ハードウェアベースの攻撃に詳しいチップ業界のある情報筋は、機密情報を扱う場所で使用される予定のチップに部外者が「トロイの木馬ロジック」を入れ込む事例について説明した。2008年、Cisco Systemsで起こったそのような事件では、米連邦捜査局(FBI)が、米軍や軍需産業の企業に販売された3500台以上のCisco製品に偽造チップが含まれていたことを発見した。偽造チップに監視システムが含まれていることは証明されなかったが、そうなっていたかもしれない。
その事件では、偽造チップを含むCisco製ルータが最終的に軍事ネットワーク内の機密情報を扱う場所に設置されたことを突き止めるのに、2年間の捜査を要した。この捜査には中国が協力し、報道によると、同国内の複数の個人が逮捕されたという。しかし、この問題がそれで終わったと考えている者はほとんどいない。
さらに、過去2年以内の事例として、Bumgarner氏は、組織名は明かさなかったが、ある軍事組織の例を挙げた。その組織は、1台の共有コンピュータに隠されたトロイの木馬によって、データが香港にあるサーバへ流出していることに気づいた。この共有コンピュータは、挿入されるUSBドライブにマルウェアを撒き散らしてもいた。USBドライブによるマルウェアの脅威は非常に大きいと考えられているため、米国防総省は2008年に使用を禁止した。
被害を受けることで発生するコストを計算するのは困難だ。企業は多額の売り上げを失い、その分が最終的に、盗んだ情報を基にした競合製品の売り上げとなる。さらに、結果として設計および販売戦略の変更や新製品の開発を余儀なくされ、そのコストを負担することになるかもしれない。
「競争上の情報を失ったことが原因で、5億ドルほどの経済的損失をこうむった企業の事例があった。倒産した企業もある」(Bumgarner氏)
Rica氏は、企業は潜在的な攻撃やスパイ活動に対して、3段階のセキュリティ対策を講じておく必要があると述べる。同氏によれば、従業員に対してフィッシング詐欺に注意するよう教育を行うとともに重要なセキュリティに携わる従業員が信頼できる人物であることを確認し、攻撃が発生した場合すぐに検出して隔離するためのプロセスを開発して、自社のネットワークを常に保護するためのテクノロジが備わっていることを確認しなければならないという。
米連邦当局は、企業が自社のネットワークや知的財産への攻撃の背後にいる人物を特定するのを支援することについて、以前よりも大きな関心を示しているが、捕まらずにスパイ行為をやり遂げることは今でも極めて簡単だ、とRica氏は述べた。「犯罪者から見たリスクと報酬の比率は、まだ変わっていない。もう銀行強盗をしようという人はいない。捕まって刑務所に送られる確率が高いからだ」(Rica氏)
したがって、予防か取り締まり、あるいはその両方において劇的な改善がなされない限り、これからの数年間、スパイ行為を目的とするサイバー攻撃は増加の一途をたどると予想される。
「捕まるのは愚かな者だけだ。頭の良い連中がどんなことをしているかについては、わたしは想像することしかできない」(Rica氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?