セキュリティホールを発見したら、その情報が売れる

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

OSやアプリケーションのセキュリティホール(脆弱性)を発見したら、その情報の影響力によって高額で情報を買い取ってくれる組織があることをご存じでしょうか。
OSの欠陥によっては、クラウドAI型やヒューリスティック型のセキュリティソフトなどで防御することができず、侵入を許してしまうものがあります。

非公開の脆弱性は、ゼロデイ攻撃に活用されます。このような情報を買い取る企業として、米国ワシントンD.C.にある情報セキュリティ企業であるZERODIUM社 (https://zerodium.com/)が有名ですが、このような企業は世界各国にあります。購入金額は非公開ですが、その効果により数百万円~数億円で購入されると噂されています。

最近では、過去の脆弱性情報データベースにて公開された情報を元に、新たな脆弱性を発見することを目的に自宅ガレージで、処理能力が一昔前のスーパーコンピュータ並の処理能力を持ったAIサーバを自作し、脆弱性の発見に努めている「報奨金ハンター」的な人たちも存在しています。

世界各国の情報機関は、情報収集が必要な相手国のシステムへ侵入する目的で、非公開である脆弱性を用いてシステム内に侵入します。米国が関与し、イスラエルの情報機関が作成したとされる2010年に発見されたスタクスネットは、2つの未知の脆弱性が用いられており、攻撃目標とされたイランの核施設は、これを防ぎようがなかったとも言われています。

国家同士のサイバー戦争においては、この未知の脆弱性情報のストックが鍵になると言われており、各国はその情報の確保と秘蔵に力を入れています。また、こうした脆弱性に基づいた攻撃が行われた場合の防御方法として、プロアクティブ型セキュリティ製品が有効であるため、米国はバイデン大統領令 EO 14028 “Improving the Nation’s Cybersecurity”(May 12, 2021)において、ゼロトラスト・アーキテクチャ製品の採用を推進するよう署名しています。

剣と盾。攻撃ミサイルに対して防御ミサイルがあるように、サイバー戦争においても、このように攻撃手段の蓄積とそれに対応した新たな防御集団の開発が急ピッチで進行しています。

「いままでこれで対応できていたから」というのは、コンピュータとネットが急速に性能向上している現代において、まったく通用せず、常に進化していかなければならず、それが年単位ではなく、毎月単位での急速な変化であることを心しておかなければなりません。

執筆:坂本光正

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る