ハック攻撃

ソーシャルネットワーキングは、ハクティヴィストがウェブの破壊行為をするのをけしかける。より少ないが、サイバー泥棒も同じ技術を採用している

じゃあ今日は誰をハックする?銀行、ウェブサイト、会社、もしかしたら政府機関があなたを間違った道にこすりつけるのか?ハクティヴィスト集団のLulzSecは要求する。もしかしたらあなたは個人的な支出水準を上げるために盗まれたクレジットカードアカウントを得たいと思ったり、業務上の支払いの受取を業者からあなたへ変えてしまうようなマルウェアを買いたいと思ったりするかもしれない。Zeusと呼ばれるマルウェアの販売者はそれを売ることができるだけではなく、顧客支援もする。ハッキングはサービス、娯楽業になっており、その質と量はかつてないほどだ。

ハクティヴィストやプランクティヴィスト空想家、そしてマルウェアの開発者は簡単に会社や政府のおよそ2,000のネットワークセキュリティゲートをだんだんすり抜けている。その中で最も大きなハックは、ソニーのプレイステーションのネットワークを撃ち落としたものだ。アノニマスという政治的動機を持った集団を特定したものがおり、スペインの当局は何人かのメンバーと思われるものを逮捕した。しかしアノニマスは、我々ではない、と語った。

ソニーがついにサーヴィスを回復したと発表したとき、浮かれたハッカー集団のLulzSecはそのサイトを通してソニー・ピクチャーズなどを踏み荒らし始めた。LulzSecはウェブセキュリティの穴を指摘しているのだが、SQLインジェクションと呼ばれる手法を使い、それについてツイートした。「我々はすべてを調査した。なぜそのような簡単な攻撃に身を晒している会社にそうした信頼を置くことができるのか?」それはそれからBethesdaソフトワークスやMinecraftといったゲーム会社に押し入っている。それはCIAのウェブサイトを異常停止させるのに分散型サーヴィス拒否攻撃と呼ばれる手法を使った。それはシティバンクから口座情報にアクセスした。

LulzSecは目立つためのハッカーかもしれない。それは最近自分自身を削除したと発表したからだ。しかしそれは最も悪意のあるものではない。ブラックハットという犯罪側で腕を示している者たちが、似たような手法を採用することによって盛り上がっている。サイバー泥棒はソーシャルネットワークに目先を移している。会社のファイアーウォールに真っ向から攻撃を仕掛けるかわりに、彼らは会社内の誰かに友達や仲間としてメールを送るよう説得するという社会工学を使って会社のサイトを突破する。それはスピアフィッシングと呼ばれる手法で、人事や財務といった脆弱な目標を狙い、彼らを使って会社のネットワークを掘り進むという考えだ。彼らは中小企業を子羊の中の狼のように大いに飲み食いする。

そしてまた、国家によって本当のサイバーウォーが行われている。連邦政府監査院の情報セキュリティ部門によるとアメリカの連邦当局からのサイバーセキュリティ事件の報告は過去5年間で660%増えており、2010年には41,776件に達したという。国防省(DOD)のネットワークは毎日何百万回も探りを入れられている。100以上の外国情報機関がDODネットワークかその軍事契約者に侵入しようと試みている。その攻撃はAPTsまたは進歩した持続的脅威とみなされている。少なくとも一人はロッキード・マーチン経由でペンタゴンに侵入した。それは、多くの会社がコンピューターネットワークのアクセス制御に使っているランダムな番号発生装置のRSAセキュリティトークンを砕いたものだった。

専門家にとっては、これはかつてITを守っていた古い技術が過ぎ去ったというある兆候に過ぎない。「ユーザーネームのパスワードは今では破られる。それらはそれらが最初に始まった時のようではない。」とITセキュリティ会社のエントラストのCEOビル・コナーは語る。「トークンは長い間そこにあった。ひとつの鍵メーカーは今では破られた。トークンすらもいくつかの新時代のサイバー犯罪には効果がない。」
 

新たな脅威マトリックス

それは全体的に異なった脅威マトリックスがウェブ上で沸騰するという結果になっている。かつてくらい隠れ家で動いていたハッカーの共同体は、その外面を破って、ソーシャルネットワークを抱え込み、法律や他のすべての方向に拡大するためにそれをそれを利用した。「我々が見ているものは、技術改善を超えている。」とウェブセキュリティ会社のアイアンキーの社長デイヴ・ジェヴァンズは語る。「彼らは(ネットワークを介して)人々を寄せ集め、我々が今まで見てきたよりも洗練された攻撃を作り出すために社会的要素を持つ。それが加速している要因だ。」

