数年前の典型的なハッキングのシナリオは、深夜に Mountain Dew で働く単独の攻撃者とその仲間たちが、公衆に向けた IP アドレスを探し出すというものでした。 1 つを見つけると、彼らは広告サービス (Web サーバー、SQL サーバーなど) を列挙し、多数の脆弱性を使用して侵入し、侵入した会社を心ゆくまで探検しました。 多くの場合、彼らの意図は探索的なものでした。
典型的なハッキングのシナリオを説明する場合、最近では、ハッキングやハッカーよりもずっと前に、攻撃の背後にある組織から始める必要があります。 マルウェアの入札市場、犯罪シンジケート、レンタルボットネット、国家的行為、サイバー戦争など、今日、ハッキングは常に犯罪であり、今日の IT セキュリティ プロが直面する 9 つの最大の脅威を紹介します。
脅威その 1: サイバー犯罪シンジケート
単独の犯罪首謀者はまだ存在しますが、最近のほとんどの悪質なハッキング攻撃は、組織的なグループによるもので、その多くはプロの集団です。 しかし、マフィアではなく、サイバー犯罪に特化したプロの犯罪者のいくつかの非常に大きなグループに率いられて、競争は激しくなっています。
最も成功しているサイバー犯罪組織シンジケートの多くは、法的分散マーケティング階層の流れをくむ、大きなアフィリエイト コングロマリット グループを率いている企業です。 実際、今日のサイバー犯罪者は、Avon や Mary Kay の担当者と、どちらかが認めたがっている以上に共通点があると思われます。
少数のメンバーからなる小規模なグループはまだハッキングできますが、IT セキュリティ担当者はますます、不正行為に専念する大企業に立ち向かうようになっています。 正社員、人事部、プロジェクト管理チーム、チームリーダーを考えてみてください。 これはすべて犯罪行為であり、画面に印刷された面白いメッセージや、10代のおふざけはもうありません。 ほとんどが公然と活動しており、中にはロシアンビジネスネットワークのように、Wikipediaに独自の項目があるものさえあります。
専門化と分業がこれらの組織の核心です。 一人の首謀者、または側近が集団を運営することになります。 マルウェアの作成に専念する部門、マーケティングに専念する部門、流通経路の設定と維持を行う部門、ボットネットの作成と他の悪人への貸し出しを担当する部門など、軍曹や下部組織がさまざまな分野に特化します (下記参照)。
サイバー犯罪が、企業や人々から金銭や知的財産を巻き上げることを露骨な目的とした、マルチレベルのサービス指向の産業に発展していることを考えれば、一般的な IT セキュリティ手法が今日のマルウェアに対して機能しないのは、不思議でなりません。
これらの悪意のある小規模な事業者は、ID やパスワードを盗むこともあれば、それを得るために不正なリダイレクションを引き起こすこともあります。 結局のところ、彼らはお金が欲しいのです。 彼らは不正なクレジットカードや銀行取引を開始し、マネー ミュール、電子現金分配、イーバンク、または他の種類のマネー ロンダリングを使用して、不正に得た利益を現地通貨に変換します。 何十から何百もの団体が、違法に調達された戦利品から大きな割合を占める存在になろうと競い合っているのです。 実際、インターネット犯罪者との支援ビジネスを懇願する他のすべての人々の競争力と公共性に驚かれることでしょう。 彼らは、「質問なし」、「防弾」、「法的召喚の届かない国でのホスティング」を宣伝し、公共の掲示板、ソフトウェア特価、24時間365日の電話サポート、入札フォーラム、満足した顧客の紹介、アンチマルウェア回避技術など、他の人がより良いオンライン犯罪者になるためのあらゆるサービスを提供します。 これらのグループのかなりの数が、毎年数千万ドルを稼いでいます。
これらのグループの多くとその背後にいる人物は、過去数年の間に特定されています(そして逮捕もされています)。 彼らのソーシャルメディアのプロフィールには、大きな家、高価な車、充実した家族で海外休暇を過ごす幸せそうな人々が写っています。
近所のバーベキューで、近所の人や友人に「インターネット・マーケティング・ビジネス」をやっていると話すところを想像してみてください。
脅威その3: ハクティビスト
初期の頃は悪用を自慢することは珍しくありませんでしたが、今日のサイバー犯罪者はレーダーを潜り抜けようとします–ただし、ハクティビストの集団は例外です。 政治的な動機のあるハッカーは、ハッキングが最初に誕生したときから存在していました。 大きな変化は、より多くのことが公然と行われるようになり、社会がそれを政治的活動の一形態として認めるようになったことです。 彼らはより多くのメンバーを集め、国民の支持を得るためにメディアに苦情を訴え、違法行為で逮捕された場合は驚くような行動をとります。 彼らの意図は、顧客情報のハッキング、分散型サービス拒否 (DDoS) 攻撃、または単に被害者の会社にさらなる苦境をもたらすなど、できるだけ被害者を困らせて、メディアに否定的な注目を集めることです。 この戦いでは、個人が巻き添えになることがあり、ハクティビストの政治的大義を信じるかどうかにかかわらず、その意図と方法は犯罪であることに変わりありません。
