狙われる五輪 進化するサイバー攻撃にちらつく国家の影

狙われる五輪 進化するサイバー攻撃にちらつく国家の影
編集委員 坂井光
https://www.nikkei.com/article/DGXZQODK063XQ0W1A700C2000000/

『米パイプライン大手を5月に操業停止に追い込んだサイバー攻撃。その首謀者「ダークサイド」をはじめ本拠がロシアとされるハッカー集団が多く報告されている。7月2日以降、全世界で100万を超えるシステムを感染させたと主張する「REvil(レビル)」もそのひとつ。常に進化しながら攻撃対象を探し、存在感を誇示するハッカーにとって東京五輪・パラリンピックは格好の舞台となる。

Nikkei Views
編集委員が日々のニュースを取り上げ、独自の切り口で分析します。

「ダークサイド」はハッカー集団であると同時に、ランサムウエア(身代金要求型ウイルス)の名前でもある。

財務内容を事前に調査

活動を開始したのは2020年8月。サイバー対策大手トレンドマイクロによると、今年4月までに確認されただけで世界で772台のコンピューターでウイルスが検出され、うち日本でも3台が被害にあった。

狙った相手の財務内容を事前に調査し、支払い能力などを見極め身代金を要求するなど典型的な標的型のハッカーだ。

つかまったりしないかぎり、実行犯を断定するのは困難だが、プログラミングの癖などである程度特定することは可能だ。ダークサイドはロシア語や旧ソ連圏などの言語環境では攻撃を停止する仕組みになっている。

FBIはロシア拠点と判断

米連邦捜査局(FBI)はダークサイドがロシアを拠点にしていると判断している。ロシア政府の関与は不明としているが、以前からプーチン政権の意図を反映したかのような攻撃は多い。

▼07年5月 
旧ソ連エストニアの政府機関、銀行、通信会社などが、大量のデータを送りつけて機能を停止させる「DDos」攻撃を受け、市民生活が一時まひ
▼15年12月 
ウクライナ西部で電力施設がマルウエア(悪意のあるプログラム)攻撃され、20万人以上が停電の被害
▼16年 
世界反ドーピング機関(WADA)の機密情報が漏洩

エストニアは当時、ソ連時代の記念碑移転を巡りロシアとの対立が激化していた。ウクライナとは14年のロシアによるクリミア半島併合などを受け、緊張関係にある。

WADAについては国家ぐるみのドーピングが暴露され、ロシアが五輪(東京を含む)から排除されたことに不満を強めていた。しかも、実行犯の「ポーンストーム」は16年の米大統領選にも介入したとされ、プーチン政権とのつながりが強いと指摘されている。

同政権は関連を否定している。だが、「別動隊」を活用するのは得意とするところだ。

その代表が軍隊。ウクライナとの紛争以降、民間軍事会社「ワグネル」が暗躍し始めた。ファストフード店経営などで成り上がり「プーチン氏のシェフ」と呼ばれる盟友が支援者で、6千人の兵士がいるとされる。

公式には軍を派遣していないとしながらも、裏ではワグネルが軍事作戦を展開し、クリミア半島の併合やウクライナ東部の占領に貢献した。正規軍とも連携し、紛争地のシリア、リビアや中央アフリカ共和国などでも活動が確認されている。

3月、併合したクリミア半島で演習に参加したロシアの自走砲=タス共同

軍事大国を維持するため資金力に劣るロシアはさまざまな手段を使っている。サイバー戦もそのひとつだ。インフラ設備などを機能停止にして混乱させるだけではない。ウクライナとの紛争では敵の通信を遮断したうえで携帯電話に偽情報を流し、おびき寄せたところを攻撃するなど、すでに実戦活用している。

別動隊として連携か

ロシアには、軍参謀本部情報総局(GRU)のほか、旧ソ連国家保安委員会(KGB)を引き継いだ連邦保安局(FSB)、対外情報局(SVR)がサイバー部隊を抱えるとされる。これらからの依頼に応じ、ときに犯罪ハッカー集団が別動隊として連携しているとされる。その代わり、海外での犯罪を黙認してもらっていると推測される。

ダークサイドはパイプライン攻撃後に活動を停止したが、代わりに「レビル」が存在感を示した。レビルから派生したのがダークサイドとされ、類似性が強い。米政府はレビルもロシアを拠点にしているとみている。

鹿島のグループ会社やキーエンスもレビルのターゲットになっており、日本も人ごとではない。

懸念されるのが五輪だ。平昌五輪では開会式当日に公式ホームページがダウンし、観客がチケットを印刷できなくなるなど混乱が生じた。ロシア系とされる「サンドワームチーム」の攻撃によるもので、トレンドマイクロによると、事前に認証情報が抜き取られ、それが大規模攻撃につながったと考えられるという。

東京五輪・パラリンピックも大規模サイバー攻撃の対象になる可能性がある(国立競技場前)=共同

東京についても、20年1月以降、大会関係組織などが攻撃を受けている。英国政府はこの一部にGRUが関与していると非難しており、すでに認証情報が盗まれているかもしれない。カネ目当てと混乱目的の両方で、開幕にかけて大規模攻撃を受ける可能性は否定できない。

しかも、観客数などがなかなか決まらず、会場によってはネットワーク環境の立ち上げはこれからだ。その結果、攻撃に対し脆弱になる懸念が指摘されている。』