有事と連動して発生するサイバー行為の手口
名和利男氏:サイバーセキュリティを専門にしている、名和と申します。本日は「有事と連動して発生するサイバー行為の手口」というタイトルで話をさせていただきます。
講演概要は、特にサイバー攻撃や認知戦というカテゴリーの中で、これまでとは大きく違うことと、またシステム構築、改修にあたって、その想定脅威となるリスクを大きく見直す必要があることを強くお伝えしたいと思っております。
私たちがこれまで見聞きしたさまざまなサイバー攻撃や情報戦は、実はかなり合理的と言いますか、有機的に実施されていました。
これを時系列に並べると、非常に興味深い流れが発生していました。
まず1つめにお伝えする項目として、2021年4月から情報窃取が世界各国で発生していました。これを明らかにしたのが米国のセキュリティ企業です。特に昨年4月からは、サービスプロバイダー経由や特権アカウントの悪用などの攻撃が盛んに行われていたという分析がされています。
そして、共通するのは、ロシアの利益に関係するデータの窃取です。また昨年10月頃からはウクライナに特化した情報窃取が各所で確認されています。これも、実はソフトウェアの侵害ではなく、私たちが日頃使っている認証情報であるアカウントを標的にしたものが中心であったと分析されています。
注目すべきサイバー活動の概要
では、このサービスプロバイダーはどのようなものかというと、クラウドサービス事業者、あるいはMSP(ネットワークやサーバーなどITシステムの保守・運用・監視を代行する事業者)のことです。
日本ではITサービスプロバイダーという言い方もあるようですが、私たちがオンプレミスで使っているものを、データセンターのほうに引っ越してサービス継続するようなイメージです。また、再販業者も含まれています。
現在、我が国では経産省などの省庁や産業界も含めて、DX化が進んでいます。そして現場ではデジタル化に加えて、クラウドサービスの利用などが進められています。この流れは他の国ですでに発生していて、それに比例するかたちで、数年前に中国のサイバー攻撃グループと見られるスパイ活動が、日本を含めた世界各国で行われていたという分析がされています。
また、特権アカウントを狙った攻撃については、非常に立てこんだ、難しい攻撃がされています。スライドの「偽装を構成する」(Configure impersonation)という記述は、一般的には少し言葉がおかしいのではないかと思われるかもしれませんが、IT管理、特にアクティブディレクトリを管理される方にとっては、運用保守上必要なものとなっています。
この正規の作業や運用保守で、管理者のために使われているような機能の悪用は、これまであまり見られなかったものです。
また、流出しているアカウントについては、今年6月に米国のサイバーセキュリティ専門会社が、246億以上のアクティブな正規のアカウントが流出していることを確認したという報告がされました。2年前から65パーセントも増えています。
そして、このセキュリティ会社のアナリストはこう言っています。「現時点で、認証情報漏洩の問題は制御不能」。すなわち私たちがDX、あるいは利便性を高めるためのアプリ等で使っているアカウント情報や認証情報が、悪意のある者たちの世界に垂れ流しになっている。これをコントロールすることはもはや不可能であると言わんばかりのメッセージです。
また、C2通信(外部から侵入して乗っ取ったコンピュータを利用したサイバー攻撃で、踏み台のコンピュータを制御したり命令を出したりするもの)の中には、住宅用IPプロキシサービスの悪用がありました。詳しい説明は省かせていただきますが、ネット検閲の厳しい国々は、例えばこの日本にある住宅用IPプロキシサービスを好んで使っています。
そこから自由闊達にさまざまな国々に対するネットワークアクセス、あるいは、悪意のある攻撃に利用している状況が散見されています。
ロシアがウクライナに仕掛けた「影響工作」
今年の1月から2月まで、ロシアの優位性を高めようという影響工作が相次いで見られました。その象徴的な事例は2つです。1つは1月13日に、身代金を要求せずに対象デバイスを動作不能にする破壊目的の攻撃がありました。
これは、やや成熟化したランサム攻撃グループのマーケットを利用したり、あるいはそのリソースを使っていると思われるものです。
また今年2月23日、ロシアによるウクライナ侵攻の直前ですが、ウクライナ国内の数百台のマシンに展開されていたマルウェアが、PCを一斉に起動できなくした状況が確認されました。