そしてそれは、もはやナイジェリアのスパマーや旧ソ連のコンピューターマニアだけではない。前四半期にITセキュリティ会社のAVGは世界中の様々なハッカーによって利用されている約700の指令制御サーヴァー(ボットネット(感染したコンピューターのネットワーク)に感染したコンピューターに乗っ取られたサーヴァー)につながったハック攻撃をたどった。「ハッカーのうち30%はアメリカにいる。」AVGのCEOJ.R.スミスは語る。「医療データやビジネスデータといったデータが盗まれるのを見るのはショッキングな経験だ。盗まれたデータの量は、絶え間なく増えている。」泥棒たちが携帯電話にまで広がっているので、彼のビジネスがあるのだ。スミスは、彼の会社が毎日10,000の悪意ある携帯アプリを防いでいると語る。

LulzSecとアノニマスは、我々が会社や組織に委ねたデータは我々が望むほどには安全ではないと、整然と警告することによって証明している。もし情報のプライヴァシーが我々の優先的な関心でなかったなら、今ではそれは最優先になっている。アノニマスは4chanという投稿者がよくアノニマスと署名していた周辺的なウェブサイトから進化し、マスターカードやアマゾン、ペイパルをウィキリークスがアメリカ外電の発見物を公表したときにその口座を削除したとして攻撃したことによりハックの勢力として賞賛を浴びた。LulzSecはアノニマスのメンバーの分派であると考えられている。

LulzSecまたはLulz Securityという名前は、大声で笑うの略語であるLOLをもじった洒落で、それはLulzSecがネットワーク上でしている(それは、lulzのためにそれをすると主張する)ことだ。そのメンバーはFBIの提携サイトをハックするほどの腕前を持ち、LulzSecによれば、それはいつもツウィートしながらなのだが、その利用者情報も漏らしたという。あるITセキュリティ会社がそのウェブサイトをハックしたものに10,000ドルの懸賞をかけたとき、LulzSecはそれを破り、賞金を拒絶した。

しかし、LulzSecはそのロビン・フッドのような仮面をより無法な活動のために脱ぎ捨てるかもしれない。最近、それはツウィッター上で、データを盗み、共有するためにアノニマスとチームを組んだと発表した。アンチセキュリティ作戦(#AntiSec)を公表して、LulzSecは「電子メールのすポールや文書を含んだ、どんな機密の政府情報でも盗み、漏らす。最初の目標は銀行や他のランクの高い組織だ。」という計画を言明した。

1,000個目のツイートの後に出した手紙の中で、LulzSecはその哲学のかけらを説明した。「はい、はい、すべてを完全な型で発表することは、アカウントが盗まれ悪用されることを考えれば単なる悪だ、という議論は常にある。しかし、ようこそ2011年へ。ここはlulzトカゲの時代だ。我々はそれが面白いと思ったらそれをやるのだ。」今のところ、カウンターハッカーがLulzSecのメンバーを突き止めると断言している。

ソニーはそのプレイステーションネットワークが4月20日に閉鎖されたとき、ハッキングを特に面白いとは思わなかった。1ヶ月以上も前から、ソニーはそのファン以外の約1億人のプレイヤーをほったらかして、そして疑いなく親にその子供へより注意を払うよう、そしてその逆もまた同じように、強いた。それはソニーが6月のはじめに1.73億ドルかけてそれを再開するまで続いた。プレイステーションネットワークは、LulzSecがソニーの全世界の10,000以上のウェブサイトの多くを樽に詰めたとき、ほとんど活動再開しようとしていた。しかし、セガのサイトが正体不明の侵入者にハックされたとき、LulzSecは容疑者を特定するというサインを出した。

LulzSec狙いはソニーで、そのインターネットセキュリティは十分ではなく、それは名指しされ、辱められるべきものだった。ソニー内部では、失望と怒りが同じくらいの反応だった。それは、プレイステーションの持ち主が巡航ミサイルを絶滅危惧種の動物に向けて発射するといったようなものではなかった。プレイステーションネットワークは自発的に情報を分かち合う共同体だった。それはある程度の秩序だった行動に頼っていた。LulzSecはナンセンスだといった。

ブラックハットは勝っている

それと同じ発表で、LulzSecはまたそれが気づいていなかったことについて大衆に警告した。銀行や事業者、そして個人に対する日々のハッキング事件はITセキュリティ専門家がしぶしぶ認めるように、素早く成長している。ブラックハットのハッカーたちは、ソーシャルネットワークに適合し、悪のエコシステムを打ち立てる一方で、その脆弱性をデータや金を盗むために悪用している。彼らの道具には、社会工学技術があり、騙してパスワードを打ち明けさせる。彼らのマルウェアは、良くなっており、ボットネットはあなたのウェブトラフィックの方向を変える「真ん中の男」の枠組のように成長している。

