もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (5) それは「ウクライナを標的としたロシア発の攻撃」なのか?

江添 佳代子

July 18, 2017 08:00
by 江添 佳代子

洗練された大規模なサイバー攻撃が発生したとき、「誰の仕業なのか」を特定することは難しい。攻撃が高度になればなるほど、出所を隠す技術も高度になるからだ。それでも派手なインシデントが起こるたび、被害を受けた国が「敵対関係にある国」を実行犯として公式に非難するのは、すっかりお馴染みの光景となった。

その点だけを考えても、「NotPetyaはロシアの攻撃だった」とウクライナ保安庁(ソ連時代のKGBの後継に該当する機関。以下SBU)が断言したことは、決しておかしな話ではない。政治的な背景を考えれば、ロシアにはウクライナを攻撃したい理由が山ほどあり、そしてウクライナがロシアを非難したい理由も山ほどある。いくつかの「技術的な根拠」が存在しているなら(その信憑性の高低にかかわらず)、ロシアが名指しされるのは普通のことだ。

しかし今回のSBUの主張は、「サイバー攻撃を受けた米国が、中国や北朝鮮やロシアを犯人と断定して非難するときのケース」とは、かなり事情が異なっている。むしろ今回のインシデントの場合、ウクライナがそれを発表しないほうが不自然だったと言ってもよいだろう。なにしろ旧ソビエト連邦国とロシアには、サイバー戦争の歴史がある。

旧ソ連国に対するロシアのサイバー戦争

一般的に「史上初のサイバー戦争」だったと考えられているのは、2007年の「エストニアを標的とした攻撃活動」だ。4月27日に発生した複数のサイバー攻撃(主にDDoS攻撃)は、エストニアの政府や報道機関、銀行のシステムなどを次々と麻痺させ、さらに国内のインターネットには約3週間にわたる障害が発生した。このサイバー攻撃はIT立国を掲げている小国エストニア(※1)にとって非常に大きなダメージとなったが、アタックが収束に向かうまでの3週間を同国はどうにか乗り切った。

当時のロシアでは、エストニアの首都タリンに置かれていた旧ソビエト軍兵士像の移設にまつわる騒動を発端とした「反エストニア運動」が起きていた。その真っ直中に起きた3週間の強力なサイバー攻撃活動は、「ロシア政府によるものだった可能性が高い」と広く考えられているが、ロシアはそれを否定している。

そして翌年2008年の南オセチア紛争で、ロシアは旧ソ連国グルジア(現ジョージア)に対し、政府のウェブサイトの改竄や大規模なDDoS攻撃、インターネットの切断など、様々な「サイバー戦」の手法を行使したとされている。このグルジアに対する多様なサイバー攻撃は、「ロシアの陸・海・空の兵器と『サイバー兵器』とが同時に利用された初めての戦争」だったと認識している人々が多い。

ロシアによるサイバー軍事行為は何度も起きている

次に紹介するのは2014年の「クリミア危機」におけるサイバー攻撃、つまりロシアとウクライナを舞台とした事件である。同年2月28日、クリミア半島に置かれていたウクライナの国営通信事業者「Ukrtelecom」の通信センターが「未知の攻撃」を受けたことによりサービスを遮断された。その数日後には同社のオフィスが「正体不明の構成員たちによって」占拠されたのち、通話やインターネットのケーブルが切断されたことが伝えられた。さらにウクライナ議会のメンバーたちは、自分の携帯電話の通信がブロックされたということも発表している。

なにしろ、それは2014年のクリミア半島で起きた事件であったため、当時の一部の報道機関は直ちに「ウクライナのインターネット切断 ロシア軍による攻撃か」などの見出しで事の顛末を報じた(一例)。この事件が勃発したとき、セキュリティ業界の一部の人々は、「ロシアがグルジア戦で用いたサイバー戦略が、ついにウクライナでも発動したのか?」とざわめいていた(一例)。現在でも、それは「ロシアであった可能性が非常に高い」という形で認識されている。

