Netflix の『ゼロデイ』で語られた真実 (と嘘) をランキング形式で紹介

MacPaw のサイバーセキュリティ部門、Moonlock のマルウェア研究エンジニア、Mykhailo Pazyniuk による記事です。

Netflix の「ゼロデイ」では、視聴者は米国を麻痺させる大規模なサイバー攻撃の真っ只中にいる。ロバート・デ・ニーロが攻撃を調査する元米国大統領役で主演し、このシリーズでは政治的陰謀、デジタル戦争、現代のインフラの脆弱性といったテーマを探求している。しかし、サイバーセキュリティの観点から見ると、「ゼロデイ」はどれほど現実的なのだろうか?

マルウェア研究エンジニアとして、私は批判的な目でこの番組を見ました。サイバー攻撃の一部は不気味なほどに現実味を帯びていますが、他の部分はSFの域を出ています。ここでは、ゼロデイについて私なりに分析し、現実的に起こり得るサイバー脅威を3つと、完全にフィクションの脅威を3つ（少なくとも今のところは）取り上げます。

起こりうる3つの脅威

このシリーズでは、複数の複合攻撃ベクトルと、それに伴う結果が示されています。主な手法には、兵器化されたマルウェアを使用した重要なインフラストラクチャへの大規模な攻撃や、正規ソフトウェアの偽バージョンを通じて広がるサプライ チェーン攻撃などがあります。

番組の正確さを評価するために、これらのシナリオを実際のサイバー攻撃と比較してみましょう。

重要インフラへのサイバー攻撃（コロニアル・パイプライン、2021年）

サイバー犯罪者が重要なサービスを妨害することは、「ゼロデイ」の最も現実的な側面の 1 つです。電力網、水道、病院を標的とした攻撃は可能であるだけでなく、すでに発生しています。2021 年の Colonial Pipeline ランサムウェア攻撃により、米国最大の燃料パイプラインの 1 つが停止し、ガソリン不足と広範囲にわたる買い占めが発生しました。

兵器化されたマルウェア (Stuxnet、2010 年)

この番組は、サイバー攻撃は産業システムを妨害することで国家の安全を脅かすように設計される可能性があると示唆している。現実には、重要なシステムへのマルウェア感染は長年にわたり世界の地政学に影響を及ぼしてきた。歴史的な前例としては、イランの核遠心分離機に損害を与えるために使用された高度に洗練されたサイバー兵器、スタックスネットがある。

Stuxnet は、特にインフラに物理的な損害を与えた点において、このシリーズで紹介された攻撃と非常によく似ています。このタイプのマルウェアはワームのように機能し、ネットワークを這い回り、デバイス間で拡散し、ソフトウェアやハードウェアに障害を引き起こし、長期間にわたって存続します。このようなワームが AI を使用して環境に適応した場合、悲惨な結果になることは想像に難くありません。

サプライチェーン攻撃 (NotPetya、2017)

「ゼロデイ」とは、相互接続されたシステムを通じて攻撃が急速に広がる可能性があることを意味しており、これは十分にあり得るシナリオです。今日では、サプライチェーン内の1つのベンダーが侵害されると、何千もの組織に感染する可能性があります。私たちのチーム発見した窃盗型インプラントにバンドルされた偽のソフトウェアを分析しながら、多くの類似した攻撃手法を使用して、ユーザーをだまして正規のプログラムを使用していると信じ込ませます。

史上最も壊滅的なサイバー攻撃の一つであるNotPetyaは、ウクライナで広く使用されているソフトウェアの侵害されたアップデートを通じて広がり、世界中で数十億ドルの損害を引き起こしました。

現実からかけ離れた3つの脅威

Netflix はストーリーテリングに優れており、だからこそ同社の番組は人々を魅了する。しかし、Zero Day はハッキングをサスペンスとしてドラマ化している。

即時かつ同時のシステム崩壊

「ゼロデイ」では、サイバー攻撃によって金融市場、緊急サービス、交通機関などすべてが同時にダウンするように見えます。協調攻撃は可能ですが、現実世界のサイバー攻撃は通常、これほど正確に広がることはありません。NotPetya や SolarWinds のような攻撃は拡散するのに時間がかかり、組織によって対応速度が異なります。

