最大の脅威は、金銭的動機付けのあるサイバー犯罪

　ガートナー セキュリティ＆リスク・マネジメント サミット 2011で登壇したガートナー リサーチ バイス プレジデント 兼 最上級アナリスト ジョン・ペスカトーレ氏は、脅威には3つの要素があると指摘する。第一に攻撃を仕掛ける側が存在すること、第二に受ける側が脆弱性を有すること、そして第三に仕掛ける側が行動を起こすことだ。

「これらの要素が重なった時、攻撃を受ける側に被害が発生することになる」（ペスカトーレ氏）。

　こうした脅威は、テクノロジーやビジネス・プロセスなどに何か変化が起こった時、生まれる可能性がある。また世の中が新たな転換点を迎えた時にも、やはり脅威が生まれる危険性は高まる。

「脅威はインターネットを介して、あっという間に広がって行く。企業側のITセキュリティのアーキテクチャもまた、迅速に対応できるようにしなければならない」（ペスカトーレ氏）。

　たとえば、3つの要素の1つである攻撃者を見た時、その性質は時間の経過とともに大きく変わってきているという。最初は「実験」レベル、たとえば大学生が外部に攻撃を仕掛けることができるかどうかを試している段階だ。これが次に、あるサイトに損害を与えようとする「破壊行為」のレベルへと移行する。ただし攻撃者にとっては単なる楽しみで、金銭的なメリットにつながるものではない。その後、政治的な動機で攻撃を起こすという「ハクティビズム」が起こった。動物の権利を擁護する団体が漁業関係者のサイトを攻撃するようなケースも含まれる。

　しかし攻撃の受け手に大きな損害を与え、さらに件数が増えているのは、金銭的な動機付けがある「サイバー犯罪」だ。攻撃者は、セキュリティパッチが提供される前に脆弱性を持つソフトウェアに攻撃を仕掛けるゼロデイ攻撃などを行い、データや情報を盗んで販売する。

　さらには今後、国対国という図式で、インターネットやサイバースペースを通じての「情報戦争」も起こり得ると指摘する。

「企業に最も大きな損害をもたらす脅威は、いうまでもなくサイバー犯罪だ。これは日本や米国、欧州に限らず、グローバルレベルで当てはまる」（ペスカトーレ氏）。

　マルウェア（悪意あるソフトウェア）に感染しているPCは世界中に数多く散らばっている。たとえば日本企業を攻撃したいという場合、感染したPCのある他の国から簡単に行うことができる。これは他国の企業にとっても同様だ。

「攻撃者がそこまでするのは、やはり“大金を稼ぐことができる”からだ」（ペスカトーレ氏）。

　シマンテックの調査結果によれば、2008年～2009年の2年間で、攻撃者にとって一番魅力的な情報はクレジットカード情報だった。1情報あたり0.85～30ドルでやり取りされ、与信枠の高いものほど高値が付く。また電子メールのアドレスはMB単位の値付けで、1MBあたり1.70ドル～15ドル。

　そして現在、どんどん“人気”が上昇しているのが、Webサイトの管理者権限情報だという。たとえばボットネットによる攻撃は、まずWebサイトが対象となり、サイトにアクセスする人を待って感染する。そこでもし管理者権限が得られれば、より多くのマシンを感染させることができる。

「そのためWebサイト管理者のログインパスワードのような情報ともなれば、1つだけでもかなりの高額になることも珍しくないようだ」（ペスカトーレ氏）。

【次ページ】将来の脅威を予測したセキュリティ対策とは？