一方、Ukrtelecomがサービスを遮断された翌日には、ロシアの国営メディア「RT(旧ロシア・トゥデイ)」のほうがハッキングを受け、同ウェブサイトの「ロシア」「ロシア人」という言葉が「ナチ」「ナチス」に置き換えられるという事件も発生していた。それがウクライナによる報復活動だったという証拠はないのだが、その可能性は高いと考えられている(※2)。

つまり「ロシアと旧ソ連諸国の間では、10年前から『サイバー軍事行為』が何度も発生している。またロシアとウクライナ間の『サイバー戦争』も3年前から開始しているので、ウクライナに大きな障害をもたらすマルウェアの活動があった場合、それがロシアに関連づけされるのは自然な流れだ」という考え方がある。
 
※1…早くから国策として徹底的なIT化が進められてきたエストニアは、世界で初めて電子投票を導入した国でもあり、金融や交通などの様々な業務のサービスがオンラインで利用できるようになっている。
 
※2…このときのウェブサイトの改竄は、自動的に「ロシア」「ロシア人」という単語を「ナチ」「ナチス」に置き換えたものではない。たとえば「ロシアの上院議員たちが、ウクライナの領土にナチス軍を配置するよう票を投じた」など、ロシアを嘲る内容として意味が通るよう、選ばれた部分だけが置き換えられていた。つまり、ただ単にRTのウェブサイトを荒らしたかったのではなく、そこに書かれた文章を改竄して読ませることを意図した丁寧な攻撃だったため、「状況から考えるにウクライナか、あるいは親ウクライナ派のハッカーの仕業だったに違いない」という疑いが持たれている。

2015年と2016年の停電

NotPetyaの活動がウクライナを標的としたロシアの攻撃であったことを示す根拠として、SBUは「昨年のサイバー攻撃」について言及した。「2016年12月にマルウェア『TeleBots』『Blackenergy』を利用し、金融システム、輸送、発電施設を攻撃したハッキンググループが、今回の攻撃(NotPetya)にも関与した。データは、それを充分に確信させるものだった」とSBUは語っている。ただし、その「データ」に関する詳しい説明はない。

この事件についても簡単に振り返ってみよう。ウクライナの首都キエフでは、2015年の12月と2016年の12月(※3)に大規模な停電が発生した。これらはいずれも「サイバー攻撃活動の影響による停電」だった。

ウクライナ政府はこれまでに複数回、この2度のサイバー攻撃がいずれも「ロシア発」だったと明確に名指ししてきた。たとえば昨年12月にはペトロ・ポロシェンコ大統領が声明の中で、この攻撃はロシアによるウクライナへの「サイバー戦争行為」だったと語っている。つまりウクライナにとって(また、おそらくは一部のセキュリティ専門家にとっても)、今回のNotPetyaの大流行は「何度もウクライナにサイバー戦争を仕掛けてきたロシアによる攻撃活動の一環」でしかなく、「世界中に広がったNotPetyaの感染は『流れ弾』だった」ということになるだろう。
 
※3…ちなみに12月のキエフの平均気温は氷点下となる。

「ロシア発」の結論に飛びついても良いのか?

これまでの旧ソ連諸国を巡るサイバー攻撃の現状や、「ウクライナで広く利用されている会計ソフトがNotPetyaの感染に利用されたこと」を考えれば、ウクライナ側の主張も不自然ではない。さらにNotPetyaは「Shadow Brokers(こちらもロシアの関与が疑われている)が盗み出し、オンラインで公開したNSAの武器」を取り入れたマルウェアである。ロシアはこのようなマルウェアを大流行させることで、昨年のNSAハッキング事件を世界に思い出させたかったのではないかという仮説も立てられる。もしもウクライナを攻撃しつつ、米国の評判を落とし、さらに金儲けにも少しは期待できるのなら、それはロシアにとって一石三鳥となる。

