アメリカ連邦政府の情報機関CIA、NSA。ロシア連邦政府の情報機関GRU、FSB。そして、捜査機関であるアメリカのFBIと、ロシアのSledkom。スパイウェアやマルウェア分析能力が高いのはどの組織なのでしょうか。
最近のマルウェアの傾向
現在、悪意あるソフトウェアは、情報スティーラー型マルウェアとそれに組み合わされたランサムウェアが主流となりつつあります。企業や個人の機密情報を盗むだけでは被害企業が気が付かないことが多かったため窃盗が終わった後にランサムウェアで社内ドキュメントを暗号化していくという手法が一般的になってきました。社内文書が暗号化されシステムが破壊された上に、一部をダークウェブ上に公開され、「すべてを公開されたくなければビットコインを支払え」という脅迫状を示されるのでたまったものではありません。
このような悪質な行為は、2008年のビットコインの誕生と共に金儲けを狙う個人や数人の組織が行うことが増え始めましたが、15年経過したいまでも、減ることはなくむしろ増加しています。世界中の警察機構は寝ているのでしょうか。そうではありません。こうした犯罪組織の背後には国家があり、サイバー軍傘下の民兵であることが現在では主流であるためです。逮捕され減るどころか、組織は増加するばかりであり、北朝鮮においてはサイバー軍自身が情報スティーラー集団となり、ロケット開発のための資金源となっています。
新しいマルウェアの基礎技術開発は、サイバー民兵ではなく、より高度かつ技術力の高い国家内の組織で基礎研究がなされます。それは、政府の情報機関およびその傘下の政府系組織や民間企業のマルウェア研究所です。アメリカにおいてはイスラエル政府サイバー軍組織の力を借りたことがマルウェア「スタクスネット」が発見された際に明らかになっています。
2023年には、1,460億件ものマルウェアが検出されるに至っており、企業や市民からの被害届を受理した上で分析を行っているのは、被害国の捜査機関です。アメリカであれば郡警察ではなく、FBIのサイバー捜査部門がそれを担っています。ロシアでは、Sledkomが担っていることでしょう。
捜査機関が被害届をもとに分析を実施
各国のサイバー捜査部門はマルウェアをリバースエンジニアリングし、ソースコード分析を科学捜査部門や、民間企業の力を借りて実施し犯罪者の証拠を探します。1,460億件ものマルウェアがあっても、完全に新たに開発された悪意あるソースコードは、年間でも数千件程度しかなく、亜種も含めても1億件程度です。ソースコードに分解することで、その傾向を見て取ることができ、どこの国で新規開発されたものかおおよその推測をつけることができます。
捜査部門は、外国を担当する情報機関、アメリカであればCIAが、ロシアであればGRUがそれを作成した組織を探す努力を担います。原則としてロシアFSBおよびアメリカのNSAは国内を担当する情報機関であるため、国外からのサイバー攻撃の場合は、このような情報機関が実行犯であるサイバー民兵を氏名を特定するところまで追い詰めます。FBIでは、実行犯を「WANTED」リストの形で報奨金を付けて定期的に公開しています。
情報機関は新たなマルウェアを作成する組織。捜査部門は世界中のマルウェアを分析し組織をおおよそ特定する組織。どちらがマルウェア特定するデジタルフォレンジック能力に長けているでしょうか。
捜査機関が世界中の悪質なソフトウェアのソースコードを閲覧しているため、高い知見を持っています。
捜査機関出身者たちによって全実行ファイルのデジタルフォレンジックがなされるPC Matic
PC Maticは、1988年からFBIサイバー捜査部門に勤務経験があり、最近退職したScott e. Augenbaumをアドバイザーに迎え、熟練したFBIサイバー捜査部門出身者たちをPC Maticマルウェア分析チームに迎え入れています。
相手を攻撃した過去をもつ経営者が率いる企業よりも、国民を守ってきた人たちによって、現在政府機関を守っているPC Maticを選択しましょう。
