ホワイトハッカーの「闇堕ち」続出?サイバー犯罪組織化は「ヤバい事態」と言えるワケ
「報奨金制度」が危ないワケ
ところで、毎年ラスベガスで開催されるセキュリティカンファレンス「Blackhat USA」の2024年の会議では、ある研究者がランサムウェア関連のWebパネルに侵入し、活動を妨害するという発表があった。この講演は、日本のセキュリティカンファレンスであるCODE BLUE 2024でも行われたので知っている人もいるだろう。 平均的なセキュリティ研究者は、攻撃者のコミュニティをウォッチすることはあるが、システムに侵入するまでは行わない。しかし、法整備が進み、防御側(あるいは当局)が、ポートスキャンやハニーポット以上のACD(能動的サイバー防御)を実施するとなると、話は違ってくる。トランプ政権には、民間の力を借りて中国にサイバー攻撃せよとも取れる発言をする側近までいる。攻撃者、犯罪組織が自分のシステムやC2サーバー、RaaSプラットフォームを保護するために、ペンテスターを雇ったり、レッドチームを編成したりしてもおかしくはない。 このような状況が、果たしてサイバー攻防にとってよい方向なのかは議論があるところだが、フリーランスのペンテスターやレッドチームのスタッフがアンダーグラウンドの仕事に関わるという事態が広がると、企業が行っている「バグバウンティプログラム(脆弱性報奨金制度)」に影響が出る可能性がある。 バグバウンティプログラムとは、企業がバグや脆弱性発見・報告に報奨金を出すことで、市井の力を借りて未知の脆弱性をつぶし、製品やサービスのセキュリティ向上に役立てるプログラムだ。脆弱性ハンドリングのエコシステムにも組み込まれている。企業側も、脆弱性発見やパッチ配布にかかる総コストを、報奨金によって最適化できるメリットがある。
今後起こり得るハッカーの「闇堕ち」とは
もしサイバー犯罪組織が、この正規のバグバウンティプログラムより魅力的な条件をフリーランスのペンテスターらに提示することが広がるとどうなるだろうか。 もちろん、筆者の知るペンテスターやセキュリティ研究者は、たとえバグハンティングを生業としているような人でも、ダークサイドに落ちるようなタイプはいない。脆弱性診断や侵入テストができるスキルを持つ人は、表稼業で十分に安定しているので、犯罪にかかわるリスクを取る動機も必然もないからだ。 だが、攻撃グループが提示するペンテストの報酬が報奨金や、それで得られる名誉や実績より高いものなら、発見した未知の脆弱性は、会社に報告するより攻撃グループに売ったほうがいいという判断をする人間も出てくるかもしれない。 ベライゾンは、2024年のDBIR(データ漏えい/侵害調査報告書)にて、脆弱性を活用した攻撃が前年から180%増えたとしている。データ漏えいの原因はフィッシングなどでアカウントが漏れたり、ソーシャルエンジニアリングや詐欺によるものがメインで、脆弱性を利用した攻撃は全体の14%程度と高いものではない。 原因についてベライゾンは、Log4jの脆弱性やMOVEitの脆弱性を特徴的な事例として挙げている。どちらも、ライブラリやクラウドサービスの脆弱性によるデータ漏えいインシデントだ。これらの発見に攻撃グループが雇ったペンテスターやバグハンターが関与した事実は確認されていない。 しかし、オープンソースライブラリの活用、クラウドサービスプロバイダの課題によって、攻撃者が再び脆弱性攻撃の有効性を見出したとしたら。アンダーグラウンドでのペンテスター募集の事実と合わせて、警戒をしておく必要があるだろう。
執筆:フリーランスライター 中尾 真二
