増え続けるマルウェア被害、2008年はさらに悪化へ

マルウェア相手の「モグラ叩き」ゲームは2008年も続きそうだ。

この1年でマルウェアが成し遂げた技術的進歩は、それがこれほどまでに有害なものでなければ、絶賛に値するかもしれない。しかし残念ながら、悪党たちは悪事にかけては優秀すぎるほど優秀だったと言わざるを得ないだろう。

シェークスピアの『ジュリアス・シーザー』に登場するキャシアスのセリフを借りるならば、セキュリティの問題は「自業自得だよ、ブルータス君」ということになる。Symantec の調査によれば、データ漏洩全体の46％は、ノートパソコンの紛失または盗難が原因だという。そして、何千、何万という警戒心のないユーザーがクリックしてはいけないリンクや添付ファイルをクリックし、無数のワームやトロイの木馬、キーロガーを呼び込んでしまった。

しかも、マルウェアの作成者やオンライン詐欺師は、われわれを愚か者扱いするだけでは飽き足らず、そこから利益を得る方法を次から次へと見つけてしまう。米連邦捜査局 (FBI) は2006年、サイバー犯罪による企業の損害額について、670億ドルとの見積もりを出した。一方、米消費者連盟が発行している『Consumer Reports』誌では、過去2年間で消費者が受けたマルウェアによる犯罪の被害額は80億ドルと推計している。

どちらも莫大な金額だ。おそらくもっと厄介なのは、結果としてマルウェアがビジネスとして成り立っているということだろう。マルウェア作成者が、合法的なソフトウェア企業よろしくサービス契約を結び、マルウェア開発ツールキットを配布して、製品サポートを提供しているのだ。

Symante の Security Response 部門で新興技術担当ディレクタを務める Oliver Friedrichs 氏は、「この1年を振り返って最大の特徴の1つが、コードがプロ顔負けになってきたことだ」と語る。

その顕著な例が『MPack』だろう。これは、ロシアのクラッカーグループの手によるウイルス開発用 SDK だ。MPack は500ドルないし1000ドルという価格で販売されており、まるで本物の開発者用ツールキットのように、アドオンパックまである。MPack を使えば、Web ブラウザの脆弱性を突いた複雑な攻撃が容易に開発でき、初心者でもプロ並みのコードが作成できる。

ユーザーの大切な金融関連情報を鮮やかに奪い取るフィッシング詐欺も、マルウェア開発者キットのおかげでやりやすくなっている。Symantec の推計によると、2007年におけるフィッシング攻撃のうち42％がこれらのキットの恩恵を受けたものだという。フィッシングに用いられるマルウェア開発者キットは3種類あるが、中でも有名なのは『Rockfish』だろう。2008年は、これらマルウェア開発者キットの制作者が、より巧妙な攻撃を仕掛けられるようキットをアップデートするため、事態は悪化の一途をたどることが予想される。