ERT REIMAGINED - FireEye · 2015-02-25 · ert reimagined report サイバー世界大戦 : 国家レベルの高度なサイバー攻撃の背景を理解する

SECURITY REIMAGINED

REPORT

サイバー世界大戦 :国家レベルの高度なサイバー攻撃の背景を理解する

2 www.fireeye.com

サイバー世界大戦：国家レベルの高度なサイバー攻撃の背景を理解する

目次

エグゼクティブ・サマリー ............................................................................................................................................................................................................................................................................................... 3

はじめに.................................................................................................................................................................................................................................................................................................................................................................... 4

教訓 .................................................................................................................................................................................................................................................................................................................................................................... 5

FireEyeの視点 ...................................................................................................................................................................................................................................................................................................................................... 5

アジア太平洋 .............................................................................................................................................................................................................................................................................................................................................. 6

ロシア/東欧 .............................................................................................................................................................................................................................................................................................................................................. 12

中東 .............................................................................................................................................................................................................................................................................................................................................................. 14

西側諸国 .......................................................................................................................................................................................................................................................................................................................................................... 18

まとめ .............................................................................................................................................................................................................................................................................................................................................................. 21

FireEyeについて ......................................................................................................................................................................................................................................................................................................................... 22

http://www.fireeye.com

3 www.fireeye.com


エグゼクティブ・サマリーサイバースペースは既に戦場と化しており、各国政府がデジタル時代の覇権を巡り、見えない戦争を繰り広げています。武器等を使用した全面戦争には二の足を踏む多くの国も々、サイバー空間上におけるサイバー攻撃は、国家主権を守り、また、国力を誇示するための主要な戦力の一つとして認識されるようになりました。

アメリカ連邦政府を狙った、1998年の「Moonlight Maze」事件や2003年の「Titan Rain」事件など戦略的なサイバー・スパイ活動から、グルジアやイランへの軍事的なサイバー攻撃まで、個人間や国家間の紛争はその長い歴史の中でまた新たな段階を迎えようとしています。この見えない戦場で勝敗の帰趨を決するのは弾丸や兵隊、爆弾ではなく、ビットやマルウェア、ボットネットなのです。

こうした秘密裏に行われる攻撃は、基本的には公の目に触れることはありません。従来の戦争と異なりサイバー戦争では、弾頭の爆発、建物の崩壊、逃げ惑う市民といった衝撃的なイメージが形になることはないのです。しかし、犠牲者は日ごとに増えており、中には大手のIT企業や金融機関のほか、重要な軍事施設や政府機関も含まれています。

サイバー攻撃はそれ自体が目的ではなく、政治、経済、軍事に関わる多様な目標を達成する強力な手段になり得ると考えられています。

「大規模なサイバー攻撃に何も目的がないとは考えにくい」と、ランド研究所のマーティン・リビッキ主任研究員は話します。「各国政府は、より大きな戦略的目標を達成する戦術としてサイバー攻撃を

捉えています。選択した手段と目標の間には、部外者からはわからなくても、合理的で筋が通った関係性があるのです」。

政治体制や歴史、文化が国ごとに異なるように、国家レベルの攻撃にも動機やターゲットから攻撃のタイプまでさまざまな特徴があります。

このレポートでは、政府主導のサイバー攻撃の国別の特徴を説明します。この情報は、セキュリティの専門家が攻撃者を特定し、対応策を考える上で参考になるはずです。

以下の概要もご覧ください。

• アジア太平洋：「コメント・クルー」などの大規模な官製ハッカー集団の拠点が存在します。目的やターゲットは多岐にわたり、「人海戦術」による大規模な攻撃を執拗に繰り返す特徴があります。