しかしサイバーアタックの攻撃元を特定することは簡単ではないので、ひとつの考えにとらわれるのは危険だ。むしろ仮に「正体を隠したまま世界に混乱を巻き起こしたいと考えた何者か」がいたとするならば、「最も疑われやすいロシア」の攻撃に見せかけるのが好都合だろう。あるいはNotPetyaが「純然たるランサムウェア」であり、ウクライナでの被害が大きかったのは単なる偶然、という可能性も残されている。

ロシアは、当然のことながらNotPetyaへの関与を認めていない。それどころかNotPetyaが「米国によるサイバー攻撃だったのではないか」とのコメントもしている。AP通信のHOWARD AMOSが報じたところによれば、ロシアの議員イーゴリ・モロゾフ(Igor Morozov)は地元通信社に対し、ウクライナの訴え(つまりロシアの犯行説)は「フィクション」だと述べており、また「この攻撃は、おそらく米国によるものだろう(be likely)」と話している。彼が「米国発の攻撃」と考えた根拠は不明だ(少なくともAP通信の記事には掲載されていない)。

専門家の考え

それでは、セキュリティの専門家たちはどのように考えているのだろうか? 彼らの間でも意見は分かれている。そして彼らは当然、その表現に気を遣っている。

ESETは、6月30日の「WeLiveSecurity」の中で、NotPetyaの発生が「孤立した(単一の)インシデントではないということに注意するべきである。これは、『ウクライナで発生している一連の類似した攻撃活動』の最も新しいものだ」と断言し、今回の攻撃と過去の攻撃の技術的な類似性を丁寧に解説している。ただし、この記事の中に「ロシア」の文字は一度も出てこない。

F-Secureのアンディ・パテールが6月29日に記したブログは、「NotPetyaの攻撃を、国家によるサイバー攻撃だと断言したくはない」というスタンスを明確に示すものだった。その理由として「この問題は、もっと深く調査する価値のあるものだと我々は確信している」「『M.E.Docを使用せず、ウクライナとの明確なつながりもないのに、火曜日の大流行で感染した被害者がいることを我々は知っている。 この謎は、我々が陰謀論に飛びつくのを妨げている要因の一つだ」「そして我々は『答え』をまだ見出していない」と彼は述べている。しかし「その仮説(NotPetya=いずれかの国家によるサイバー攻撃説)への懐疑は、どんどん薄れている」とも語っている。

このようにセキュリティの専門家たちが慎重に表現を選んでいる中、「一般の人々」はどのように反応しただろうか。その一例として、6月27日のNotPetya大流行の際、The Spectator Indexのツイートに寄せられたコメントをピックアップしよう。一部の人々は「中国が被害にあっていない(つまり中国の仕業だ)」と指摘していた。さらに「北朝鮮も被害者リストに上がっていない」「パキスタンもだ」「ISISの仕業ではないのか」などの指摘もある。このとき彼らがロシアを疑っていなかったのは、おそらく「ロシアの組織も被害にあったから」というだけの理由だろう。
現時点ではっきりと言えるのは、
「ShadowBrokersがNSAのエクスプロイトを公開した翌月と翌々月、その技術を利用した高度なマルウェアが大流行し、世界規模の混乱を巻き起こしたこと」。そして
「WannaCryの悲劇が大きく報じられても、古いOSの脆弱性を塞ぐことができていない大きな組織は世界中に存在していること」。したがって
「もしもWannaCryやNotPetyaのようなマルウェアが三度目に放たれることがあれば、また多くの被害者が出るだろうということ」だ。
 
おまけ
「Hitler reacts to(日本で言うところの総統閣下シリーズ)」のNotPetyaバージョン。とても凝っているので、興味のある方にお勧めしたい。
Hitler Reacts to Not-Petya

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…