PR

 2011年7月14日、米国防総省はサイバー空間を戦場と想定した「サイバー戦略」を発表した。この戦略ではサイバー空間での国家間の攻撃だけでなく、サイバー攻撃に対してミサイルを発射するなど通常兵器での報復もほのめかす。

 10月にはCyber Command(サイバー司令部)を発足。米戦略軍の下部に置かれ、各軍におけるサイバー対策の取り組みを統括する。William J. Lynn III国防副長官は「サイバー領域は米軍にとって陸、海、空、宇宙と同様に重要であり、コンピュータネットワークの保護は極めて重大だ」と述べている。

 攻撃主については明言まではしていないものの、米軍が開催するセキュリティ関連のイベントでは、中国からの攻撃を想定したデモや演習がよく見られるという。現在行われている実際の攻撃も、特に日米欧に対しては中国が攻撃主との見方が強い。サイバーディフェンス研究所の名和利男 上級分析官は「個人的な見解」と前置きしながら、「攻撃元は中国の海南島が多く、軍の関与も考えられる」という。

 サイバー攻撃が金銭を目的とした犯罪だけでなく、国家間、国家とテロ組織間の戦争にまで発展している。

Stuxnetの衝撃

 対国家を目的とした攻撃には、(1)防衛拠点や社会インフラにダメージを与える、(2)政府の機密情報を盗み出す、の大きく二つがある。

 2010年6月、防衛拠点・社会インフラへのサイバー攻撃が現実のものとして明らかになった。「Stuxnet(スタックスネット)」と呼ぶマルウエアである。サイバー攻撃はパソコンやサーバーを対象としたものがほとんどだったが、国のインフラを支える組み込み機器までがついに“本気”の攻撃対象となった象徴といえる。

 Stuxnetは、独シーメンス製の産業用制御システムを乗っ取り、異常を発生させるという挙動を示すマルウエアである。それが、イランのウラン濃縮施設にある遠心分離器に対する攻撃に使われた。感染経路はUSBメモリー。イランのウラン濃縮施設のネットワークはインターネットから隔離してあったが、LAN内部のパソコンからStuxnetの侵入を許してしまったのだ(図1)。三菱総合研究所の村瀬一郎 情報技術研究センター クラウドセキュリティグループ 主席研究員は「Stuxnetがイランの核兵器の開発を遅らせたのは間違いないだろう」と見る。

図1●Stuxnetの攻撃の手口
図1●Stuxnetの攻撃の手口
マカフィーの資料を基に作成
[画像のクリックで拡大表示]

 核開発の国家間競争では、様々な妨害活動が横行する。例えばイスラエルは、1981年にイラクの原子力発電所を、2007年にはシリアの核関連施設を攻撃した疑いが持たれている。Stuxnetの黒幕は分かっていないが、核開発の妨害という観点では、サイバー攻撃がミサイルや爆撃にも匹敵する攻撃になったといえる。

 しかも、ミサイルや爆撃といった物理的な破壊に比べると、サイバー攻撃はずっと低コストで済む。サイバーディフェンス研究所の名和 上級分析官は「USBマルウエアを作成できるエンジニアと、組み込み技術に精通したエンジニアがいれば、Stuxnetそれ自体を開発するのはそう難しくない」と指摘する。

 サイバー攻撃による社会インフラの破壊は、民間企業にとっても他人事ではない。政府や社会インフラが攻撃を受けることがあれば、企業活動にも影響が出る。直接的な攻撃対象にならなくとも、とばっちりの被害を受ける恐れがある。

 マカフィーの本橋裕次サイバー戦略室室長は「Stuxnetによって工場のFA(Factory Automation)システムが止まってしまった日本企業があった」と証言する。その日本企業はイランのウラン濃縮施設とはまるで無関係だった。ただ、同じシーメンス製の制御システムを使っていたために、流れてきたStuxnetに感染してしまった。“サイバー流れ弾”とでもいうような事態である。

コスト度外視のサイバーエスピオナージュ

 2010年以降、セキュリティ業界では「APT(Advanced Persistent Threat)攻撃」という言葉がよく使われるようになった。高度かつ執拗な脅威という意味だ。「バズワードで従来の標的型攻撃と意味は変わらない」という批判もあるが、新しい言葉を作りたくなるほどに標的型攻撃が洗練されつつある証ともいえる。

 APT攻撃には様々な定義があるが、簡単に言うと「いったん定めた標的に対して様々な手法を駆使して不正アクセスする攻撃」のことを指す。ソーシャルエンジニアリングを利用してフィッシングメールを送ったり、運送会社に成りすましてUSBメモリーを配達したり、Webサーバーに不正アクセスしてそこからLANに侵入したり、ありとあらゆる手段で不正アクセスを試みる。不正アクセスが成功するまで続けるので、防ぎようがない攻撃として警戒されている。

