米露サイバー戦争 2017 (4) とにかくロシアに気をつけろ

江添 佳代子

January 24, 2017 08:00
by 江添 佳代子

ロシアの犯行を示唆するファイル?

この報告書の実質的なメインコンテンツは、APT28とAPT29の活動内容の報告と、それに続いて掲載されている「RISの名前(別名)のリスト」だ。このリストには「Cozy Bear」「APT29」などの団体名だけではなく、おそらく作戦名らしきものも含まれているのだが、なぜか一般的なマルウェアの名前(産業制御システムを標的とするマルウェア「HAVEX」など)や「Powershell backdoor」などの文字も並んでいる。これが何を意味しているのかはよく分からない。犯行グループが自身を表す際、それらの「文字列」を仮名やコードネームとして使っていたのか、あるいは報告書が「HAVEXの使い手はロシアだ」と主張しているのか、特に説明はない。

そしてリストのあとは、ようやくIOC(セキュリティ侵害の証拠や痕跡)の話題に移る。この項目こそ、ロシア政府との繋がりが示されるはずの注目のポイントだ。しかし、そこには次の一文しか記されていない。
「RISの活動に関連づけられるIOCは、JAR-16-20296(筆者注:この報告書のナンバー)に付加された.csvファイル、および.stixファイルで提供している」

つまり、今回の「技術的な機密情報の公開」で最も気になるIOCのデータは、この共同報告書には含まれていないということになる。さらに「付加された2つのファイル」へのリンクは文中に貼られておらず、どこで読めるのかも説明されていないうえ、ファイル名すら分からない。ただ「拡張子」が記されているだけだ。ホワイトハウスのウェブサイトから報告書を開いたユーザーは、このファイルを探すだけでも一苦労となる。ここまで必死で資料を読み進め、ようやくIOCの項目まで辿り着いた読者であれば、この不可解な構成に呆然とするのではないだろうか。

問題の2つのファイルは、US-CERT公式サイトの「Security Publication」メニュー下にあるグリズリー・ステップのページからダウンロードすることができた。このページの中央近くにあっさりと記された「GRIZZLY STEPPE Indicators (CSV)」「GRIZZLY STEPPE Indicators (STIX xml)」の2行の文字が、IOCのファイルへのリンクだ。この控えめで不親切な提示を見たとき、「ホワイトハウスは、できるだけアクセスされないように画策しているのではないか?」と感じてしまった人もいるだろう。

ともあれ、これらの2つのファイルに記された「インディケーター」のほとんどは、大雑把に言えば「40以上の国々に分布する900弱のIPアドレスのリスト」だ。このうちロシアに置かれたサーバーは2つしかない。最も多いのは米国、次いで中国。日本のアドレスも数件含まれている。もちろん、その国々が米国政府へのサイバー攻撃活動に加わったという話ではなく、これらはあくまでも「ロシアが米国を攻撃する際に悪用したドメインのリスト」ということになる。

しかし、このデータをロシアに結びつける根拠は提示されていない。リストには「IP_WATCHLIST」や「C2」などの役割を示す列もあり、「××というマルウェアは、このC2の利用を試みる」といった説明もわずかに含まれているのだが、それ以上の情報はない。つまりロシアがAPT28のマルウェアにどのようにして指示を送ったのか、あるいはDNCから盗み出されたファイルがどのようにしてロシアの手に渡ったのか、その道筋が記されているわけではない。この世界中のIPアドレスに「グリズリー・ステップと呼ばれる脅威に悪用された痕跡」が残されているのだとしても、「その悪用がロシア発であるかどうか」が一般読者には分からない。せっかく苦労して見つけたファイルではあるが、いまはリストを見た専門家たちによる考察を待つしかなさそうだ。

具体的なロシアへの対策

共同報告書の本文に戻ろう。IOCに関する一行報告のあと、次の項目として掲載されているのはYaraシグネチャだ。その後、DHSはネットワーク管理者たちに対して「ここで示されたIPアドレス、ファイルのハッシュ、およびYaraシグネチャを確認すること」「自分の組織内で悪意ある行動の確認を判断できるようにするため、ウォッチリストにIPを追加すること」を推奨している。ここから先は、ネットワーク管理者たちがロシアの攻撃活動から身を守るため、どのように脅威を検知、緩和するべきなのか、また組織全体としてどのように構えるべきなのかといった具体的なアドバイスが続く。

その内容は、たとえば「フィッシングとスピアフィッシングへの備え」として、「従業員の情報や社内の情報を求める個人からの電話、ソーシャルメディアでのやりとり、メールに対して疑いを持つようユーザーを教育すること」「個人や組織に関する情報は、その情報を入手する権限を持っている人物でない限りは提供しないこと」など、かなり初歩的なセキュリティ対策も含まれている。これらのやや親切すぎるようなアドバイスが、最後の「連絡先」のページまで続き、もうアトリビューションに関する話題は出てこない。しかし彼らの謳っている公開目的を考えれば、無茶苦茶な構成だとは言えない。

全体を通して、この共同報告書が「オバマ大統領の判断の妥当性」を示すことに成功しているのかどうかは微妙だ。おそらくコンテンツとして最も魅力的なのは、APT28とAPT29の活動を丁寧に解説した部分だ。この項目を読んだ人々の多くは、「米国がここまで攻撃の詳細を把握しているのだから、犯人の特定にも間違いはなさそうだ」と感じたかもしれない。その点では大いに成果がありそうだ。

しかし「実際に行われた攻撃とロシア政府との繋がり」を確信させる決め手は、あいかわらず足りていないように見受けられる。大統領令が改正されるにあたって、なにか明確な証拠が提示されるのではないかと期待していたセキュリティの専門家やファンが読めば、「え、これだけ?」と驚いてしまうかもしれない。

このオバマ大統領の声明と大統領令の改正、そして同時に発表されたDHSとFBIの報告書に対して、国内外のセキュリティ専門家やメディアはどのように反応したのだろうか。次回はその点を説明したい。
 
(その5につづく)

 

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…