ロシアと中国が世界中で展開するサイバー攻撃　日本も巻き込まれた、攻防戦の舞台裏

2023年の象徴的なサイバー脅威

名和利男氏：次は、組織外における激しい変化です。サイバー空間における地政学的なリスクの増大ということで、最近、特に2023年の象徴的なサイバー脅威について、できるだけ丁寧にお伝えしたいと思います。

お伝えするのは、この5点です。それぞれ長いストーリーがあります。しかし、時間も限られていますので、できるだけ端的に重要なポイントをもってお伝えしたいと思います。

2023年の象徴的なサイバー脅威

まず1つ目は2023年1月に親中国ハクティビストが韓国にシステム侵害をした話です。まず背景として、2023年1月17日、米国の有名紙によって、韓国がウクライナに対してちょっとしたテクニックを使って砲弾を提供していたことが暴かれました。この真偽については意図的に不明となっています。

しかし、この報道を見てしまった、おそらく中国のハクティビスト（ネット空間で自分の主義主張を強く訴え、それがグループ化したもの）が、同日中に、韓国に対してサイバー攻撃を仕掛けたことを主張しました。

韓国で発生した中国ハッカーの攻撃

こちらは、韓国の有名な電気通信機器メーカーの内部情報が、かなりの分量で窃取され、それが公開されたという文脈の漏洩データです。この漏洩データについて、あえて評価しませんが、これがもし本当だった場合はかなりのインパクトがあります。

ここでみなさんに気づいていただきたいのは、1月17日に米国の有名紙の報道で暴かれたという状況を信じてしまった中国のハクティビストが、同日中に侵害攻撃をしてしまった。あるいは、できてしまった。

これは、以前から侵害攻撃できる状況にある、それだけセキュリティの弱いところだったかもしれません。しかし違う観点では、サイバー脅威アクターであるハクティビストは、やろうと思えばいつでもできる状況であっただけでなく、その能力を保有していたとも解釈できるかと思います。

この1回だけでなく1月には21日、23日、24日と、かなりの数の韓国における有名な組織がハッキングを受けてしまいました。それは多種多様にわたりまして、データ窃取以外に、サイト改ざんや窃取されたデータが意図的にさらに公開されました。かなりの痛手を受けたようです。

その後の1月24日以降なんですが、韓国の国家レベルの対応として、緊急対応体制が発動されました。

さて、今は非常に厳しい状況に置かれているウクライナに対して、西側各国が積極的に支援を行っています。それと相反する立場としては、ロシア、中国の立場があります。国家間というよりは、価値観の異なる国を舞台とした衝突の中で、サイバー攻撃が発生したことが、この1月の韓国の事象で理解できると思います。

ウクライナ情勢を巡る日本でのサイバー攻防

2月から4月、今度の標的は実は日本です。日本はロシアからしつこいサイバー攻撃を3ヶ月間にわたって受けてしまいました。まず、背景としてはいくつかあります。2月6日に外務省、財務省、そして経産省のホームページで、一斉に公開されました。

それは、ロシアへの追加制裁に関する措置です。これは諸外国が行っているものと同等レベルのインパクトがあるということで、西側諸国はこれを評価しました。逆の評価、すなわち、かなり強い反発をしたのがロシアです。この2月6日の約1週間後、日本に対する大規模なサイバー攻撃が発生しました。

1週間後の2月13日、NoName057（16）。これは日本からするとハクティビストに見えますが、米国ではサイバーテロリストというカテゴリに入っています。これが、日本の相当数の組織に対して大規模なDDoS攻撃を行いました。2月13日から17日まで合計15回の投稿を行いました。ただ、被害状況については十分に集まっていないようです。

中にはきちんとしたDDoS攻撃対策を行っていたために、この攻撃にある意味気づかなかった。気づいていても、それほどインパクトがなかったところもあります。逆に初めて経験して、相当なインパクトを感じてしまったところもあります。いわゆる二極化している状況でした。

次は3月14日です。日本政府は、対ウクライナ関連の支援総額が16億ドルになったという、取材を受けた外務大臣の発言がありました。同日、この取材は2022年版のODA白書に関するものでした。

3月14日の約4日後の3月18日。同じサイバー脅威アクターが、日本に対するサイバー攻撃予告をまた行いました。要は、このウクライナの支援援助に対する報復のような感じです。18日に日本の有名なサイトに対して、攻撃を2回行ったと主張しております。

次は3月21日です。こちらはみなさん、まだご記憶だと思います。岸田首相がウクライナを電撃訪問しました。そして、着いた後の取材、あるいは記者会見等で、ウクライナに対して約600億円の追加供与をすると伝えました。