こちらは破壊的なマルウェアと偽のランサムウェアメッセージを組み合わせた攻撃です。これは別々に発生していたもので、ワイパー攻撃とランサム攻撃の”いいとこどり”をして、それを組み合わせて使っておりました。かなり強力な攻撃だと分析されています。
また、1月13日は、ランサム攻撃を装った破壊攻撃とほぼ同じ時刻帯にウクライナの10以上の省庁のサイトが改ざんされました。
このメッセージは次のスライドに抜粋しております。日本語で少し読ませていただきます。「ウクライナ人よ。あなたの個人情報がすべて公衆ネットワークに送信された。あなたのコンピュータのデータはすべて破壊され、回復することはできない。あなたに関するすべての情報は公開され……」と書かれています。
これは、ランサム攻撃の二重恐喝でよく見られるもので、ニュース・報道で使われた言葉が、そのまま使われています。自分たちの情報がネット上に垂れ流しになっていることを想起させるような言い回しです。
当時、ウクライナの一部地域でデータ破壊が起こると同時に、ウクライナ国内の政府機関のサイトを見ると、その攻撃を示唆するような書き込みがありました。
まるでステレオタイプのように、攻撃者が近くにいるような錯覚をさせ、プレッシャーをかけている印象です。そうして、このメッセージには続きがあります。「最悪の事態、あなたの過去、未来、将来、Volhynia(ヴォルヒィニア)」等のキーワードが並んでいます。
Volhynia(ヴォルヒィニア)とは、ウクライナにおけるあまり良くない歴史を思い起こさせるものです。日本でも、昔アイヌ人に対して行ったような同化政策、すなわち先に住まれていた方々を無理やり自分の国民にするように仕掛ける、虐殺も伴うものです。
それを人々に思い出させ、ウクライナ国内の意見を二分化させることで、要は意見の衝突を作ろうという意図が働いたと推定されています。
ウクライナ侵攻後の情報攻撃
次に紹介する事象は侵攻直後で、これは情報通信能力の破壊攻撃です。1点だけ紹介いたします。侵攻直後、あるいは侵攻の直前、1~2時間前と言っていいかもしれません。
欧州から東欧諸国の領域に、商業衛星によるインターネットサービスを提供していた会社が、サイバー攻撃を受け、3万台以上の地上の受信器であるモデムが使いものにならなくなりました。
これによって、ドイツの風力発電が遠隔操作できなくなり、低発電力で運用しなければならない時間が1時間ほど発生してしまいました。
なぜこの攻撃を発生させたのか。これは、ウクライナに侵攻したロシア軍の動きを、そのリアルな情報を伝えないようにする意図があったと分析されています。この衛星システムを介した攻撃を実現するためには相当な時間をかけていたようです。
この攻撃手口は、コロナ禍によってさまざまなところで発生しているVPNアプライアンスの悪用でしたが、攻撃の入口はイタリアの会社でした。衛星システムの所有権は、昨年5月にフランス企業から米国企業のほうに移転しておりました。
この移転は、サービスの所有権だけが移転したものであって、保守メンテナンスの事業者は、以前の会社が委託をしていたイタリアの会社でした。
ここでみなさんもお気づきかと思いますが、ウクライナ侵攻が始まった時点では、この衛星システムの所有者と保守メンテナンスする会社は別会社になっていた、あるいは指揮命令系統が弱っていた可能性があります。通常ではない関係性でした。
移転前は、フランスの会社のコンプライアンスが働いていたようですが、これが一時的に薄くなり、管理が届かなくなったと見られています。
このように企業買収、あるいは事業の移転などで守りが手薄になっているところを、攻撃者はよく見抜いていた可能性があると言えるかと思います。
有事が起きる数年前に、破壊攻撃が仕掛けられている可能性
最後に、2月から現在に至るまで、ウクライナの重要施設内のITシステムの侵害攻撃が何回も発生しています。その中で最も深刻だったのが、4月12日高圧変電所に対するサイバー攻撃です。これは直前になって、米国や隣国のサイバーセキュリティ専門会社が支援をすることによって食い止めることができたようです。
この攻撃を仕掛けたのは、ロシアによるサイバー攻撃グループだと推定されていて、攻撃開始のトリガーは4月8日の深夜でした。しかしこの攻撃が仕込まれたのは数ヶ月前だったようです。
その間、ITシステムの管理者は、その存在に気づくことができなかったばかりか、最初の侵害が発生した時期に検知することすらできなかったことになります。
ここで言えるのは、台湾有事を始めとしたさまざまな日本周辺での有事が起こるかなり前に、同様の侵害が発生する可能性があるということです。