• ロシア/東欧：この地域からのサイバー攻撃は技術的に高度で、検出を免れる能力に優れています。

• 中東：この地域のハッカーは創造性や策略、ソーシャル・エンジニアリングを駆使してユーザーをだまし、そのコンピュータに侵入します。

• アメリカ：最も巧妙で用意周到なサイバー攻撃が行われており、高い精度でターゲットを狙い撃ちします。


4 www.fireeye.com


はじめにベストセラー書籍で映画化もされた『ワールド・ウォーZ』では、ゾンビ・ウイルスの世界的流行に歯止めをかけようとする社会や政府の対応に、政治や文化がどう影響するかが詳しく描かれています。たとえば、アラブの少年は、ゾンビ・ウイルスの話はイスラエルのでっち上げと考え、その信憑性を端から信じていません。ワールド・ウォーZに登場するアメリカ、中国、ロシア、韓国、イスラエルなど世界各国は、現実世界ではまったく異なるタイプの紛争に巻き込まれていますが、それは「ワールド・ウォーC」という現実であり、「C」が表すサイバー攻撃により安全保障上の脅威が増大しているのが現況です。ただし、「ワールド・ウォーZ」の世界と同じように、政治体制や歴史、言語、文化は国ごとに異なり、個人間や国家間の紛争に対する解釈も国ごとに異なります。

サイバー紛争の特徴には、従来型の紛争を反映しているケースが多々見られます。たとえば、朝鮮戦争で大規模な歩兵部隊を投入した中国は、サイバー攻撃でも質より量を重視しています。当時の中国兵に配られた弾薬はわずかでしたが、その膨大な人数で勝利を収めることができたのです。一方、ロシアやアメリカ、イスラエルはその対極的な存在で、競争原理の中で磨かれた専門業者の最先端のテクニックと高度な技術に基づき、極めて精度の高いサイバー攻撃を展開しています。

インターネット時代はまだ幕が開けたばかりですが、サイバー攻撃は既に国家主権を守り、国力を誇示するコスト効率の高い手段として認識されています。最近のニュースのヘッドラインはまるでSF小説かと思わんばかりの内容も多く、高性能のコードで攻撃すれば、数千キロ離れた核施設の遠心分離器を破壊することも可能です。ユーザーによるコン

ピュータの操作を秘密裏に記録するマルウェアや、Bluetoothに対応した近くのデバイスからデータを盗み取るソフトウェア・プログラムがその典型です。あるいは、特定のターゲット・デバイスでのみ暗号が解けるコードもあり、こうした高度な機能性から背後に隠れている組織の成熟度や規模を推し量ることも可能です。一部の例外もありますが、こうした高度な攻撃は現時点では国家レベルの活動に限られています。

「国際社会はサイバー技術の動向をかなり正確に把握しています」と、アメリカ海軍大学のマイケル・N・シュミット教授は言います。「ただし、そうした技術が運用される地政学的状況の理解が不十分で、攻撃者の特定までには至っていません」。

「ワールド・ウォーC」にも、もちろん限界はあります。サイバー戦争はこれまで、特殊作戦や水中戦、ミサイル攻撃、暗殺、核攻撃、真珠湾攻撃、9.11、ハリケーン・カトリーナなどに例えられてきました。映画のゾンビも決して新しい例えではありません。ウイルスに感染したコンピュータがサイバー犯罪者に遠隔操作されている場合、そのコンピュータはゾンビと称されることが多く、ボットネットも

「ゾンビ軍」と呼ばれる場合があります。また、サイバー攻撃のコードを記述し、数千単位のコンピュータに侵入する行為は、数百万台が対象とならない限り、戦車や大砲を配備するより簡単です。その上、マルウェアは感染症と同じスピードで急激に被害が広がります。

このレポートで調査対象としたのは、一般によく知られているサイバー攻撃です。各攻撃の国別または地域別の特質を明らかにすることで、攻撃者の特定や攻撃の予測、効果的な対抗措置が可能となります。


