悪意さえあれば、攻撃が可能に

セキュリティの世界には「スクリプトキディー」という言葉があります。これはおそらく聞き慣れない言葉だと思いますが、「技術もないのにマルウェアを作成して攻撃を楽しむ人」というような意味合いの批判的な言葉です。
これまでの一般的な考え方だと、マルウェアというのはセキュリティの間隙を突くほどの技術力を持ったクラッカーやハッカーが自ら作成して使用するというのが当たり前でした。しかし、今では技術力の部分を人に頼り、既製のツールなどを使ってマルウェアの作成が簡単にできてしまうのです。
スクリプトキディーはこうした環境が整ったことによって現れた人種です。スクリプトキディーに求められるものはただ１つ、マルウェアで誰かを攻撃しようという悪意だけです。
ワーム作成ツールとして有名なのが「Constructor/Wormer」というソフトです。このソフトの機能は至ってシンプルで、実行形式になっているファイルをワームに変換します。つまりこの時に用意する実行ファイルがデータやシステムの破壊といった機能を持っているものであれば、これをツールで変換するだけで破壊的な機能を備えたマルウェアの出来上がりです。
ところで、単なる興味本位でクラッキングを行うスクリプトキディーはともかく、そんな人種になぜマルウェア作成ツールを提供する人がいるのでしょうか。ここにもやはり、犯罪組織の資金源という一面があります。
例えば、DoSアタックをするためのマルウェアを作成できるツールがあるとします。幼稚なスクリプトキディーはこれに飛びついてクラッカー気取りで感染を広めたとします。ところがそのツールには本来の目的があって、スクリプトキディーが指定したDoSアタックターゲット以外にも“真のターゲット”が設定されていて、開発者は労せずしてDoSアタックを仕掛ける環境を整えることができます。ボットが行き渡ったところで、後はDoSアタック開始のボタンをクリックするだけですが、その時点でターゲットとなる企業にDoSアタックを仕掛けると脅しをかけ、お金を脅し取るというわけです。このような手口は東欧やロシア、中国などでよく見られます。
悪意には悪意が群がる。まさにその法則通りというわけですが、くれぐれもスクリプトキディーを気取って、犯罪組織の片棒を担がないようにして下さい。