現在、「犯罪のビジネス化」「アンダーグラウンドサービス」といった言葉を聞いたことがあるでしょうか?世界的に問題視されている状況を指す言葉です。近年サイバー攻撃は、愉快犯による攻撃や嫌がらせではなく、金銭的利益を得るためのビジネスとして発展しています。
本記事では、犯罪のビジネス化の概要と背景、企業が注意すべき脅威とその対策例について解説します。企業のセキュリティ担当者の方はぜひ参考にしてみてください。
犯罪のビジネス化とは?
犯罪のビジネス化(アンダーグラウンドサービス)とは、サイバー攻撃が金銭的な利益を得るための手段と化し、そのための仕組みが生まれている現状を指す言葉です。従来のサイバー攻撃は、個人が自分のスキルを披露するために行われていたり、攻撃対象となる企業や個人への嫌がらせのために行われていることが多く、ビジネスとしての側面はあまり強くありませんでした。しかし近年では、サイバー攻撃は金銭的な利益を得るための手段、つまりビジネスとなりつつあります。
犯罪のビジネス化は「アンダーグラウンドサービス」「アンダーグラウンドビジネス」とも呼ばれています。「アンダーグラウンド」とは、Webの中でも公にならず、違法性の高い情報やソフトウェアなどのやり取りが行われている領域を指す言葉です。著作権上問題のある情報やソフトウェアを公開していたり、違法性のある情報の公開・売買が行われており、「闇市場(アンダーグラウンドマーケット)」と呼ばれる市場を形成しています。こうしたアンダーグラウンドの中で犯罪のビジネス化が進んでいることから、アンダーグラウンドサービス(ビジネス)と呼称されています。
なぜサイバー攻撃のビジネス化が進むのか?
サイバー攻撃のビジネス化は、以前よりも活発化しつつあります。例えば、IPAが発表している「情報セキュリティ10大脅威2023」でも、前年までは圏外だった「犯罪のビジネス化(アンダーグラウンドサービス)」が、組織向け脅威の第10位にランクインしています。
参照:情報セキュリティ10大脅威|IPA
それでは、なぜサイバー攻撃のビジネス化が進んでいるのでしょうか?
サイバー攻撃のビジネス化が進んでいる背景として、情報が大きな金銭的価値を有する時代になった、という点が指摘されます。暗号資産はその典型例で、情報そのものが大きな金銭的価値を持つようになっています。また、個人情報をはじめとする機密情報など、企業が保有する情報資産も増えたことも原因として想定できるでしょう。情報が金銭的価値に直結する時代になったからこそ、サイバー攻撃をビジネスとして悪用する動きが生まれているのです。
個人の技術に依存しない攻撃の仕組みが確立されている、ということも原因として考えられます。個人でハッキングスキルを身につけたりマルウェアを開発したりせずとも、ツールやマルウェアを手に入れて利用できる、というのがサイバー攻撃の現状です。買い手がいて需要があるため、開発者はさらに利益を得るためにツールやマルウェアを開発し、購入した攻撃者がさらにサイバー攻撃を試みる、という現状が指摘されています。
企業が注意すべきアンダーグラウンドサービスの脅威
アンダーグラウンドサービスによるサイバー攻撃の標的になりやすいのは、個人よりも企業です。企業の方が価値の高い情報資産を数多く保有しており、金銭的な利益も得やすいためです。
アンダーグラウンドサービスが発達しているということは、より多くの人がマルウェアやツールを使ったサイバー攻撃を仕掛けられるようになっている、ということでもあります。そのため、企業は今までよりも一層セキュリティ対策に力を入れなければなりません。
それでは、企業はどのような脅威に注意するべきなのでしょうか。例えば、企業が標的となって大規模な被害が発生している脅威として、「ランサムウェア」があります。IPA「情報セキュリティ10大脅威2023」でも、ランサムウェアは前年に引き続いて第1位にランクインしています。ランサムウェアはマルウェアの一種で、侵入したコンピュータやネットワーク内部のデータを暗号化してしまい、復号と引き換えに身代金として金銭を要求します。業務が停止してしまうだけでなく、機密情報を窃取されてしまうケースも多々あるため、二次的な被害につながる危険性の高い脅威です。
ランサムウェアの脅威が拡大している背景には、犯罪のビジネス化も関与しています。「RaaS(Ransomware as a Service)」と言われ、ランサムウェアがアンダーグラウンド市場でサービスとして販売されているのです。トレンドマイクロの調査によれば、RaaSおよび恐喝グループの数、およびその被害にあった企業・組織の数は2021年から2022年でいずれも増加しています。2021年第一四半期に19件だったRaaSおよび恐喝グループの数は、2022年第一四半期には31件に、476件だった被害数は615件に増えています。
参考:2022年第1四半期におけるランサムウェア脅威動向:LockBit、Conti、BlackCatが猛威を振るう|TrendMicro
また、近年日本国内で被害が増えているのが標的型攻撃による情報の窃取です。こちらも、「情報セキュリティ10大脅威2023」の第3位にランクインしています。メールを使ったサイバー攻撃は古典的なものとして考えられてきましたが、最近では特定の企業を狙った件名・文面のメールを使った攻撃が多数報告されています。
例えば、2015年に日本年金機構が被害に遭った事例は、標的型攻撃メールによるものです。業務用メールアドレス宛てに送られた標的型攻撃メールの添付ファイルの開封や、URLリンク先のファイルのダウンロードが原因となり、125万件分の個人情報流出が確認されています。
参考:不正アクセスによる情報流出事案に関する調査結果報告|日本年金機構
こうした脅威に対抗するために、企業はどのような対策をとるべきなのでしょう。例えば、ランサムウェアの侵入経路は様々で、メールの添付ファイルを通じて感染するケースや、悪意のあるサイトの閲覧、古いネットワーク機器の脆弱性などが想定されます。IT機器の管理と整備、セキュリティソフトやWAFの導入といった対策が必要です。メールを使ったサイバー攻撃も依然として多数報告されているため、メールセキュリティソフトの導入や従業員へのセキュリティ教育の徹底といった対策が求められています。
まとめ
この記事では、犯罪のビジネス化について解説してきました。サイバー攻撃は近年、金銭的な利益を得るための行為になりつつあり、より効率的・組織的に利益を得るための仕組みが確立されつつあります。マルウェアやサイバー攻撃用のツールが開発・販売され、高度なスキルを持たない人でもサイバー攻撃に加担できたり、攻撃者を養成するための組織の活動も確認されています。
情報資産が大きな価値を持つようになった現代において、企業はビジネス化するサイバー攻撃の標的となっています。ランサムウェアや標的型攻撃といった被害の大きな攻撃に対抗するためには、厳重なセキュリティ対策を実施して日々アップデートさせていく必要があります。とは言え、一企業で効果的なセキュリティ対策を実施するのは簡単ではなく、不備が生じる恐れもあります。専門のセキュリティベンダーに依頼し、対策の提案や診断などを実施してもらうことをおすすめします。
