米露サイバー戦争 2017 (3) 暗躍するグリズリー・ステップ

江添 佳代子

January 23, 2017 08:00
by 江添 佳代子

ロシアのサイバー活動に関する技術的な機密情報として、DHSとFBIが共同分析したレポート「GRIZZLY STEPPE Russian Malicious Cyber Activity/グリズリー・ステップ──ロシアの悪意あるサイバー活動」(PDF)は、あくまでも「世界のネットワーク管理者の皆さんがロシアの脅威に対抗できるようにするために」公表したものだと説明している。

しかし、「私もロシア政府の高度なサイバー攻撃に狙われるかもしれない」という不安を抱いて、この報告書を読む人はほとんどいないだろう。注目すべき点は、なぜ米国が「この一連の攻撃はロシア発だ」と断定できたのか、その根拠に説得力はあるのか、という部分だ。

グリズリー・ステップは何者か?

まずは報告書のタイトルについて確認しよう。序文の説明によれば、表題の「グリズリー・ステップ(GRIZZLY STEPPE)」とは、米国の当局者たちが利用していた「ロシアによる一連の攻撃の通称」であるという。筆者が気になるのは、「いったい彼らはいつから、その攻撃活動を『ロシアに結びつけた通称』で呼んでいたのか」という点だが(場合によっては先入観ありきの研究だった可能性が疑われるからだ)、その点に関する説明は特にない(※1)。

この報告書は、RIS(Russian Military and Civilian Intelligence Services/ロシアの軍、および民間の諜報機関)の脅威について解説したものだと述べている。主な内容は、DNCへの侵入行為に関与した「2つの異なるRIS」に関するレポートであり、その2つとは「ロシア軍参謀本部情報総局(GRU)と繋がりのあるAPT28」、および「ロシア連邦保安局(FSB)と繋がりのあるAPT29」だったと説明されている。このAPT28とAPT29は、過去にDNCから協力を要請されたセキュリティ企業CrowdStrikeが、「攻撃の実行グループ」として昨年夏に名前を挙げていた「Fancy Bear」、および「Cozy Bear」と同一のグループだ。
 
参照
米民主党全国委員会をハッキングした「ロシアハッカー」の手口
ロシアの諜報活動? 米国の陰謀論? 謎が謎を呼ぶ「米民主党全国委員会」侵入事件(前編)

グリズリー・ステップの戦術と成果

今回の報告によれば、APT29(Cozy Bear)は2015年夏、米国当局者を含めた1000以上のメールアカウントに「悪質なリンクを含んだメール」を送りつけた。彼らはマルウェアのホスティングやメールの送信に「米国の教育機関、その他の米国組織」を含めた、数多くの組織の正当なドメインを利用していたという。余談だが、APT29にドメインを悪用された業種が、以前に紹介した「イクエーショングループに悪用された被害者」の傾向と似通っているのは面白いポイントだ。

このフィッシングメールの活動により、APT29はDNCのサーバーの攻撃に成功した。DNCのシステムにマルウェアを送り込んだ彼らは、持続的でステルス性の高い活動の場を確立し、特権を昇格し、民主党(※2)内のメールを次々と盗み出した。彼らのマルウェアは「内部データを見つけ出しては、独自の暗号キーを利用し、暗号化されたチャネルを介してデータを送り出す」という戦術だった。

一方のAPT28(Fancy Bear ファンシーベア)は2016年春、同じくDNCのサーバーを攻撃する際、自身が運用しているインフラにホストした「偽のウェブメールのドメイン」を利用し、受信者にパスワード変更を依頼するスピアフィッシングメールを送信して、受信者の認証情報を盗み出した。彼らが送り込んだマルウェアはAPT29の手口とは異なり、「外部にあるAPT28のシステムから送られる指示を待ち、遠隔操作でデータを盗む(キーロガーも利用する)」というものだった。こちらのほうが、狙った獲物を確実に落とすには有利だろう。このようにしてAPT28が2016年に党員から盗み出した情報は、プレスに漏洩し、一般に公開されたと記されている。

ここまでの説明は、かなり分かりやすくまとまっている。だが昨年夏にCrowdStrikeがブログで発表したレポートや、同年秋にESETが発表したレポート、そして DHSとODNIが10月に発表していた共同声明と比較すると、それほど目新しくもない。Fancy BearとCozy Bearによる戦術の相違点などは、セキュリティニュース界では半年前にも取りざたされていた話題だ。

とはいえ、今回の報告は決して無駄ではないだろう。なにしろ、過去にCrowdstrikeが行ったDNCハッキングのアトリビューション(攻撃の帰属)には、それなりの説得力があった。一部には「状況証拠に頼りすぎている」「他者がロシアになりすましている可能性を充分に検討していない」といった批判があり、またDNCハッキングの実行犯を名乗るGUCCIFER 2.0も複数の誤りを指摘していたものの、長年にわたって2つのグループを研究してきた同社の研究者が示す数々のヒントを見れば、「ほぼ間違いなくロシアの仕業ではないか」と疑われるのは自然な流れにも思われた。

しかし多くの人々にとって、彼らのレポートは難解すぎた。「なんだかよく分からないけれど、要するにロシアっぽいんでしょ? ぜんぜん不思議ではないから、それでいいんじゃないの」という程度の印象で語られる可能性もあった。いま、このタイミングでAPT28とAPT29の攻撃を分かりやすく説明し、「この特定的な脅威に対して制裁措置を加えるため、オバマ大統領は緊急に大統領令を出したのだ」と伝えるのは、米国政府にとって大いに意味のあることだろう。
 
(その4につづく)
 
※1 ちなみにグリズリー・ステップの「ステップ(Steppe)」は歩みを示すStepではなく、平坦な草原を表す「ステップ地方」のステップであり、ロシアやシベリアと関連づけられている言葉だ。また「Fancy Bear」「Cozy Bear」の例からも分かるとおり、ロシアが熊に喩えられるのは一般的で、過去にはロシアの開発したミサイルが「グリズリー」の通称で呼ばれたこともある。
 
※2 この報告書は、なるべく具体的な表現を避けているようだ。たとえばサーバーを攻撃された被害者は「米国の一政党」と記されている(もちろん民主党のことだ)。また文中にはRIS(Russian Military and Civilian Intelligence Services/ロシアの軍、および民間の諜報機関)という略称が何度も使われているが、「ロシア」という単語そのものはほとんど出てこない。また盗まれた情報は「一般に公開された」と記されているものの、「Wikileaks」や「GUCCIFER 2.0」などに関する言及は何もない。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…