脅威その4: 知的財産の盗難と企業スパイ
ほとんどの IT セキュリティ担当者は、企業から知的財産を盗む、または直接企業スパイを行う悪質なハッカーの大きなグループに対処する必要があります。 彼らの手口は、企業のIT資産に侵入し、すべてのパスワードを捨て、時間をかけて特許、新製品のアイデア、軍事機密、財務情報、事業計画など、数ギガバイトの機密情報を盗み出すものです。 彼らは金銭的な利益を得るために貴重な情報を顧客に伝え、侵害された企業のネットワーク内にできるだけ長く潜伏する。
報酬を得るために、彼らは重要な電子メールを盗聴し、データベースを強奪し、非常に多くの情報へのアクセスを得るため、多くの人がより興味深い知的財産から餌を分離するために、独自の悪意のある検索エンジンやクエリー ツールを開発し始めています。
脅威その5: マルウェア傭兵
サイバー犯罪の背後にある意図やグループが何であれ、誰かがマルウェアを作成する必要があります。 過去には、一人のプログラマーが、自分が使用するため、あるいは販売するためにマルウェアを作成しました。 しかし現在では、特定のセキュリティ防御を回避し、特定の顧客を攻撃し、特定の目的を達成するためにマルウェアを作成することだけを目的としたチームや企業が存在します。 これらは、入札フォーラムでオープン マーケットとして販売されています。
多くの場合、マルウェアは多段階にコンポーネント化されています。 小さなスタブ・プログラムが被害者のコンピュータの最初の搾取を担当し、再起動後も生き続けるように安全に配置されると、さらなる指示を得るために「母船」Web サーバーに連絡します。 多くの場合、最初のスタブ・プログラムは、母船を探すDNSクエリーを送信します。それ自体は、一時的に母船として機能する感染したコンピュータであることがよくあります。 これらのDNSクエリーは、無害な感染者のコンピュータである可能性が高いDNSサーバに送信されます。 DNS サーバーは、母艦となる Web サーバーと同様に、コンピューターからコンピューターへと移動します。
一度接触すると、DNS および母艦サーバーは、しばしば、起動したスタブ クライアントを他の DNS および母艦サーバーへとリダイレクトします。 このようにして、スタブ クライアントは、新たに悪用されるコンピュータに何度も何度も (多くは十数回) 向けられ、最終的にスタブ プログラムが最終的な指示を受け、より永続的な悪意のあるプログラムがインストールされることになるのです。 このセットアップにより、IT セキュリティ担当者は彼らの製品から身を守ることが非常に難しくなります。
Threat No.6: Botnets as a service
ボットネットはもはや作成者だけのものではありません。 ボットを作成するマルウェア プログラムを購入した今日の所有者は、ボットネットを自分たちのために使用するか、時間単位や他の指標で他の人にレンタルします。 マルウェア プログラムの各バージョンは、作成者の意のままに動作する単一のボットネットを作成するために、最大で数万台のコンピュータを悪用しようと試みます。 ボットネット内の各ボットは、最終的にコマンド&コントロール(C&C)サーバーに接続し、最新の指示を取得します。 この指示には、ランサムウェア・プログラムの削除が含まれることがよくあります。 ボットネットは、数十万台の感染したコンピュータで発見されています。
現在、非常に多くのアクティブなボットネット (毎日数千万台の感染コンピュータ) があり、ボットネットのレンタル料はかなり安価で、IT セキュリティ担当者にとって問題はさらに多くなることを意味しています。
マルウェアの戦闘員は、しばしば C&C サーバーをダウンさせようとしたり、接続するボットにホスト コンピュータを消毒して死ぬように指示できるように、サーバーを乗っ取ろうとしたりします。 これらのプログラムは、エンド ユーザーに感染するだけでなく、Web サイトに侵入して、より多くの犠牲者に感染できるように変更します。 これらのオールインワンのマルウェア プログラムには管理コンソールが付属していることが多く、所有者や作成者はボットネットが何をしているのか、誰に感染しているのか、どれが最も成功しているのかを追跡することができます。 コンピュータ ウイルスとワームは、最も一般的なマルウェアの種類ではなくなってから久しいのです。 ほとんどの場合、エンドユーザーは、必要なアンチウイルス スキャン、ディスク デフラグ ツール、またはその他の一見必須または無害なユーティリティとして宣伝されたトロイの木馬を実行するように騙されます。 ほとんどの場合、不正な実行ファイルを提供するウェブページは、ユーザーが何度も訪れたことのある信頼できるサイトであるため、ユーザーの通常の防御機能は騙されることになります。 9438>