例えば有事が起きるのが数年後とすると、すでに日本や米国において見つからないサイバー侵害が発生しており、時期を見計らった破壊攻撃がセットされている可能性があると見なすのが自然です。
新ロシアのにわか仕込みのハクティビスト
次にお伝えする項目は、親ロシアのハクティビストの背景の理解と対策です。ハクティビストについては、報道等でご覧になった方も多いかと思いますが、ウクライナ侵攻が始まる前から、かなり強力なハクティビストが存在しておりました。
2月24日ウクライナ侵攻が始まった直後、にわか仕込みの攻撃グループが複数作られました。その1つが「Killnet」です。Killnetは1月23日にDDoS攻撃を仕掛けることができる加入者限定のツールで、いわゆるサブスクのために作られたようなツールです。
しかし24日、これが突然ハクティビストに変容しました。当初、メンバーの数は少なかったのですが、仲間を募るために、自らツールの名前であるKillnetを名乗ったようです。
彼らはレギオン(軍団兵)として、主にプログラマー、DDoS攻撃を仕掛ける者や、セキュリティ専門家の一部であるペネトレーションテスターを中心に募集いたしました。
突然このKillnetが現れ、多くの方はびっくりしたようですが、開発コミュニティあるいはランサム攻撃のアフィリエイトのよく集まる場では、密かに仲間を募集していました。当初は、にわか仕込みで、コミュニケーション能力も人脈も多いとは言えない者たちが行っていたという印象でした。
メンバーは10代〜20代の子ども・若者か
そして、この名前がユニークです。集まったメンバーは、1,000アカウント集まったと観測されています。全員が参加しているわけではなく、数十名単位、多いのは70名ぐらいと記憶しておりますが、スクワットと言われるグループに分けられ、それぞれ「Mirai」「Jacky」などの名前をつけられました。
ここに「Sakurajima」という日本語のスクワットが出ているのは興味深いです。
ただ、レギオンのグループのルールはご覧のとおりです。やってはいけないこととして、“べからず集”が書いてあります。
彼らの行動は、オンラインゲームにおいて、メンバー同士で協力したり、団結するようなやり方を踏襲しています。そして使っている言葉は、ほとんどゲームの中にある言葉です。
この状況から、彼らはもしかしたら子どもたちかもしれない。子どもというのは、十数歳から二十数歳前半までの者たちのことです。そして、彼らは十分な訓練を受けている様子は見られません。突然集まったものですので、“べき集”ではなく、“べからず集”を作るのが彼らの組織維持の努力であったと思います。
ロシアがモルドバにDDoS攻撃を仕掛けた背景
日本に対するサイバー攻撃は9月6日に始まりましたが、その1ヶ月前以上から、Killnetはモルドバという国に対するサイバー攻撃を仕掛けておりました。モルドバという国は、ウクライナとの間にある、ロシアが実行支配している地域です。この地域の影響を受けて、モルドバの国の約数割程度が、親ロシアとなってしまっています。
この中で、2月25日から4月22日まで実にさまざまなことが起きました。サイバーセキュリティとは関係ないかもしれませんが、その背景を理解する上では少し重要なものです。
特に注目していただきたいのは、8月15日の事象です。ロシアは突然、モルドバの農産物をロシアに輸入してはならないという措置を取りました。その理由は、モルドバがロシアから受けているエネルギーの供給に対し、その支払い期限の延長を打診したことでした。
これにロシアは激高したようです。よほどロシアは外貨に飢えていたのか、あるいは想定外だったのか、過剰な反応でした。そして、プロパガンダといわれるような報道が加熱しました。
ロシアは、モルドバがあまりにもひどい国であると伝えるキャンペーンとして、支払期限の約1週間前、Killnetが、モルドバの政界に対するDDoS攻撃を行いました。
ただ、DDoS攻撃だけではなく、どうもアカウントハイジャックを試みた痕跡がいくつか見受けられます。そして、他のハクティビストも参画するかたちで、8月下旬には80以上のDDoS攻撃が発生しました。
「ロシア対モルドバ」のサイバー攻撃が日本にも波及
このようにモルドバが厳しい攻撃を受ける中で、日本とモルドバは、8月12日に国際宇宙ステーションの「きぼう」から、モルドバの大学が作ったCubesat(超小型衛星)を放出するセレモニーを行いました。
8月18日には、日本はモルドバに対する1億円の拠出を行いました。そして9月6日、モルドバの高官と外務省の高官が報道関係者の前で、二国間協定書にサインを行いました。