ハッカーが専門とする新しいプラグアンドプレイ環境があり、他の専門家と必要に応じてつながり、様々なものやサーヴィスを提供する。利用可能な生産物の一部を使うのにハッカーになる必要すらない。それには年中無休の顧客支援がある。ゼウスのようなマルウェア団体は、ボットネットを生産し、あなたにコンピュータシステムに侵入し、それを感染させることができるようにする。個人の銀行口座をハックできるようにカスタマイズできるボットネットコードのある部分を獲得できる。盗んだお金を転送する口座を開くために「ロバ」は必要か?そのサーヴィスはそれも提供できる。「ここにはすべての供給網がある。」AVGのスミス氏は語る。「それを開発した男たちは、更新し、それを使う。そして人々は金を得なければならない。その男たちを見つけるのは難しい。」

警官がそれを見ていないわけではない。2010年の9月にサーバー犯罪の輪への関与でアメリカが70人を罰したとき、ゼウスは大きな打撃を受けた。その反応は、他のボットネットメーカーのスパイアイと合併することだった。他の合併と同じように、ポイントは効率性と利益を改善することだ。例えば、くっついたゼウス−スパイアイは「真ん中のブラウザ」と呼ばれるより破壊力のあるボットを作り、利用者が銀行に送ったデータを泥棒が操作できるようにした。銀行は、利用者が送金するときに6回の承認を行うかもしれない。銀行が6回の承認を確認したとき、ブラウザは邪魔をし、利用者に一つだけを見せる。

ハッカーは中小企業は大企業より脆弱だということを発見した。中小企業は、大企業ならもし選べば打ち立てることができる費用の掛かる防御手段を取る余裕がない。リスクは同じように大きい。もし誰かがあなたの個人的な銀行口座をハックしたら、あなたはすべてを行うことができる。しかし、多くの州ではもし誰かが事業用のハックして銀行が標準的なセキュリティプロトコルに従っていたら、その事業が金づるになるよう規制している。

そのうえハッキングはあなたのことを忘れていない。ウェブがフェイスブックやリンクトインで分かち合うことを勧められる一方で、それらのネットワークは問題の砲門になっている。間違った人と友達になり、その知らない友達が推薦するウェブサイトへ行くと、問題に巻き込まれるよ、相棒。クーブフェイスと呼ばれるフェイスブックのバグはあなたのアカウントを乗っ取るものだが、毎日何百万ものアカウントに感染していると、アイアンキーのジェヴァンズは語る。リンクトインに関しては、彼が語るには、「私はリンクトインが行っている鍵を信頼している。」

ハッカーたちはまたソーシャルネットワークサイトから得たデータを使って会社やウェブサイトに侵入できる信頼できる個人証明を打ち立てることができる。あなたがフェイスブックアカウントを持っていなくても、インターポールのトップに起こったように、誰かがあなたのアカウントを作ることができる。

カウンターハック

もちろん善人もじっと立っているわけではない。今焦点を当てているのは、様々な安全層により個人の電子メールとブラウザを他のネットワークから切り離すことだ。会社はまた、そのファイアーウォールを超えて在宅勤務する従業員や増大するiPadなどのタブレットコンピューターといった携帯端末からの脅威から守る方法を理解している。それまで、会社や政府機関は、ドアにしっかりと鍵をかけ、既定の設定を変え、スピアーフィッシングや社会工学から身を守るよう従業員を訓練するよう助言されてきた。

我々は、計算能力が18ヶ月で倍になるというムーアの法則の点で考えている。しかし、「ハッカーたちは毎日考えている。」エントラストのコナーは語る。自分自身で身を守れることがある。ただパスワードを変えるだけではなく、意味のある抑止となるよう長く複雑なものにすることだ。しかし、より基本的なレヴェルでは、あなたが知っているかも、そして知らないかもしれない人たちと多くを分かち合いすぎず、あなたが知っていると思う人についてももう少し注意深くなることだ。それにより、ソーシャルネットワークから少し疎外されるかもしれないが、より安全だ。

「大事なことは、社会的になっているということだ。Lulzを見てみれば、ハッキンググループがp.r.オフィスやツウィッターアカウント、そしてリクエストラインを持っているということを信じられるだろうか?」ジェヴァンズは尋ねる。「それは狂っている。それは、自分たちがそうする資格があると思っている人たちに全く新しい文化を作っている。」

それは、LulzSecが感じていることだが、ショーは終わるかもしれない。その州の「反移民」法に抵抗するためにアリゾナの公共安全局をハックした後、LulzSecはその終わりを発表した。「我々は望み、欲し、頼みすらする。その行動宣言が我々無しで続いて革命となることを。」グループはそのウェブサイトに投稿した。「ほんの短期間で我々が集めた支持は本当に圧倒的で、言うまでもなく打ち負かした。止めないでほしい。」

ハッカーたちが生まれる割合を見れば、それは起こりそうもない。

発行日: 
2011-07-11
雑誌名: 
記事区分: 
主地域: 
主カテゴリー: 
キーワード: 
0
まだ投票はありません

コメント

コメントを追加