日本の声明を巡り、ロシアもさらに攻勢

これに対して、ロシアは激しいほどの反応を示しておりました。特に報道機関です。まるで、ロシア国内のネットユーザーを1つの方向に向けんばかりでした。これまでにないような過激な……いろいろなネット上の騒ぎだったり、タス通信（注：ロシアの国営通信社）の意図的な情報発信もありました。

これを受けて約2日後の3月23日、サイバー脅威アクターが日本の特定企業に対する同じサイバー攻撃を予告して、すぐに攻撃を仕掛けたと主張しました。

最後は4月10日です。4月に入りまして、日本のウクライナ支援に対する政府としてのメッセージがあまりなくなったようです。ある記者が、4月10日に定例の官房長官に対する記者会見で、このウクライナに対する支援状況、あるいは支援の継続性について質問したようです。

その回答は、2月、3月と同様なもので、「ロシアに対して、厳しい制裁と強力なウクライナ支援を継続する」と強調しました。

私が見る限り、これを伝えた報道はあまり国内では見られませんでした。しかし、「継続する」という言葉が一人歩きしたのか、ロシアではこの記事がかなりの分量を割いて出ました。

その結果、その翌日の11日に同じサイバー脅威アクターが、日本に対するサイバー攻撃予告を行いまして、即座に行われました。なんと6回も行われまして、これまでにない、攻撃の対象になかったところも追加された格好になっています。

SNSで起きたレピュテーションリスク

正直言って、このような日本に対するサイバー攻撃はそれほどインパクトはありません。2022年、2023年、日本の一部のインフラ事業を止めるようになったランサム攻撃ではありません。DDoS攻撃、あるいは一部侵害じみたものがあったと伝え聞いております。DDoS攻撃があったのは確かだろうと思います。

我慢すればいいんですが、XやFacebook等でおもしろく……ではないんですが、伝えてしまうセキュリティの得意な方たちがいました。

それを知ってしまった方たちが、「あの会社が、あの組織がDDoS攻撃を受けたんだ。どうだったんだろう」と聞いてみたりすると、わずかながらでもレピュテーションは下がってしまいます。何かしらの影響はあったんだろうと推定されます。

こうした措置は、日本の高官の方の世界に対するメッセージ発信がロシアにとって不利益になる場合に影響してきます。そして、プロパガンダと言えるようなロシア国内の報道に影響を受けた過激なネットユーザーが、日本に対する攻撃を即座に呼びかけ、実際に行ってしまう。これが2ヶ月以上も続いてしまった状況でした。

ゼレンスキー氏の動向とサイバー攻撃がリンク

ここから、テンポよくいきます。2023年5月、名前のわからない攻撃グループが、ゼレンスキー大統領の来日に伴い、広島市にネットワーク攻撃を仕掛けました。ゼレンスキー大統領がフランス機で日本の広島空港に着陸したのが15時30分。タラップがついて、飛行機のドアが開いたのは15時40分です。

そのちょうど1時間後に広島市のホームページが閲覧しにくい状況になったそうです。広島市がふだん広報で使われているXで説明してくれました。

そして、22日月曜日まで広島市のホームページの一部が閲覧できなくなります。おそらく意図的に見えなくしたんでしょう。この攻撃に対する評価を、広島市あるいは広島市のベンダーが独自に判断して、最大3日見られなくすることによって攻撃に対する余波、あるいは影響を軽減する措置を取っていました。

誰が行っているかわかりませんが、実はゼレンスキー大統領が世界各国を訪問したり、オンラインでいろいろな主張や演説をする際、このような現象が起こっております。特に北欧では領空侵犯、あるいは他の攻撃と合わせてやってくることが多く見られています。

今回も、この攻撃と同時になんかあるのかなと監視強化をしたんですが、このDDoS攻撃しか見えない状況がありました。ただ、よく見ると、雑音的なサイバー攻撃もありました。

それが親ロシアのハクティビストです。これは名前を言う価値もないような、サイバー攻撃アクターです。これに対する海外のチームの評価ですが、投げ銭目的のサイバー攻撃グループだと見ています。グループというよりは、もしかしたら2〜3人ぐらいだろうと見ています。

日本にゼレンスキー大統領が来ると報道された直後から、日本の広島市、あるいは日本を代表するようなサイトに対してわずかなDDoS攻撃を仕掛けました。これは、これを仕掛けたことをXまたはテレグラムで主張することによって、いろいろな方が褒めたたえてくれます。そして、わずかながらでもビットコインでお金を渡してくれる。これは以前からハクティビストがよく使う手段なんですが。

このやり方は、プロフィールにわざわざビットコインのアドレスを書いて、「自分ががんばって、成果が出たらここにビットコインを振り込んでくれ」などと主張してる。わかりやすいお金目的のものだと私たちは分析しております。