5 www.fireeye.com


教訓サイバー紛争を取り巻く状況は混沌としており、その把握は容易ではありません。戦略レベルでは、政府はもっともらしい話で活動を否定したいと考えており、戦術レベルでも、軍部や諜報機関はサイバー活動を機密のベールに包み込んでしまいます。情報活動を効果的に進めるための策略は必要不可欠であり、インターネットは人を欺くスパイ活動の理想的なツールになっていると言えるでしょう。実際、ハッカーはサイバー環境（不正に乗っ取った第三者のネットワーク）を通じて攻撃を実行するため、技術的にも管轄的にも対応や判断が難しく、捜査は困難を極めます。また、サイバー犯罪のツールや戦術、手段は急速に進歩しており、対抗策や法整備、法の執行は依然として後れを取っている状況です。

「「サイバー攻撃を阻止し、報復するには、攻撃者の正確な特定が最大の課題となります」と、アメリカ海軍大学院のジョン・アーキラ教授は言います。「弾道ミサイルなら飛来元がすぐにわかりますが、コンピュータ・ウイルスやワーム、サービス妨害攻撃などは、たいていの出所は秘密のベールに包まれています。このベールをはぎ取るには、国別の戦略文化や地政学的背景を十分に理解したうえで、慎重に逆ハッキングを行います」。

周知の通り、個人か組織か国家かを問わず、サイバー犯罪の容疑者特定は困難であり、1度の攻撃に限られている場合はさらにハードルが高くなります。国家レベルの攻撃が、個人や組織の仕業と誤って認識されるケースは珍しくなく、その逆の場合も多々あるのが実情です。さらに厄介なことに、両者が関連しているケースも増加傾向にあります。まず、

「政府のために」という名目でサイバー戦争を遂行する「愛国的なサイバー犯罪者」が増加しています。1990年代のチェチェンとコソボ、2001年の中国、2007年のエストニア、2008年のグルジアなどその実例は枚挙の暇が無く、中東では毎年のように発生しています1。その他、サービス妨害攻撃やすでに乗っ取っているネットワークへのアクセスなど、サイバー攻撃をサービスとして政府などに提供するサイバー犯罪組織も出現しています。

FireEyeの調査では、高性能のトロイの木馬を開発して使用した国家が、（自国のトロイの木馬対策を整備した後に）それを裏市場でサイバー犯罪者に販売したケースも確認されています。このように、国家と犯罪組織の両方の特徴を帯びた攻撃も存在し、容疑者の特定はほとんど不可能な状況と化しています。その他、他の国や組織になりすまして捜査を攪乱する、「偽旗作戦」というサイバー活動も状況をさらに複雑化させる要因となっています。

FireEyeの視点サイバー戦争の闇の世界で、FireEyeは独自のポジションを占めています。まず、FireEyeの脅威対策プラットフォームは、全世界数千に及ぶセキュリティを重要視する環境のネットワークに導入されています。つまり、FireEyeの研究員はサイバー領域の隅から隅までを知り尽くしているのです。次に、FireEyeのデバイスはファイアウォール、アンチウイルス、侵入防御などの従来型セキュリティ・システムの背後に配置されています。FireEyeが検出する攻撃は、既に外部ネットワークの防御システムをすり抜けており、「誤検出」の発生率が極めて低い理由になっています。

1 Geers K. (2008) “Cyberspace and the Changing Nature of Warfare,” Hakin9 E-Book, 19(3) No. 6; SC Magazine (27 AUG 08) 1-12.


6 www.fireeye.com


アジア太平洋

中国―公然の秘密人口が多く、経済が急成長中の中華人民共和国は、ターゲットの側で有効な対策が見つからないという点で、サイバースペースの中でも最も厄介な脅威と言えるでしょう。

アメリカを狙う中国の攻撃中国によるセキュリティ侵害の例は数限りなく発生していて、全世界に被害が及んでいます。アメリカでも次のような重大事件が起きています。

• 政府：アメリカのエネルギー省は1999年の時点で、中国のサイバー・スパイ活動がアメリカの核安全保障に深刻な脅威をもたらしていると認識していました2。2009年には、アメリカの最新戦闘機F-35の導入計画に関する情報が中国に窃取されたことが確認されています3。