このサインの風景は、モルドバで大きなニュースとなりました。そして、日本でも環境省、経産省、外務省のホームページで英語で伝えました。
そして、環境問題を重要視している欧州の一部の国々で、このニュースが複数回繰り返し報道されました。それに呼応する形で、ロシアでも報道されました。この間に発生していたロシアからモルドバに対するサイバー攻撃と相まって、日本も巻き込まれた可能性があると見ています。
この二国間協定がされた日に、日本の政府界隈に対するDDoS攻撃が発生しました。これは興味深いことです。残念ながら、攻撃者に対してなぜ行ったかというインタビューをしたわけではないので、状況証拠としての見解です。
Killnetとして潜入していた者に、特別に情報をいただきました。一部ネットでも公開されているものを含めてたものがこちらです。彼らは日本に対して強く非難しています。彼らは、どうも日本のメッセージをきちんと理解していないか、あるいは、違ったかたちで伝えられているところが、これを読んでいただくとご理解いただけるかと思います。
日本固有の隠語を使ったサイバー攻撃
そこで、Killnetが日本に対するサイバー攻撃のメッセージで使った言葉を少し拾ってみました。
まず、「あなたのサーバーを窓から」。これは、ロシアのプログラマーがよく使うものです。「強い意志を持って」あるいは「並外れた能力を持って」という印象を与えるもので、サーバーを使いものにならなくするという印象を与えるような言い回しです。一般のロシアのネットユーザーには、意味がわからないようです。
次に「触手」という言葉ですね。これは、日本の江戸時代からあるようなものだそうですが、ご関心ある方は、インターネット検索で、この2つの漢字でイメージ検索すると、まあ職場では見てはいけないようなものがいっぱい出てきます。どうもロシアの若いネットユーザーがこれに対する関心を持っているようです。
一部の方は、「やおい」という言葉をご存知かと思います。ロシアではかなりネガティブな言葉です。ロシアではソ連の頃から、男性間の同性愛については、タブー視どころか刑務所に入れられる状況がありました。
2013年には、未成年に対する非伝統的な性的関係ということで、同性愛に対する情報の伝達ややりとりが禁止されています。
やはりロシア全体として、多くのネットユーザーは、この男性間の同性愛に対してはかなりネガティブな印象を持っています。そういう中で、「やおい」という象徴的な隠語をあえて使って、日本の攻撃に対するメッセージを送っていました。
次に「デジタル脇差」は日本の軍事力を示す隠語ですが、これをよく使っているのは、若いロシアのインターネットユーザーのようです。
そして、こちらの「クソサムライを蹴り込む」。これは、英語で言うとFワードです。これは、ロシアでは検閲対象となっているようです。もちろん100パーセントきちんと見つかるわけではないですが、この単語も隠語や伏せ字にしています。
アットマークに注目してください。一般的なロシアのネットユーザーの伏せ字は、アスタリスクを使っています。しかし、プログラマー特有の問題かもしれませんが、アスタリスクを入れるとプログラム的には良くないそうです。
そこで、アットマークを使うプログラマーが最近増えています。これはGitHabなどをロシア言語で見ると、トレンドと言いますか、慣習的になっているようです。シャープを使っているところもあります。
サイバー攻撃は「子どもの遊びの延長」
このような言葉選び、あるいは使っている言い回し等は、実はオンラインゲーマー、特にチート(不正行為)で遊んでいる者たちが、チャットで使っているものです。先ほど申し上げたところも含めて、彼らはきっと子どもたち(未成年という意味ではなく、倫理的に大人でない者のこと)で、メディアに強い影響を受けています。
他のハクティビストの状況から見るとスマートではありません。自己主張が強く、競いあってなんとかしようとするところが目立っております。
その表れとして、彼らのサイバー攻撃はかなり低レベルです。レイヤー4、レイヤー7が中心となっていて、その攻撃のプロセスは、教科書どおりにフェイズ1からフェイズ3までやってきます。
これで注目すべきは、このDDoS攻撃と並行して、SSHハイジャック攻撃を仕掛けようとしているところです。この文字列に注目してください。使われている文字列、すなわちハッキングしようとする、のっとろうとするところのIDは「mcserver」「ts3」です。