日本のサイトが影響を多数受ける

詳しくお伝えはしませんが、彼らがどこを狙っていたのかを順番にお伝えします。1つは、日本に来日する方々が鉄道のチケットを購入するための専用サイトを狙いました。広島空港にもわずかながらの被害を与えた。被害というよりは、わずかな影響を与えた感じです。

16時45分ぐらいから広島市のサイトが見れなくなったと広島市は言っていますが、この雑音的なサイバー攻撃アクターは、16時25分からわずかな影響を与えたに過ぎません。

広島市はどういう判断でこちらの被害や影響を言わなかったかはわかりませんが、私の勝手な予想では、ほとんど被害がなかったんだろうと思います。一部の国から閲覧しにくい状況は確かにあったところが、このサイバー攻撃アクターのテレグラムやXアカウントで述べられています。2回目は行っていません。

この脅威アクターは、同じ標的が閲覧しにくい状況になったと2回伝えたことは、その後にも先にもこれだけです。他の脅威アクターが、こうしたことをあたかも自分がやったように見せかける姑息なやり方だと捉えています。あと、日本を代表すると言われている検索サイトや日本のさまざまな出来事を英語で伝えてくれるサイトがやられました。

米国の前哨・グアムで展開される攻防

次は2023年5月、中国のサイバースパイグループ「Volt Typhoon」と名付けられた攻撃集団が、米国グアムに対してシステム侵害を起こしました。この流れは、2020年にさかのぼります。スライドに書いてあるとおり、中国の人民解放軍は、米領グアムを脅威と見なしているようです。

そのため、2020年9月19日に攻撃シミュレーションを動画でわざわざ公開しました。その前提でお話ししますと、2023年1月26日には米国の海兵隊が1993年以降初めて「キャンプ・ブラズ」をグアムに発足させました。

5月9日に米軍は、最新の移動式レーダーシステムを導入することを米国内で明らかにしました。この完了時期は2030年です。ちなみに、米国の海兵隊は2024年12月までに、この構築が完了します。5,000人の規模になりますが、1,000人は米国本土から、4,000人は沖縄からすべて移動するそうです。

このように米国は自分たちの国を守るために、前哨であるグアムに対する軍事状況をわかりやすく立て続けに整えています。

この5月9日のレーダーシステムについては、かなりインパクトがあったようです。その直後から、グアムおよび米国本土に対する通信システムは民間の機関なのですが、内部に対する侵害攻撃があり、データを取っていく素振りがありました。

その時には見つかりませんでしたが、約2ヶ月後の7月に送電や給水システムに対しても同様のことが発生していたと後でわかったようです。

この攻撃ですが、米国の国家安全保障局が5月24日にアドバイザリーを出し、米国のマイクロソフトもこのレポートを出しました。聞きなれない言葉ですが、Living Off The Land Binaries（LOLBins）はマルウェアを使わないファイルレス攻撃をもっとバージョンアップしたものです。本当にマルウェアを一切使いません。

その動きは、システム管理者とほぼ同じです。挙動ベースでも見つかることが稀と言われているLiving Off The Landの成熟度が非常に高まっておりました。

それでは、今のテクノロジーでどうやればいいのか。これが目下の課題であり、いくつかのアイデアも今出ております。OPSEC（運用上のセキュリティ）は、軍事領域で使われてる言葉なんですが、一部サイバーセキュリティにおいても使われている言葉です。

相手にバレないように自分の行動の情報を守るだけです。これをオペレーションセキュリティ、運用上のセキュリティと言いますが、攻撃者がこれを使ってしまっています。私たちが普通のセキュリティの技術でこれを見つけることはまずありません。積極的に見つけに行くという強い姿勢と、それに対する投資または能力を上げていく必要があります。

サイバー攻撃を共有することが必要

次に中国のスパイグループ「UNC4841」が、西側諸国に対してシステム侵害を仕掛けました。これは2022年8月、米国のナンシー下院議長が台湾を電撃訪問した後、日本ではなぜか報道は積極的にされていませんが、その他の米国の議員が相次いで台湾に17名ほど訪問しました。

それに対して中国が過剰なまでに反応したのは、みなさんご案内のとおりです。サイバー空間でも反応しました。この米国の議員の台湾に対する訪問が一通り終わった10月頃からサイバースパイ活動を行っていたのがUNC4841です。

その後、特定の製品がやられました。この特定の製品のベンダーは、（今年）5月18日に一報を受けてから23日にかけて相当な努力を持って対処を行ったようです。そして、5月26日には、米国の国土安全保障省のCISAが必要な措置を取り、そして6月6日には、この提供ベンダーが、利用者に対してアプライアンスの切り離しと入れ替えを推奨しました。

