サイバー犯罪のハードルを下げる
「CaaS（Crime as a Service）」の脅威。

個人にとって脅威となるサイバー犯罪の一つが、クレジットカードの不正利用ではないでしょうか。大手クレジットカード会社では、その大半がフィッシング詐欺などのサイバー犯罪によるものだと分析しています。2022年における、フィッシング対策協議会へのフィッシング報告件数は約97万件と前年の約1.8倍に増えており、日本クレジット協会の調査ではクレジットカード不正利用の被害額は約437億円と調査開始以来最悪となりました。

クレジットカード不正利用被害額の推移

一方、企業や団体などの組織に対するサイバー犯罪の主流は、データを「人質」にして身代金を要求するランサムウエア攻撃です。警察庁によると2022年のランサムウエア攻撃による被害件数は230件で、前年比で57.5％増加しています。被害の調査・復旧に5,000万円以上の費用がかかったケースも13％ありました。

個人にとっても組織にとっても脅威であるサイバー犯罪ですが、件数の増加や手口の多様化・巧妙化の一因が、CaaSの成長だといわれています。

CaaSとはCrime as a Serviceの略で、ネーミングはSaaS（Software as a Service）に由来しています。SaaSとは、クラウド上のソフトウエアをインターネット経由で利用できるサービスのこと。ソフトウエアをインストールする必要がなく、クラウドサーバーにアクセスするだけでソフトウエアを使うことができます。同様の仕組みでサイバー犯罪を目的としたツール類を提供しているのが、CaaSです。匿名性の高い闇サイト、ダークウェブ上などで取り引きされ、攻撃者は自分の目的に応じたツールを容易に入手することができます。CaaSはいわば犯罪のビジネス化です。新たな攻撃手法が短期間で犯罪者に広がる土壌となり、高度かつ多様なサイバー犯罪の温床になりつつあります。

前述の通りCaaSでは、サイバー犯罪用のさまざまなツール類が取り引きされています。代表的なものをいくつか紹介しましょう。

●ランサムウエア

ランサムウエアはコンピューターシステムに侵入し、データを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウエアの一種です。最近では、データを暗号化せずに窃取して対価を要求する「ノーウエアランサム」も国内で確認されています。ランサムウエアの提供に特化したCaaSは、RaaS（Ransomware as a Service）と呼ばれます。

●フィッシング詐欺用ツール

電子メールやSNSのメッセージから偽サイト（フィッシングサイト）に誘導し、個人情報を窃取するフィッシング詐欺。その実行に必要なツール類一式がCaaSにて取り引きされています。フィッシングメールの送信からURL作成を含めた偽サイトの立ち上げ、マルウエアの提供と運用まで、犯罪に必要なサイトやツールなどがすべて用意され、PhaaS（Phishing as a Service）と呼ばれることもあります。あるPhaaSサイトでは、実在する企業やサービスの偽サイトが一覧表示され、数クリックするだけで簡単に偽のサイトを作成できるといいます。

●DDoS攻撃用ツール

DDoS攻撃とは、特定のWebサーバーなどに過剰な負荷をかけて、正常なサービス提供を妨げる行為です。インターネット上の多数の機器から一斉に接続要求を送信するのが特徴で、Webサイトにアクセスしにくくなったり、アクセスできなくなったり、ネットワークが遅くなったりします。標的にされた企業や組織に、金銭的被害はもちろん、信用失墜につながる被害を与えます。

●ボットネット構築用ツール

そもそもボットとは、一定の作業を自動化するプログラムのこと。しかしボットの中には悪質なものも存在します。コンピューターがそのようなボットに感染すると、遠隔操作による情報漏えいの恐れがあるだけでなく、同様に感染した複数のコンピューターからなるボットネットの一部として組み込まれる危険性があります。攻撃者はボットネットに組み込んだコンピューターに対して第三者への一斉攻撃などを指示することができるため、DDoS攻撃や迷惑メール送信、他のコンピューターへの感染を広めるなどの目的のために悪用される恐れもあります。

このようにCaaSではさまざまなツールが提供され、しかもそれらはアップデートされ続けます。また、CaaSは安価に利用できるという報告もあります。例えば、特定のWebサイトの速度を低下させるために必要な費用はわずか5ドル、他人のソーシャルメディアアカウントにアクセスできるサービスが300ドルで利用できるとされています。CaaSはサイバー犯罪のハードルを下げ、その結果サイバー犯罪を増加させる点で、大きな脅威だといえるでしょう。

CaaSによって、サイバー犯罪を試みる者はスキルレベルに関係なく、手軽に高度な攻撃を実行できるようになります。また、CaaS提供者側にとってはポートフォリオを多様化することで、多くの報酬を簡単に得られるようになります。結果として、CaaSを利用する犯罪はますます増えていくと予想されています。

今後はIoT（Internet of Things：モノのインターネット）の進展により、単純なセンサーからパソコンやスマートフォン、医療機器や科学機器、自動運転車や自動機械まで、現在以上にさまざまなデバイスがインターネットに接続されるようになっていきます。インターネットに接続されるデバイスが増えるということは、攻撃者にとっては攻撃の間口が広がることを意味します。また、サイバー攻撃の標的は、社会インフラにも広がっています。2022年にはウクライナの衛星通信会社のインフラが攻撃され、欧州全域の衛星インターネット接続に支障が生じました。

こうしたサイバー犯罪に備えるための“特効薬”はありません。結局の所、適切なセキュリティ対策で身を守る必要があります。

個人ができるサイバー攻撃への対策としては、手口や脅威を理解した上で、「OSやソフトウエアを常に最新版にアップデートする」「不審なメールは開かない」「疑わしいURLはクリックしない」「マルウエアを検知できるセキュリティソフトを導入する」「セキュリティ強度の高いパスワード（英大文字と小文字、数字、記号を組み合わせた10桁以上）を設定し、使い回さない」などが挙げられます。

また組織としては、「セキュリティポリシーを定め、それに適したセキュリティソフトを導入する」「社用端末の持ち出しや、個人端末の持ち込みを制限する」「従業員などに適切かつ徹底したセキュリティ教育を行う」「必要に応じて情報へのアクセスに2段階認証を導入する」「職務内容や役職などに応じた適切なアクセス権限を与える」などが必要です。

AI（人工知能）など最新のテクノロジーを悪用した新たなサイバー攻撃も予想されています。また量子コンピューティングの発展により、従来の暗号技術が破られる可能性も懸念されています。残念ながら、これからも次々と“凶悪”なサイバー犯罪用ツールが登場する可能性は高いでしょう。しかし、真の脅威は、そうしたツールを誰でも使える環境が存在していることではないでしょうか。