• 技術：Google、Intel、AdobeやRSAをハッキングした中国は、窃取したSecureIDなどの認証技術を使用して、 Lockheed MartinやNorthrop Grumman、L-3 Communica-tionsに攻撃を仕掛けていました4。

• ビジネス/金融サービス：Morgan Stanleyや米国商工会議所のほか、多数の銀行がハッキング被害を受けています5。

• メディア：New York Times、Wall Street Journal、Washington Postなどの各メディアが、中国の巧妙で執拗なサイバー攻撃を受けています6。

• 重要なインフラ：国土安全保障省（DHS）が2013年に公開したレポートによると、国内のガス・パイプライン企業23社が破壊工作と思われるハッキングを受けています7。また、アメリカ陸軍工兵隊の国家ダム統計局でも、中国ハッカーの活動が確認されています8。

こうしたサイバー攻撃により、中国は研究開発データなどの機密情報を入手しています。また、アメリカ政府高官と中国の反体制活動家との機密通信も、中国の諜報機関が傍受しています。

2 Gerth, J. & Risen, J. (2 May 1999) “1998 Report Told of Lab Breaches and China Threat,” The New York Times.3 Gorman, S., Cole, A. & Dreazen, Y. (21 Apr 2009) “Computer Spies Breach Fighter-Jet Project,” The Wall Street Journal.4 Gross, M.J. (1 Sep 2011) “Enter the Cyber-dragon,” Vanity Fair.5 Gorman, S. (21 Dec 2011) “China Hackers Hit U.S. Chamber,” Wall Street Journal; and Ibid.6 Perlroth, N. (1 Feb 2013) “Washington Post Joins List of News Media Hacked by the Chinese,” and “Wall Street Journal Announces That It, Too, Was Hacked

by the Chinese,” The New York Times.7 Clayton, M. (27 Feb 2013) “Exclusive: Cyberattack leaves natural gas pipelines vulnerable to sabotage,” The Christian Science Monitor. 8 Gertz, B. (1 May 2013) “Dam! Sensitive Army database of U.S. dams compromised; Chinese hackers suspected,” The Washington Times.


7 www.fireeye.com


9 Warren, P. (18 Jan 2006) “Smash and grab, the hi-tech way,” The Guardian.10 “Espionage Report: Merkel’s China Visit Marred by Hacking Allegations,” (27 Aug 2007) Spiegel.11 Leppard, D. (31 Jan 2010) “China bugs and burgles Britain,” The Sunday Times.12 Exclusive cyber threat-related discussions with FireEye researchers.13 Pubby, M. (01 Jul 2012) “China hackers enter Navy computers, plant bug to extract sensitive data,” The Indian Express. 14 Ungerleider, N. (19 Oct 2010) “South Korea’s Power Structure Hacked, Digital Trail Leads to China.” Fast Company.15 Mick, J. (28 Jul 2011) “Chinese Hackers Score Heist of 35 Million South Koreans’ Personal Info,” Daily Tech.16 McCurry, J. (20 Sep 2011) “Japan anxious over defence data as China denies hacking weapons maker,” The Guardian;

その他の国への中国の攻撃もちろん、中国のサイバー攻撃のターゲットはアメリカだけではありません。係争中の地政学的紛争もサイバースペースに持ち込まれており、中国のサイバー攻撃の被害は全世界に及んでいます。しかし、多くは一方的なもので、一般によく知られている攻撃はすべて中国が発信源になっています。

• ヨーロッパ：2006年、中国はイギリス下院にサイバー攻撃を仕掛けました9。ドイツのアンゲラ・メルケル首相は、 2007年に中国国家主席との会談で国家レベルのハッキングの問題に言及10。2010年には、中国の秘密諜報員がイギリスの企業幹部に接近、マルウェアを搭載したデジタル・カメラとメモリ・スティックを渡したことを同国機密諜報部（MI5）が公表しています11。

