米民主党全国委員会をハッキングした「ロシアハッカー」の手口

西方望

July 11, 2016 11:00
by 西方望

「アトリビューション(attribution)」という言葉がある。一般的には「帰属」や「属性」、あるいは何らかの理由付けをすることだが、ITセキュリティにおいては、サイバー攻撃の犯人が誰かを特定すること、という意味で用いられる。しかしほとんどの場合、正しいアトリビューションは容易なことではない。実際のところ大規模なサイバー犯罪では、100%疑いなく犯人がわかるということは、まずほとんどあり得ないと言ってもいい。例えば、2014年末のソニー・ピクチャーズエンタテインメントへの攻撃では北朝鮮が犯人と名指しされたが、それについての疑問も噴出した

サイバー攻撃の犯人を特定するのは難しい

アトリビューションには困難が伴うのは、攻撃がネットだけで完結している場合、証拠を消したり偽装したりすることは容易だからだ。例えば攻撃者のIPアドレスそれ自体にはほとんど意味がないということは、皆さんもよくご存じだろう。よほどの間抜けでないかぎり、自分のアイデンティティに直接結びつくIPアドレスのマシンから攻撃を行う犯罪者はいない。赤の他人のPCを踏み台としたり、乗っ取ったPCのネットワーク(ボットネット)を操ったり、そこからさらに第三者のPCを経由して攻撃するのが普通だ。

メールの文面やプログラムの変数名・コメントなどから国籍を推定するというのもあまり信頼できない。自分でその文なりコードなりを書いたのではなく他人の作ったものを利用しているだけかもしれないし、わざと別の国籍を装うことも考えられる。覆面のコンビニ強盗が「カネ、カネ、キンコ」などと片言の日本語で脅したからといって外国人とはかぎらないのと同じだ。また、どのような種類の情報を狙ったかによって犯人の目的を推測することも一助にはなるが、これもやはり犯人が目くらましとして全く必要のない情報も盗んだりしたという可能性は否定し得ない。この他に、プログラムがコンパイルされた時間やマルウェアが指示を受けていた時間などから国(タイムゾーン)を推測する方法などもあるが、これも絶対ではない。もちろん、どれも他の証拠と照らし合わせた上で推理を補強する要素にはなり得るが、確定的な根拠と言うにはほど遠いだろう。

ボットに指令を出したり情報を受け取ったりするコマンド&コントロール(C&C)サーバーや、C&Cサーバー同士あるいは上位のサーバーと通信するためなどのネットワークインフラストラクチャも、アトリビューションのための重要な要素だ。このネットワークから指令を出している攻撃者までのつながりが解明できれば話は早いのだが、実際にはそこまで判明することはまずない。しかし、例えば同じインフラストラクチャを利用していれば同一グループかあるいは何らかの関係を持つグループ、などといった推測が可能となる。もっとも、他者のC&Cサーバーを乗っ取って利用していた例などもあるので、これもまた100%確実ではない。結局のところアトリビューションは、さまざまな情報を組み合わせて最も確度の高い答えを導き出す、という作業になる。

直接誰が犯人を示すものではないが、AとBが同じ人物(グループ)なのかどうかを知るために重要なのが「手口」だ。チェスや将棋で指し手の個性が出るように、スポーツチームにはチームごとに異なる戦術があるように、ハッカーやハッカーグループの攻撃手法にもそれぞれの特色や好みは出てくる。人間がやっている以上当然のことだ。もっとも、チェス・将棋・囲碁で人間が機械に敗れたのと同様、サイバー攻撃もいずれは自動化され、痕跡を残さず特色も見せず、といったことになるのかもしれないが、そのころには防御や調査も自動化されて十分対応できると思いたい。なお余談だが、米国防総省のDARPAはサイバーセキュリティの自動化を競うコンペティション、DARPA Cyber Grand Challengeを開催しており、8月のDEFCON 24で決勝戦が行われることとなっている。

閑話休題。例えばある攻撃と別の攻撃で同じマルウェアが使われたからといって、それだけでは必ずしも同じ犯人とは言えない。アンダーグラウンドで出回っているものを別人が利用したのかもしれないし、盗み取られたものかもしれない。だが、同じ国の同じ業種のターゲットを狙い、同じタイプのマルウェアを同じような手法を使って感染させ、同じやり方でマルウェアに指令を送り、同じ手順でネットワーク調査や侵入の拡大を行い、似たような構成のインフラストラクチャを経由して情報を抜き出す、ということになると、同一犯という可能性はかなり高いと言える。手口を精査することによるプロファイリングは、別々の攻撃における犯人を同定するための最も重要な武器だろう。

2つのロシアハッカーグループが別個に侵入?

