秘めている。

それが絵空事でないことはタリバンの政権奪還が証明した。タリバンの裏にはPR企業が存在するという指摘もある。タリバンが他のテロリストや国家と同じく民間企業に作戦を依頼していたとしても不思議ではない。国家規模の作戦遂行能力を持つ企業ならば政権を転覆させることも不可能ではない。

最後に、来年はアメリカ大統領選の中間選挙がある。激しいネット世論操作合戦が繰り広げられることになるのは間違いない。