近年ではRaaS（ランサムウェア・アズ・ア・サービス）に代表されるように、情報犯罪は高度なエコシステムを形成しています。 このような状況において、「攻撃の被害者」は時に、「次の攻撃に加担する者」になる場合があります。
エコシステムの観点では「ランサムウェアでの攻撃者への金銭の支払い」は攻撃者に活動資金や動機を与える点で慎重な判断が必要です。また、サプライチェーンを通した攻撃の波及、漏洩した個人情報の悪用 等は「自身の情報資産が攻撃に利用される」分かりやすい問題と言えます。
しかし、「自身の情報資産が攻撃に利用される」問題はこれだけに留まりません。 ここでは、被害者から見て、「次の被害者」が見えにくい以下の3点に絞って問題を提起したいと思います。

• ネットワーク機器のボット化
• サービス終了・停止中のリソース悪用
• 自社アドレスを騙る詐欺メール

ネットワーク機器のボット化

「ボット化」とはルーター等のネットワーク上の機器を攻撃者が制御可能になることを指します。 攻撃者は「ボット化した機器」を束ねて「ボットネット」を構築することで、大規模な攻撃（DDoS や 大量のメール送信）を行います。 ネットワーク機器のボット化は、ボットネットの一端を担い、攻撃に加担することになります。

セキュリティ業界が抱える社会課題、広がる能力格差 - 認知度の低いセキュリティ関連用語「ボットネット」とは

ボット化を防ぐには「機器導入時のセキュアな設定」と「セキュアな運用・管理」が重要です。 機器導入時には「セキュアなパスワードを設定する」や「不要な機能を停止する」等、セキュアな設定をすることが重要です。 ルーターやWebカメラ、IoT機器などは一度設置すると放置されがちです。 日常的または定期的に「既知脆弱性のチェック」や「ファームウェアの更新」などの運用・管理を心がけましょう。

サービス終了・停止中のリソース悪用

盗まれて困る情報を削除済みだとしても、停止中のクラウド基盤やドメインは攻撃者にとって魅力的な攻撃対象です。
例えば、サービス終了などにより役目を終えたクラウド基盤を放置し、その制御権限を攻撃者に奪われたとします。 既にサーバーもデータベースも削除済みで攻撃者にとって無駄骨と思われるかもしれませんが、そうではありません。 攻撃者は奪ったクラウド基盤上に大量のサーバーを構築し「暗号資産のマイニング」をします。 被害者には「意図しないクラウド基盤利用量の支払い」という損害が生じます。 一方で、「暗号資産を得るためのクラウド基盤と資金を攻撃者に提供した」と見ることもできます。

クラウドセキュリティについて考え始めたらまず知ってほしいこと

サービス終了で不要になったドメインも、攻撃者にとっては魅力的です。 管理者の手を離れたドメインを攻撃者が入手することを「ドロップキャッチ」と呼び、サービスを騙ったフィッシングなどに悪用されます。 サービス終了したドメイン名の維持は、手間もコストもかかります。 しかし、攻撃に利用される恐れがある間はドメインを維持し、悪用を防止することが重要です。

自社アドレスを騙る詐欺メール

適切なドメイン設定を怠ると、攻撃者が自社メールアドレスを詐称してメールを送信できます。これは、攻撃者に「送信元の名義」を貸し与えることであり、フィッシングなどの攻撃に加担する恐れがあります。
このような問題を防ぐには、「送信元が正しいか」を判断するためのドメイン設定（SPFやDKIM等）をするとともに、不正なメールが配信されないよう、DMARCを適切に設定することが必要です。せっかくDMARCを設定しても、そのポリシーが消極的な設定(p=none)のままでは十分な効果が得られません。「送信元が正しくないメール」は拒否(p=reject)することが望ましい対応です。

SPF/DKIMによるメールセキュリティ

DMARC / BIMIによるメールセキュリティ

おわりに

ここまで、「情報犯罪に利用されないためにシステム管理者が心がけること」をいくつか挙げました。 特に「サービス終了・停止中のリソース悪用」で紹介した「ドロップキャッチ」や「自社アドレスを騙る詐欺メール」で紹介した問題は、必ずしも自社に直接の被害が生じないため、後回しにされがちです。自身が困らない問題に対しても「誰かが困っている」こと、「情報犯罪に利用される恐れがあること」を認識し、解決に取り組むことが責任ある企業の姿勢としてより重要になると考えられます。
この記事が安心安全なインターネット実現の一助になれば幸いです。