はじめに

だれもが、コンピュータウイルスについて知っていると思われているかもしれません。あるいは、そう思い込んでいます。

約 30年前に、最初のコンピュータウイルスが登場しました。Elk Cloner (エルク・クローナ) と呼ばれるもので、コンピュータが 50回起動すると、短い詩を表示するようになっていました。それ以来、メールウイルス、トロイの木馬、インターネットワーム、スパイウェア、キーロガーなど、何百万件ものウイルスやマルウェアが出現し、世界中に蔓延して注目を集めてきました。

多くの人々は、ウイルスを不適切な画面表示やファイルを削除するものとして把握しています。マルウェアは、悪ふざけや妨害行為をするものと一般に考えられています。1990年代初期には、Michelangelo ウイルスが世界中にパニックを引き起こしました。2000年に入ってからは、SoBig-F ウイルスが何百万台ものコンピュータに感染し、特定時刻に未知のプログラムを Web サイトからダウンロードするように、コンピュータに設定しました。ウイルス対策ベンダーは、影響を最小限に抑えるために、インターネットサービスプロバイダ (ISP) にサーバーのシャットダウンを要請しました。「インデペンスデイ」のようなハリウッド映画では、ウイルス攻撃に対して、スクリーンをフラッシュさせたり、アラームを鳴らしたりしています。

しかし、上記ウイルスのイメージと今日のセキュリティ脅威の間には、大きな隔たりがあります。

現代の脅威は、目立たず、攻撃対象を絞り、混乱を引き起こすよりは、金銭的利益を得ることを目的としています。

今日のマルウェアが、ハードディスクを削除したり、スプレッドシートを破損したり、メッセージを表示したりすることはほとんどありません。このような行為にとって代わりつつあるのが、Web を悪用した利益目的の行為です。最近発見されたウイルスは、ユーザーのファイル全てを勝手に暗号化し、復号化するには、お金を支払えと金銭を要求してきます。

あるいは、大企業の Web サイトをハイジャックし、顧客のアクセスを妨害する「サービス拒否」攻撃を仕掛けると恐喝します。

しかし、ウイルスが明らかな破損を引き起こしたり、その存在を自ら知らせることはめったにありません。その代わり、ウイルスは気づかれないようにキーロガーをインストールします。これは、ユーザーがオンライン銀行のサイトを開くまで待機し、銀行口座の詳細とパスワードを記録して、情報をインターネット経由でサイバー犯罪者に送信します。

サイバー犯罪者は金銭を得るために、この情報を利用して偽のクレジットカードを作成したり、銀行口座に侵入したりします。被害者は、コンピュータの感染にほとんど気づきません。ウイルスは目的を達成した後、検出を避けるために自身を消去します。

最近の傾向として、マルウェアがコンピュータを占拠して、コンピュータが遠隔操作の可能な「ゾンビ」化することがあります。そして、ユーザーが知らないうちに、ゾンビ化されたコンピュータは、利益目的で何十万ものスパムメールをリレー送信したり、多くのコンピュータユーザーにマルウェア攻撃を仕掛けます。

Facebook や Twitter のようなソーシャルネットワークの人気が高まるにつれ、サイバー犯罪者は、感染したコンピュータから個人情報を盗む新しい方法を見つけるために、これらのシステムを悪用し始めています。

サイバー犯罪者は、もはや、大勢のユーザーを攻撃対象にはしていません。このような人目につく攻撃は世間の不要な注目を浴び、報告されたマルウェアは、ウイルス対策ベンダーによってすぐに無力化されてしまうからです。さらに、大規模な悪用は、ハッカーが処理できる以上の量の盗難データをもたらします。したがって、攻撃者は脅威の対象を、注意深く絞り込むようになってきています。

「スピア型フィッシング」はその一例です。本来、「フィッシング」は、銀行から送信されたように見えるメールを大量に送信し、顧客に機密情報を再登録するように促して、その登録情報を盗みました。しかし、スピア型フィッシングでは、1つの組織内の少人数の人々にターゲットを絞っています。メールは信頼できる組織内の同僚から送信されたように見えて、パスワード情報を尋ねてきます。攻撃の原則は同じです。しかし、被害者がメッセージを社内から送信されたものと考えて油断するため、攻撃はより成功しやすくなります。

気づかれずに攻撃対象を最小限に絞る: これが現代のセキュリティ脅威の進化していく方向と考えられます。

脅威は今後、どうなっていくでしょうか?セキュリティ脅威がどのように進化していくのかを予測するのは、ほとんど不可能です。今後、ウイルスが数百種以上に増えることはないと考える専門家もいます。また、マイクロソフトの Bill Gates は、2006年までにスパム問題は解決すると宣言しました。将来、脅威がどこから出現して、どれほど深刻になるのか、わかりません。しかし、金銭的な利益取得の機会があれば、ハッカーや犯罪者は、いつでもデータにアクセスして悪用しようとすることだけは明らかです。