最近起きた米民主党全国委員会(DNC)のハッキングでは、こういった「手口」からのアトリビューションの一端をうかがい知ることができる。この事件については、こちらの記事で詳しく解説しているが、概要だけまとめておこう。何者かがDNCのネットワークに侵入し、民主党の内部情報や対立する共和党大統領候補ドナルド・トランプ氏を調査した情報などにアクセスした、というものだ。セキュリティ企業CrowdStrikeによる調査などにより、これはロシアの国家支援ハッカーによるものとされた。だが、GUCCIFER 2.0を名乗るハッカーが自らの単独犯であると主張し、DNCの内部文書を公開した……

CrowdStrikeはブログで、2つのハッカーグループが別個にDNCに侵入したと結論づけており、GUCCIFER 2.0が実際に侵入していたにせよ誰かから情報提供を受けたにせよ、その事実は変わらないとしている。CrowdStrikeが犯人として挙げているのは、ロシアの国家支援ハッカーとして知られている2つの有名なグループだ。1つは「COZY BEAR」、FireEyeの言う「APT 29」、Kasperskyなどの言う「CozyDuke」などと同一の存在と見られている。もう1つは「FANCY BEAR」(ファンシーベア)、こちらも「APT 28」「Sofacy」「Pawn Storm」など多くの別名がある。

特に政治的なハッキングについての調査におけるアトリビューション作業では、まず既に知られている攻撃者(グループ)と共通する手口がないか探すことになるだろう。おそらくその結果COZY BEAR、FANCY BEARのプロファイルに相当する十分な根拠が見つかったことにより同定したと思われ、少なくともCrowdStrikeの発表の限りでは、今回の攻撃が直接であれ間接であれ地理的にロシアに結びつく要素があったとは示されていない(C&CサーバーのIPアドレスが7つ挙げられているが、ロシアのものは1つもない)。つまり、犯人はCOZY BEARとFANCY BEARだと思われる、彼らはロシア国家支援ハッカーと思われる、だから今回の攻撃はロシアハッカーによるもの、ということだが、これはそれほど薄弱な三段論法ではないだろう。

COZY BEARとFANCY BEARは以前から知られているグループで、さまざまなセキュリティ企業がロシアに結び付く状況証拠を示しており(状況証拠しかないのはやむを得ない)、ロシアのグループであるという推定は妥当に思われる。とはいえ、ロシア国家が支援しているという具体的な根拠には乏しいが、これは確定的証拠が見つかることはあり得ないだろう。そしてCrowdStrikeは、ブログで「過去にこの両攻撃者グループが我々の顧客をターゲットにしたことによる多数の経験があり、彼らのことはよく知っている」と言っているように、彼らの手口を熟知しているはずだ。

CrowdStrikeは、COZY BEARについて次のように述べている。COZY BEARは広範なターゲットへのスピアフィッシングキャンペーンを好み、メールにはドロッパーへのリンクが含まれている。ドロッパーがPC上で起動すると、複数あるリモートアクセスツール(RAT)の1つがダウンロードされる。多くの場合、ドロッパーとペイロードの両方に、仮想マシンやデバッガやサンドボックスによる分析が行われていないか確認する技術が用いられている。各種セキュリティソフトがインストールされていないか、そしてその設定もチェックする。RATを検出するかもしれないソフト(のバージョン)などが見つかった場合動作を停止する。こういった細かい設定に合わせられるというのは、多くのリソースと綿密なテスト環境を持っていることを示している。これにより検出を防ぎ、同じツールを使い続けられる。ツールは、暗号化された設定ファイルを通じ、C&Cサーバー、最初に実行するタスクのリスト、持続メカニズム、暗号鍵などさまざまなコンポーネントを高度にカスタマイズ可能。暗号化されたペイロードのHTTPプロトコルがC&Cサーバーとの通信に用いられる。