「一般的な脆弱性について言えば、それはおそらくベースバンドかハードウェアにあるでしょう。しかし、複数のベンダーが全国に重要なインフラを供給しているため、現時点ではこれは非現実的です」と、 MacPaw の Moonlock シニア リバース エンジニア (匿名を希望) は指摘します。

数回のキー操作で完全なコントロール

「ゼロデイ」は、ハッカーが暗い部屋で猛烈にタイピングし、瞬時にシステムをドミノ倒しのようにクラッシュさせるという、ハリウッド映画の古典的な手法を頼りにしています。現実には、サイバー攻撃の準備には数週間、数か月、あるいは数年かかります。重要なインフラに侵入するには、複雑なソーシャルエンジニアリング、脆弱性の探索、横方向の移動、そして検出を回避するためのステルスが必要です。キーを数回押して世界が燃えるのを見るほど簡単なものではありません。

止められないスーパーウイルス

この番組では、その影響を緩和する方法のない、止めることのできないサイバー兵器が描かれています。確かに、高度なマルウェアは非常に執拗に攻撃を仕掛けることがあります。しかし、完全にパッチを当てられないサイバー攻撃などありません。最も破壊的なマルウェアであっても、エンドポイント保護、ネットワークのセグメント化、手動介入などの対策を講じれば、阻止することができます。「一度攻撃が始まったら、それで終わり」という考えは、まったくの作り話です。

「感染したシステムの脆弱性を見つけることが目的であれば、ファザーが使用されます。ファザーは CI サーバーでノンストップで実行されます。ただし、すべての可能な値を総当たりで調べるのではなく、スマートなミューテーションに依存します。さらに、すべてのクラッシュ ダンプが悪用可能な脆弱性につながるわけではありません。そもそも、感染したシステムで操作するには、コードを実行するための脆弱性が必要です。つまり、『ターミネーター』にはタイム ループのようなものがあります。したがって、これらのシナリオは現在の AI 開発の状況ではあり得ないと言えます」と、 MacPaw の Moonlock のシニア リバース エンジニアは付け加えます。

フィクションは現実になることができるでしょうか?

「ゼロデイ」は創作上の自由をとっているが、その架空の要素のいくつかは最終的に現実になる可能性がある。AI 駆動型攻撃、ディープフェイク ソーシャル エンジニアリング、自律型マルウェアの進歩により、番組で描かれた脅威に私たちが近づく日が来るかもしれない。AI 支援型ハッキング ツールはすでに脅威の状況を変えつつあり、サイバー攻撃をより迅速かつ効率的にしている。

例えば、ムーンロックラボのチームは最近、 PythonベースのマルウェアOpenAI API (ChatGPT) を使用してフィッシング キャンペーンを実行します。AI がパーソナライズされたフィッシング コンテンツを生成するには、依然として適切に構造化されたクエリが必要ですが、脅威アクターの作業が大幅に簡素化され、加速されます。

さらに、政府や国家主体がサイバー戦争に投資するにつれて、フィクションと現実の境界線はますます曖昧になっています。AI による偽情報キャンペーン、自動化されたゼロデイ攻撃、自己拡散するマルウェアは、もはやあり得ないシナリオではありません。ただし、この段階では、脅威アクターは主に自動化と攻撃準備のために AI を使用しています。シリーズで見られるように、「実行プロセスで AI を使用してコードを適応させる」ことではありません。

警告の物語としてのフィクション

「ゼロデイ」シリーズはサイバー戦争のいくつかの要素を誇張しているかもしれませんが、私たちのデジタルインフラは脆弱であるという重要な真実を効果的に浮き彫りにしています。ハリウッド映画のような「終末ウイルス」がすぐに現れることはないかもしれませんが、ランサムウェア、重要なインフラへの攻撃、AI によるサイバー犯罪などの現実世界の脅威は、私たちの注意と認識を必要としています。

マルウェア研究者、セキュリティ専門家、そして一般ユーザーとして、私たちは現実世界のインシデントと架空の警告の両方から学ぶ必要があります。サイバー脅威は進化しており、「ゼロデイ」はそのタイムラインを加速させるだけです。