いずれも、オンラインゲーマーがオンプレミスで作るサーバーでよく使われている管理者IDです。オンラインゲームの世界では、ハッキングが横行しています。オンラインゲームの競技会では、DDoS攻撃をすることによって競技妨害することもあります。
彼らの攻撃目的は、相手のアイテムを取る。またはアカウントを使いものにならなくすることです。このようなアカウントハイジャックは一般的な手口となりつつあります。ロシア語、あるいは旧東欧諸国の方々の言語で目立っています。
KillnetによるDDoS攻撃への対策
彼らの攻撃活動に対して、ほとんどの国はあまり重要視していませんでしたが、ルーマニアの国家サイバーセキュリティ総局が、このKillnetを始めとしたハクティビストがよく使うDDoS攻撃のIPアドレスを公開してくれています。現時点で、この数は1,000を超えています。
もしKillnet等の親ロシア、ハクティビストからのDDoS攻撃にご関心ある方は、こちらのガイドラインと、IPアドレスのセットを見ていただくことを推奨いたします。
KillnetによるDDoS攻撃の対策としては、ルーマニアの国家以外にも複数の国が、このようなハクティビストに対するモニタリングや分析を行い、対処のあり方を示したガイドラインを発行しています。
このようなガイドラインに従うことによって、ほとんどのリスクをヘッジすることができるようです。ハクティビストは国家レベルのサイバー攻撃者とは違いまして、自ら名乗って、「攻撃するぞ」と脅してから攻撃を仕掛けます。非常にわかりやすいです。まるで子どもです。
少しスマートな他のハクティビストも、これから仕掛けてくるかもしれません。DDoS攻撃にIoTを使うことがありますので、IoTに対するサイバーセキュリティ対策をすることを強く推奨しております。
サイバースパイと、派手な露出を好むハクティビスト
以上、お伝えしましたが、前半は国家レベルのサイバー事案。そして後半は、子どもたちの遊びの延長のような、ロシアのハクティビストについてでした。しかし彼らが使っているツールや能力は、一般のサイバー犯罪者と同等レベルになりつつありますので、やはり一定レベルの被害を与えることができているようです。
今後の日本周辺の有事に備えて想定すべきサイバーリスクとしては、1つ目は極めて高度なサイバースパイが活性化していること。それも、現在進行中であるかもしれない。この意識を持つことが重要です。
有事の時、物理攻撃はすぐに国際社会が反発して経済的に打撃を受けることが多いようです。ロシアを見ていただくと、ご理解いただけるかと思います。
したがって、相手の国に打撃を与えようとするのであれば、武力攻撃の前にサイバー攻撃により社会インフラを停止させようとするはずです。実際にウクライナはそれを経験しました。そして、最近NATOに加盟した2つの北欧諸国は、同じような重要インフラの破壊と思われるようなサイバー攻撃を、すでに受けております。
このような重要インフラの破壊攻撃は、必ず事前の情報偵察が必要になります。的を射た攻撃を仕掛けるに足りる情報です。そのため、持続的に高度なサイバースパイ活動が行われています。
2つめは、有事前後において、敵対国におけるプロパガンダに影響を受けたハクティビストが、露出の激しいサイバー攻撃を仕掛けることです。しかし、本当のサイバー攻撃者は自分で名乗りません。この相反する2つの攻撃を、どうやって見極めるのか。
残念ながら、日本は国家として、このような2つのサイバー攻撃に対する対応能力はまだほとんどありません。そして、いたずらにメディアが騒ぎ立ててしまっています。
日本には「守ってくれる最後の砦」はない
これを聞いているみなさんにとっては、少し残念な結果かもしれませんが、我が国は、いまだにまだサイバーオペレーションや情報戦の能力は整備されていません。守ってくれる最後の砦はないということになります。したがって、みなさんに期待される防衛能力は格段に高くなってしまっています。
最後に、私たちの国は、同盟国や友好国からのサイバー支援を受けるに至るような言語能力の習得と信頼関係の構築がまだ十分ではありません。
ウクライナには英語が理解できる方がたくさんいらっしゃいますし、ITに強い国と言われています。だからこそ、隣国のチェコや米国からの支援をスムーズに受け入れることができたようです。
日本は残念ながら、それがまだ十分ではありません。ということは、被害が甚大化、あるいは広域化する可能性が高いと言えます。これは想定すべきリスクだと言えます。これを踏まえた上で、システムの開発や改修のほうに着手していただきたいと思っております。
私からの話は以上です。どうもありがとうございました。