一方FANCY BEARは、何年にもわたって開発されてきた多数のツールを使い捨てている。またLinux、OS X、iOS、Android、Windows Phoneのマルウェアまで用いる。彼らはターゲットとする組織のドメインによく似たドメインを登録するという手法で知られている。ここに、被害者の使用するWebベースのメールサービスに見た目や操作感を似せたフィッシングサイトを立て、認証情報を盗み取る。

こうして見ると、たしかに攻撃のタイプがかなり違うことがわかる。ステルス性のCOZY BEAR、開発力のFANCY BEARと言ったところか。DNCの事件については、それぞれのものとされる例が1つずつ紹介されている。COZY BEARはかなり凝ったことをしている。Pythonで書かれたツールを難読化したコマンドとしてWindows Powershellで実行、Windowsのドライバーの管理に用いられるWindows Management Instrumentation(WMI)データベースに潜み、バックドア機能を提供したり他のPowershellモジュールをダウンロードしたりする。一方FANCY BEARの例は、twain_64.dllに偽装したツールをrundll32.exeで起動するという、今となっては少し古典的な感じもする手法だ。なるほど、技のCOZY、力のFANCYという印象を受ける。もちろんこれだけなら、結論ありきでそれぞれの攻撃らしきものを当てはめた、という見方もできてしまうが、実際にはこの他多数の情報を総合した上でCOZY BEAR、FANCY BEARと特定したのだろう。

なおCrowdStrikeによれば、COZY BEARとFANCY BEARは共にDNCに侵入したものの、両者が協力したり、互いの存在を知っていたりした形跡は全く見られないという。同じ国家が支援しているハッカー同士なのに、と思われるかもしれないが、こういった類は珍しい話ではない。「縦割り」は官僚機構の宿命とも言える。日本の政府や自治体でも、組織間の連携が不十分あるいは全くなかったり、縄張り争いをしている例はいくらでも見られるだろう。まして、おそらく史上最大の官僚システムを築いたソビエト連邦を継承するロシアであれば、左手の行いを右手が知らない、といったことがごく普通であろうことは想像に難くない。さらに、CrowdStrikeのブログからもリンクされているシンクタンクの記事(Putin’s Hydra: Inside Russia’s Intelligence Services)にあるように、意図的に複数の諜報機関を競わせているという見方もある。

今後も100%確実でなくとも犯人は「断定」される

DNCにロシアの国家支援ハッカーが侵入していたのか、という点についてはおそらくその確度はかなり高いと言っていいのではないか。むろんCrowdStrikeが何らかの意図を持ってそう述べているという可能性がないとは言えないが、実績のあるセキュリティ企業であり、その推測を疑う理由は今のところはない。しかし実際にロシアハッカーが侵入していたとしても、それは他のハッカーは侵入していなかったということにはならない。COZY BEARとFANCY BEARが互いに気づかず行動していたように、さらに別の第三者がやはりそれぞれを知らずに動き回っていたのかもしれないのだ。GUCCIFER 2.0は、ロシアとは関係なく全く別に侵入したハッカーだとも考えられる。

もちろん、GUCCIFER 2.0がロシアによる目くらましであるという可能性も十分あり得る。しかし、今までロシアが指弾されたサイバー攻撃でこのような対抗策を採った例はなく、やや唐突な感は否めない。そもそもこんな偽の手がかりを提示したところで効果が薄いことはロシアもわかっているはずだ。防衛やセキュリティの関係者なら、「こいつが真犯人でロシアは白」などと考えるわけがなく、上述のような「ロシアも黒、こいつも黒」という想定の方がまず頭に浮かぶのは間違いない。実際、CrowdStrikeはそういう見方のようだ。

いずれにせよ、新冷戦・第二次冷戦とも言われる現在の国際情勢の中で、米ロ間・米中間などのサイバー戦はさらに激化するのは確実だ。武力衝突の場合は一歩間違えると破滅的な報復合戦になりかねないが、サイバー攻撃であれば報復の口実、あるいは報復の対象すら見つけるのが難しい。いわば「安全な戦争」だ。それだけに、ある程度の根拠さえあればことさら声高に相手を非難することになる。100%正確なアトリビューションはほぼ不可能なのは何度も言ったとおりだが、それでも今回のDNC事件同様に、他国の国家支援ハッカーの仕業と「断定」される事件はいよいよ増えていくだろう。




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…