残念ながら、日本は、日本の中枢であるNISCが6月13日にこの痕跡をやっと見つけて対処したそうなんですが、この情報公開が8月4日。あまり詳しい状況を伝えてくれていません。情報共有、被害を受けた状況、またサイバー攻撃の有様などを共有することによって他社が助かります。

これを強く推進しているのが日本の政府機関なんですが、これは残念ながらまだできていない。日本組織だからしかたないかもしれませんが、今の時期にこれはあまり良くないと、いろいろな専門家が訴えているところです。

6月には中国のサイバースパイグループが米国に不正アクセスをしました。中国を訪問した国務長官が出発する数時間前に、米国の有名なクラウドサービスが乗っ取られていたというよりは、特にメールが盗み見されていた。

この原因については、中国の国家アクターが、この米国の有名な会社の認証サーバーのトークンを偽造することに成功した。また、これに関する設計上の問題と欠陥などを見抜かれて使われていた。これが大きな問題になりました。この有名な会社は、7月14日時点で問題を修正したことで、ユーザーは特段することはないと言っています。

処理水放出問題でもサイバー被害

4月から8月にかけまして、日本のネットワーク攻撃、システム侵害が、今現在一部進行中です。処理水海洋放出の計画を決定しました。これは2021年4月13日です。日本でも一部報道されてますが、2023年6月28日IAEAから内部者による告発文書がネット上に公開されました。

これに対する反応は、一般の諸外国ではあまりありません。しかし、あまり良くない者たち、悪意を持った者たちは今、これを武器にIAEA、それから日本に対して強くバッシングしています。

これまでのいろいろなバッシングは、最もらしい情報を誰かが作って、そして、それに対して賛同者が増えていくと、どっかのタイミングで善良なネットユーザーが参画し、「これは違うだろう」と内部から破壊して行くことで、そのバッシングが収束していくんですが、今回はIAEAの内部文書がまだまだ流通しています。

これが説得性を与えてしまっていますので、このシュリンクする状況がまだ見られていません。非常に厄介な問題かと思います。そのため7月14日から8月31日まで、さまざまなかたちで日本の組織に対するサイバー攻撃がまだ続いております。現在は少し収束をしているようなんですが突発的に発生しているものもあります。

これについては、詳しいことはお伝えできませんが、みなさんの手元には今見ていただいたスライドを提供したいと思っております。

セキュリティにおける状況認識の重要性

それでは、まとめです。状況認識の重要性です。本日は組織の内部、そして組織外で発生しているところについて、その状況変化についてお伝えしました。日本は内部の状況変化が乏しいです。

では、外部でこれだけ大きな変化があるにもかかわらず、それを見ようともしていない、あるいは見ていても頭で解釈しない。そしてサイバー脅威に適合しないようなセキュリティ対策をいまだに続けているところがたくさんあります。

現場の方はそれに対して苦慮されてるはずです。特に苦慮しているのは、適応する前にそれを上層部に理解してもらうこと。必要な対策をするために必要な原資であるお金、人をあてがってもらうこと。これが非常に難しくなっています。

最近の脅威アクターは積極的に検知を回避する努力をしています。私たちは、このままの今の体制を続けていきますと、検出不能な領域が拡大していくことは、ある意味約束された状況です。

5月24日の米国をはじめとしたその友好国の国家機関が、中国のサイバー脅威アクターは検出を免れるような能力を持ち始めていることをタイトルで伝えています。

日本の経産省は、老朽化、複雑化、ブラックボックス化した日本のITシステムが問題になってることを包み隠さず出しています。ブラックボックスが増えていくことは、検出不能な領域が拡大していくことになります。どちらもひどい状況です。これを少しでも理解していただくために、今日、お話を組み立てさせていただきました。

見えない脅威を積極的に見抜く努力を

最後のスライドは、ちょっとしたクイズです。単に森だと見る方がいらっしゃれば、あるいは、脅威があるんだという疑いの目で見ていただくと、ちょうど真ん中に、こちらに銃口を向けた戦闘員の姿が見えるはずです。思い込みがなく、事前の情報があれば気づきますよね。

今の状況変化で、私が自分で見つけきれない脅威が目の前や自分の中にあることを、疑いの目を持って、より積極的に守っていく姿勢があれば、これを見抜くことはできます。しかし、以前までの危険予想を続けていたり、意識がそのままだと、この写真の脅威を見抜くことは難しくなっているかもしれません。

これをサイバー空間に当てはめて、みなさんの身の回り、または今後デジタル化、そしてクラウドの利用ということで、DXを進めていかざるを得ない状況が、現在進行中です。必ず悪いものはそのスキをついて入ってきますので、ぜひとも見えない攻撃に対して積極的に見抜く努力をしていただきたいと思っています。

私からは以上です。ありがとうございました。