• インド：インドの当局者は、中国との紛争発生時には、コンピュータ・ネットワークが破壊されるのではないかと危惧しています。専門家によると、中国製ハードウェアだけでネットワークを構築すると、中国による「恒久的」なサービス妨害攻撃を受ける可能性があるそうです12。また、インド海軍の司令部が受けた巧妙な攻撃では、スタンドアロンのネットワークとインターネットのギャップを埋めるために、USBデバイスが使用されていました13。

• 韓国：韓国政府は、各省庁所有のコンピュータに対する中国の攻撃に、何年も前から苦しめられています。2010年には、韓国政府のパソコンやPDAが不正侵入を受ける被害があり14、2011年には国民3,500万人の個人情報を保持するインターネット・ポータルが攻撃を受けました15。

• 日本：日本では官公庁関連、ハイテク・ネットワークが攻撃を受けており、機密情報の盗難も起こっています16。

中国


8 www.fireeye.com


17 Report: Plans for Australia spy HQ hacked by China », (28 mai 2013) Associated Press.18 « Tracking GhostNet: Investigating a Cyber Espionage Network », (29 mars 2009) Information Warfare Monitor.19 Vijayan, J. (18 novembre 2010) « Update: Report sounds alarm on China’s rerouting of U.S. Internet traffic », Computerworld.20 Sanger, D., Barboza, D. et Perlroth, N. (18 février 2013) « Chinese Army Unit is seen as tied to Hacking against U.S. », The New York Times. 21 Pidathala, V., Kindlund, D. et Haq, T. (1er février 2013) « Operation Beebus », FireEye.

• オーストラリア：中国には、オーストラリア保安情報機構の新しいビル（総工費6億3,100万ドル）の設計図を盗んだ疑いがかけられています17。

• 世界：カナダの捜査当局は2009年、100か国以上を網羅するサイバースパイ・ネットワークの元締めを中国と断定18。2010年には、中国

の通信事業者が3万7,000のコンピュータ・ネットワークに誤ったルーティング情報を流し、インターネット上のトラフィックが20分間にわたって中国のサーバーを経由するよう誘導されていました。この事件では、アメリカの8,000、オーストラリアの1,100、およびフランスの230の各ネットワークでデータ流出の被害が発生しました19。

中国のサイバー戦術中華人民共和国（PRC）の人口は、アメリカの4倍を上回る13億5,000万人です。中国はサイバー攻撃に限らず質より量で圧倒する傾向があり、1950年代の朝鮮戦争でも歩兵を大量投入する戦術をとっていました。

FireEyeで調査した限り、中国発のマルウェアの先進性や精度はトップクラスではありませんが、多くのケースで十分な効果を発揮します。中国の攻撃は数に物を言わせた「力業」が基本ですが、最も低いコストで目的を達成できるメリットがあります。脆弱性がついて回る現代のネットワークに膨大な数の攻撃が行われ、身元特定が困難な状況が重なると、こうした攻撃が成功する場合が多くなります。

中国のハッカー集団として有名な「Comment Crew」20は、中国政府からサイバー攻撃を請け負っていると考えられています。アメリカの航空宇宙産業や軍需産業をターゲットとする