Threat No.8: The increasingly compromised web
At most basic level, a website is simply a computer, just like a regular end-user workstation. つまり、ウェブマスターも他のユーザーと同じエンドユーザーです。 正当な Web に悪意のある JavaScript リダイレクト リンクが散見されるのは、驚くべきことではありません。
Webサーバーの侵害が増加しているのは、Web マスターのコンピュータが悪用されているという問題だけではないのです。 より多くの場合、攻撃者は Web サイトの弱点や脆弱性を見つけて、管理者認証をバイパスし、悪意のあるスクリプトを書き込むことができます。
一般的な Web サイトの脆弱性には、不十分なパスワード、クロスサイト スクリプト脆弱性、SQL インジェクション、脆弱なソフトウェア、安全でないパーミッションがあります。 Open Web Application Security Project Top 10 リストは、ほとんどの Web サーバーがどのように侵害されるかを示す権威あるリストです。
多くの場合、Web サーバーやそのアプリケーション ソフトウェアではなく、何らかのリンクや広告がハッキングされます。 一般的な広告代理店によって配置され、ローテーションされているバナー広告が感染してしまうことはよくあります。 マルウェア業者は、人気のある Web サーバーの広告スペースを購入することもあります。
悪者の多くは、本社、名刺、および経費勘定を備えた、正当な企業のビジネスマンとして自分自身を装っているため、正当な広告ソースと悪者を切り分けるのは必ずしも簡単ではありません。 より興味深い事例としては、ハッカーが漫画のシンジケートを侵害し、影響を受けた漫画を再掲載するすべての新聞社がマルウェアを送り込むことになったというものがあります。 9438>
Hacked Web サイトのもう 1 つの問題は、1 つのサイトをホストするコンピュータが、時には数百、数千に及ぶ複数のサイトをホストすることがあることです。
サイトがどのようにハッキングされたかにかかわらず、何年もこの特定の Web サイトを問題なく訪問していた無実のユーザーが、ある日、予期しないプログラムをインストールするように促されることがあるのです。 ユーザーは驚きますが、そのプロンプトが知っていて信頼できる Web サイトから来るという事実だけで、そのプログラムを実行させるのに十分なのです。 その後、ゲームオーバーになる。 エンドユーザーのコンピュータ (またはモバイル デバイス) は、誰かの巨大なボットネットのもう 1 つの歯車となります。
脅威その 9: サイバー戦争
Nation-state cyber warfare programs are in the class of themselves and are not most IT security pro comes up to their daily routines. これらの秘密作戦は、敵対者を監視したり、敵対者の機能を停止させたりすることを目的とした複雑で専門的なサイバー戦争プログラムを作成しますが、Stuxnet や Duqu が示すように、これらの手法の影響は、意図したターゲット以外にも影響を及ぼしかねません。 現在では、北朝鮮のような国家が、特定の映画が気に入らないという理由で、フォーチュン 500 社をダウンさせて搾取することさえあります。
犯罪と罰なし
搾取から回復しない被害者もいる。 彼らの信用記録はハッカーの不正取引によって永遠に傷つけられ、マルウェアは被害者のアドレス帳リストを使用して友人や家族に自身を転送し、知的財産の盗難の被害者は修復と防止に数千万ドルを費やします。
最悪の事態は、上記の悪質な攻撃を行う者のほとんど誰もうまく告発されないということです。 インターネット上のプロの犯罪者は、インターネットが裁判にかけられるような証拠を出すのが得意ではないので、大きく生きているのです。 たとえそれができたとしても、容疑者は被害者の裁判の法理から外れたところで生活しているのです。 ハッキングのほとんどはデフォルトで匿名であり、痕跡はミリ秒単位で失われ、隠蔽される。 今、私たちはインターネットの「ワイルド・ワイルド・ウェスト」時代に生きている。 インターネットが成熟すれば、犯罪者の安住の地はなくなっていくだろう。 それまでは、ITセキュリティのプロは仕事をしなければならないのだ
。