 対象となるのは、政府機関や防衛産業、エネルギー産業、情報産業などだ。すでに実例もある。原油や石油化学などエネルギー産業を狙った「Night Dragon」、グーグルなど米国の情報産業を狙った「Operation Aurora」、各国政府の情報機関などを狙った「Operation Shady RAT」、北朝鮮有事に備えた作戦計画「OPLAN 5027」の流出といったものである。9月に発覚した三菱重工業などへのサイバー攻撃も同様なものかもしれない。

 Night Dragonは、2009年11月に始まったと見られる。石油田やガス田の入札情報や採掘情報などを盗み出した。多様な手口を組み合わせている。例えば、SQLインジェクション脆弱性を利用してWebサーバーを乗っ取り、Webサーバーを介してLANへの攻撃を仕掛けた。ターゲットとなった企業幹部のパソコンには標的型攻撃でマルウエアを仕込み、パソコンやLANにつながるコンピュータに不正侵入した。

 Operation Auroraは、2009年12月ごろに開始された。中国の人権活動家のGmailアカウントが盗まれたほか、標的とされたIT企業の知的財産であるソースコードが盗まれた。WindowsとInternet Explorerの未知の脆弱性を利用して、不正サイトに従業員を誘導してマルウエアに感染させた。政治的意図と産業スパイ意図の両方が含まれた事件とされている。

 Operation Shady RATは、2011年8月に米McAfeeが指摘した大規模攻撃である。その名の通り、RAT(リモートアクセスツール)を使った攻撃である。RATは企業が遠隔地からのパソコン利用に使うリモートアクセスと同じような機能で、これがマルウエアに含まれている。国連、米政府機関、米防衛企業、米セキュリティ企業、米報道機関、ASEAN事務局、オリンピック委員会、台湾や韓国の政府・企業など様々な組織が攻撃対象になった。攻撃は2006年から始まっていたと見られ、5年間にもわたって潜伏していたことになる。

 OPLAN 5027の流出は明確な政治的意図が見えるサイバー攻撃である。OPLAN 5027は北朝鮮の侵攻に対応するため、米韓連合司令部が策定した作戦計画である。この情報が韓国軍の将校のパソコンから漏洩した。「その将校のプライバシーが調べ上げられていた形跡があり、個人的にダウンロードしたゲームにマルウエアが含まれていた」(マカフィーの本橋裕次サイバー戦略室室長)。このマルウエアがUSBメモリーを介して、軍のクローズドネットワークにまで到達して情報漏洩に至った。

 以上の事案は民間企業を狙ったサイバーエスピオナージュと比べ、採算度外視な面が強い。例えば、複数の未知の脆弱性を使っている点が挙げられる。「未知の脆弱性を複数発見するには、20~30人のハイレベルな技術者が手掛けないと困難」(マカフィーの本橋サイバー戦略室室長)とされる。また、標的個人の情報を調べ上げるなど、事前調査にも手間と費用をかけている。防衛予算の名の下で、無尽蔵の資金が攻撃手法の開発や脆弱性の発見に使われると見られるのだ。

 そのため、一般的な民間企業が、政府機関を狙うものと同レベルの攻撃を受けるとは考えにくい。とはいえ、民間企業を狙う標的型攻撃の手口は、過去の政府機関などへの攻撃の延長上にある。

 「政府やそれに近い組織への攻撃に使われたマルウエアや脆弱性が、数カ月後に“払い下げ”のように一般民間企業への攻撃に使われるケースが散見される」(日立情報システムズの丹京真一 サイバーセキュリティ対策センタ 主任技師)。国家間のAPT攻撃で洗練された手法が、将来的には民間企業を狙う犯罪組織に転用される可能性は高い。

サイバー空間の治安を乱すハッカー集団

 ここまで見てきた例は防衛・外交に関わるものだが、国内の治安に関わるサイバー攻撃も出てきている。一例がAnonymousとLulzSecといった「ハクティビスト」と呼ばれるハッカー集団によるサイバー攻撃だ。ハクティビストは独自の正義感を持つ集団で、彼らの正義感に反する組織にサイバー攻撃を仕掛ける。

 例えばAnonymousはインターネットでの情報公開や表現の自由に強いこだわりを見せており、「反WikiLeaks陣営」と目された企業への攻撃を仕掛けた。米PayPalや米MasterCard、米Visa、米Amazon.comなどがターゲットになった。DDoS(分散型サービス拒否)攻撃によって、一部企業はWebサイトが停止させられた。

 また、ハッカー文化を尊ぶ傾向が強い。ソニーの大規模な情報漏洩事件については、PlayStation 3(PS3)をハックした技術者に対する対応がハッカー集団を刺激したとも言われている。きっかけとなったのは、2011年1月にPS3のプロテクトを解除し、任意のソフトを動かせるようにした技術者が現れたことだ。技術者はプロテクト解除キットをネットに公開。ソニーはこの技術者を提訴した。ソニーによる法的手段への報復がサイバー攻撃だった格好だ。

 ハッカー集団の正義感は独善的ともいえ、治安当局との対立が深まりつつある。今夏以降、米連邦捜査局(FBI)やロンドン警視庁が、相次いでサイバー攻撃に関わったとされるハッカー集団メンバーを逮捕している。