68 ハッキングの収益率
Вставка
- Опубліковано 16 січ 2025
- #13 ハッキングの収益率
ハッキングについての話ですが、特にその収益率について述べます。実際に聞いた話によれば、北朝鮮は経済制裁を受けているため、外貨を稼ぐ手段としてハッキングが非常に有力だと言われています。日本国内でも、数年前に仮想通貨の取引所がハッキングされ、その背後には北朝鮮が関与しているとの話もあります。
また、ソニーのプレイステーションの件も北朝鮮が関与しているとの噂があります。北朝鮮やロシアなどの産業が乏しい国々では、ハッキングの収益率が非常に高いのです。これは最近始まった話ではなく、フィッシング関連の収益率が非常に高いという話も昔からあります。
例えば、少し前のデータによれば、65ドルで50万件のメールアドレスにフィッシングメールを送信できると言われています。仮に100万人中8人しかフィッシングにかからなかったとしても、1人あたり2000ドルを失った場合、130ドルの投資で16000ドルを稼げることになります。つまり、投資返金率は12000%にもなるのです。こうした靴下人形やスピアフィッシングの収益率は非常に高いということです。
テロリストの例で言えば、2002年にバリ島で爆弾テロを起こしたサムドラという人物の資金源もサイバー空間でのハッキングでした。この事例は、サイバー空間でのハッキングがテロに資金提供できることを示しています。さらに、コインチェックが300億円の被害を受けた際も、内部留保で補填しましたが、それだけの額をハッキングで稼げるということを示しています。
ウクライナにはITベンチャーとしてイノベーティブマーケティング社という会社が設立されました。この会社は表向きはシステムの性能を向上させるソフトウェアを提供していますが、実際にはランサムウェアを作っていた犯罪組織でした。国際企業として600人の従業員がいて、2009年の年収は180,000,000ドルでした。これもハッキングの収益率が非常に高いことを示しています。
東京のマウントコックスの事例では、現在のハッキングの収益率は仮想通貨関連のハッキングが一番高いとされています。ハッキング後の資金洗浄にダークウォレットやリバティリザーブなどが使われており、これらの仕組みが非常にしっかりしているため、収益率が非常に高いのです。このように、非対称性の高い収益率とクレンジングの仕組みにより、現在ハッキングの収益率は非常に高いということが明らかです。
ハッキングの収益率についてですけど、言い方を変えると「ロングテール戦略」ということなんですよね。
ロンデル製薬のロングテール戦略というのは、クリス・アンダーソンという人が提唱したらしいんですけど、要するに多くの人から少しずつ盗むということなんです。だから、ロングテールでは1個1個の盗みの額は小さいんですけど、それを大量に行うことで結果として莫大な額を盗むという戦略ですね。このことを「ロングテール」と言います。
だから、活動が小さくても、それを大衆に対して何度も行うだけで巨大な利益を得るということです。これを「マイクロセット」とも言いますが、自動化ができるので反復可能で安定した収入の流れを生むということですね。これを「クラスブレイク」と言います。
技術の標準化が進むと、皆が同じアプリやOSを使うようになるので、1つの脆弱性があると一気に大量の人が被害を受けるということですね。これを「攻撃の自動化」とも言います。
今さらにハッキングの収益率の例ですが、2010年代には携帯電話のマルウェアの70%以上が携帯電話決済システムの脆弱性を突いていたらしいんです。
例えば、ショートメールを使ってユーザーを騙し、1件当たり10ドル(約1500円)を支払わせるという手口がありました。10ドルという額は小さいですが、10万台に実行すればとんでもない額になります。
実際に、有名なアプリ「アングリーバード」や「アサシンクリード」の偽物が、当時「ローラアプリ」と呼ばれるアプリマーケットサイトにアップロードされ、ダウンロードされた際、利用者が知らない間に特別なショートメールが3通送信されることがありました。この場合、3通あたり7.5ドルの収益が得られ、ほんの数時間で何万ドルも稼ぐことができたということです。つまり、知らず知らずのうちにスパムメールを送信してしまうということなんです。
これ、実はウェブやブラウザのフラッシュアプリにも似たような手口があります。フラッシュアプリがウェブブラウザで動作している間に、メモリ上で悪さをしてDDoS攻撃に加担させることがあります。ボットネットの発想に近いですね。1つ1つの端末の能力は低いですが、何百万台もあればとんでもないDDoS攻撃を起こせるという話です。
究極的には、技術革新により「サイバー犯罪のシンギュラリティ(特異点)」が生じるという話があります。蒸気機関が登場した時、数百人を一度に相手にできるようになり、犯罪者側からすればビジネスチャンスが大きく広がったということです。これにより、収益率が跳ね上がったのです。
今回のIT技術の進展によっても、収益率が跳ね上がりました。例えば、2007年の「TJX Maxx」の場合、ハッキングによって4500万人分の顧客データが盗まれました。また、2011年にはソニーのプレイステーションネットワークがハッキングされ、7700万人分のクレジットカード番号や氏名、住所、生年月日、さらには臨床情報がすべて盗まれました。この被害は、まるで蒸気機関が数百人を一度に相手にできるようになった時のように跳ね上がったと言えるでしょう。
さらに、2013年には「ターゲット社」がハッキングされ、1億1000万件の個人情報が盗まれました。驚くべきことに、これを行ったのはロシアのわずか17歳のハッカーでした。1億1000万件というのは、アメリカの全人口の約3分の1に相当します。このように、技術の進展によりサイバー犯罪の代償が指数関数的に増え、それに伴って収益率もどんどん跳ね上がっているという話です。