日々メディアを賑わせるサイバー攻撃に関するニュース。
（私たちの立場としては、ようやく取り上げてもらえるようになったという思いもあります）

「A社で1万人の個人情報が漏えいしました」
「Bというソフトウェアに脆弱性が見つかりました」

これらは、多くの方が現実に起こっていることを知り、備えていくために重要な情報です。
しかし、それだけでは推し量ることのできない思惑の向こう側にサイバー攻撃の実情があります。

私は、サイバーセキュリティ企業への投資や経営に参画することで、2017年1月現在34ヶ国の金融機関や通信会社をはじめとした企業や政府、研究機関などにその技術を提供することで、サイバー空間の現実を見続けています。
サイバーテロやサイバー犯罪など、サイバー空間の脅威は日々巧妙かつ大規模化してきており、このことをどこかでお聞きになられたことがある方もいらっしゃるかもしれません。

実際、私どもで運営するオペレーションセンターからもこのことを如実に表す変化を感じ取っています。
攻撃元のロケーションは巧妙に偽装されており、真に正確なものだけではないにしても、「月金9時5時（月曜日から金曜日の、朝9時から夕方5時の間）」のタイムゾーンにあるロケーションからの攻撃が明確に多い現状が読み取れます。

この傾向はこの10年、特に顕著になってきており、それ以前は平日であれば深夜、もしくは休日に多く行われていたサイバー攻撃とは、全く逆のパターンを示しています。

つまり、このことは主に技術に対する探究心や自己顕示欲「など」を動機として、会社や学校から帰宅した後に愉快犯的に行われていたサイバー攻撃が、何者かの指示や依頼の元に金銭授受を伴った経済活動へと変遷してきているということを端的に物語っています。

当然、サイバー攻撃を行う時間帯の変化のみから、このような解を導き出すことは不可能です。
そこで、この特集ではサイバー攻撃とその周辺で起こっていることを通して技術論に終始することなく、徐々にサイバー空間の現実を解き明かしていきたいと思います。

サイバー犯罪の代理人

2014年に米国では女子高生のPCカメラをハッキングし、覗き見をしていた10代の学生が逮捕されました。
最近ではPCやスマホのカメラがハッキングされる事例も増えており、facebook社CEOのマーク・ザッカーバーグ氏のPCカメラにも目隠し用のテープが貼られているということが2016年には話題になりました。

しかし、カメラの乗っ取りは覗き見だけが目的なのでしょうか？

2016年10月に米国で、通販サイトのAmazonや、動画配信サイトのNetflixはじめ、Twitter、Spotify、PayPalなどのサービスが突如利用できなくなるという事件が発生しました。
これは各社が利用しているDNSサービスを提供しているDyn（ダイン）という会社が、DDoS（ディードス）攻撃を受けたために、同社のサービスが停止してしまったことによるものでした。
この時のDDoS攻撃では、50万台の機器と数千万件のIPアドレスを用いることで、Dynのサーバにアクセスを集中させ、Dynのサーバがダウンしてしまいました。

この事件でのトラフィック量は公表されていませんが、1ヶ月前に同様の手口で被害を受けたブログサイトのKrebs on Securityでは620ギガビット/秒（Gbps）、仏ホスティング会社のOVHでは1テラビット/秒（Tbps）（＝1000ギガビット/秒）のトラフィックがありましたので、同程度かそれ以上の攻撃を受けたのではないかと言われています。
これまで史上最大のDDoS攻撃と言われていたものが300ギガビット/秒〜400ギガビット/秒であったことからも、今回の攻撃がどれだけ大規模なものであったかを感じていただけるかと思います。

しかしながら、620ギガビット/秒や1テラビット/秒（＝1000ギガビット/秒）と言われてもあまりピンとこない数字ではありますので、何かと比較してみましょう。

2016年度の総務省の発表によると、モバイル端末による月間のダウンロードトラフィックが1.1テラビット/秒（＝1100ギガビット/秒）とのことです。
つまり、北海道から沖縄まで日本中の携帯電話で1ヶ月間にダウンロードされたトラフィックに匹敵する量のアクセスが、1社のサーバに6時間以上も集中したとイメージしていただけますと、どれだけ驚異的な出来事だったのか少しお分かりになっていただけるかもしれません。

サイバー犯罪の代理人の正体とは？

では、Dyn社を襲った50万台の機器とは何だったのでしょうか？

これは、WEBカメラやネットワーク対応のビデオレコーダーなど50万台のIoT機器がボット化し、まるでゾンビ映画のように、乗っ取られたIoT機器が一斉に同社を襲ってきたのです。
これらの乗っ取られたIoT機器はLinuxで動作するコンピュータに感染する「Mirai」というマルウェアによってボット化されていました。

このマルウェアのソースコードは同年9月末に突如何者かによってソースコードが公開されましたので、その仕組みを見てみることにしましょう。

まず、このマルウェアではインターネットに接続されたIoT機器を探し出します。
次に、これらのIoT機器に対して複数のIDとパスワードの組み合わせを試行して侵入を試みます。
ここで驚くべきことは、このマルウェアに元々用意されていたIDとパスワードの組み合わせは、たった60パターンしかなかったということです。

そして、この60パターンの内のいずれかの組み合わせであったが故に侵入を許し、乗っ取られてしまったIoT機器のなかの50万台が今回の事件では用いられてしまいました。
既に、世界中では130万台のIoT機器が乗っ取られているという研究者もいます。

そして、乗っ取られた膨大な数のIoT機器は、サイバー犯罪の代理人として、驚異の存在へと変わってしまったのです。

2016年夏に開催されたリオ五輪では、開催の数ヶ月前からIoT機器のマルウェア感染が活発になりはじめ、会期中に発生した約540GbpsのDDoS攻撃もボット化されたIoT機器によるものだったと、米国のセキュリティ企業・アーバーネットワークス社が調査結果を報告しています。

執筆者

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。 テレビのコメンテーターなどにもアドバイスを行なっている。