「Operation Beebus」など、多くの有名な攻撃に「Comment Crew」が関わっています21。

偵察メーリング・リスト、過去の水飲み場攻撃に関する情報、クローリング、ソーシャル・ネットワークの調査

細工非実行ファイルを装った実行ファイル、悪意のある非実行ファイル、水飲み場攻撃

配布戦略的なWebサイトの改ざん、偽のURLを記載したスピア・フィッシング・メール、攻撃メールへの添付、ポート・スキャンによるWebサーバーへの不正アクセス

侵入ブラウザやアプリケーションの脆弱性を狙ったゼロデイ攻撃、ソーシャル・エンジニアリング

インストール検出回避機能は最小限だが機能豊富でコンパクトなRAT（ネットワーク内での移動を誰かがコントロールする必要がある）

指揮および統制（C2） HTTP/エンベデッド、標準エンコーディング（例: XOR）およびカスタム・エンコーディング

アクション機密情報の収集/経済スパイ、持続的なアクセス

TTPの例 Comment Group

表1：中国のサイバー攻撃の特徴


9 www.fireeye.com


20 Sanger, D., Barboza, D. & Perlroth, N. (18 Feb 2013) “Chinese Army Unit is seen as tied to Hacking against U.S.” The New York Times. 21 Pidathala, V., Kindlund, D. & Haq, T. (1 Feb 2013) “Operation Beebus,” FireEye.22 Riley, M. & Lawrence, D. (26 Jul 2012) “Hackers Linked to China’s Army Seen From EU to D.C.,” Bloomberg.23 “Significant Cyber Incidents Since 2006,” Center for Strategic and International Studies.24 同上.25 同上.26 Rapoza, K. (22 June 2013) “U.S. Hacked China Universities, Mobile Phones, Snowden Tells China Press,” Forbes.27 Hille, K. (5 Jun 2013) “China claims ‘mountains of data’ on cyber attacks by US,” Financial Times.

持続的標的型攻撃（APT）を得意とする「Com-ment Crew」の重要な特徴のひとつに「官僚制」があります。この集団の活動を綿密に分析すると、創造的、戦略的思考を担当する少人数のチームがトップにいることがわかります。1つ下の階層のスペシャリスト・チームは、マルウェアを工業的に設計、生産します。そして最下層の「歩兵部隊」とも言うべきハッカー集団が命令に従い、長期におよぶサイバー攻撃を遂行する仕組みです。活動は単なるネットワークの偵察から、スピア・フィッシングによる情報の詐取まで多岐にわたります。巨大組織の「Comment Crew」は窃取した情報も膨大な量に及んでおり、アメリカ連邦捜査局（FBI）が把握している分だけでも印刷して積み上げれば、百科事典一式を超えるものと考えられます22。

「Comment Crew」は大規模な官僚組織であるため、ちぐはぐな活動が見られることもあります。たとえば、上層の専門家がせっかく高度なマルウェアを開発しても、末端のメンバーが経験不足で上手く利用できていない場合です（スピア・フィッシング・メールの出来が悪い場合など）。このようにサイバー攻撃のライフサイクルと各段階の特徴を理解すれば、防御側で攻撃を検知し、的確に阻止

することが可能です。組織の肥大化は末端の混乱を招きがちで、防御側でもそうした不備を上手く利用することが求められています。

中国の脅威対策中国の政府高官は、自分たちもサイバー攻撃のターゲットになっていると主張しています。2006年には、宇宙開発を担う中国航天科技集団公司

（CASIC）の機密性の高いネットワークでスパイウェアが見つかりました23。

2007年、中華人民共和国国家安全部が、外国のサイバー犯罪者によって中国の情報が盗まれていると発表。攻撃の42%が台湾経由で、25%はアメリカ経由というデータを公開しています24。

2009年には、温家宝首相が全国人民代表大会に提出する報告書が台湾のサイバー犯罪者により盗まれたと、首相本人が発表しました25。2013年には、アメリカ国家安全保障局（NSA）の元システム管理者エドワード・スノーデンが、中国に対するアメリカのサイバー・スパイ活動を示唆する文書を公開26。中国コンピュータ緊急対応チーム

（CERT）は、アメリカ主導のサイバー攻撃に関するデータは「山のようにある」と明言しています27。


10 www.fireeye.com


北朝鮮―新興国北朝鮮と韓国の間では、世界で最も解決が難しい紛争が続いています。中国の支援を受ける北朝鮮のネット環境はいまだ石器時代のようで、世界で最も高速通信の発達した韓国（アメリカが支援）と比べて相当遅れています28。 2015年、韓国の学校では、教科書代わりのタブレットの配布が決まりました29。しかし、いかに遅れている国でも、インターネットさえあればサイバースペースで諜報活動を実施し、国力を誇示することが可能です。北朝鮮も新たな兵器としてサイバー攻撃を利用し始めています。

北朝鮮は2009年、韓国政府とアメリカ政府のWebサイトをターゲットに、同国初となる大規模サイバー攻撃を実施。大きな被害は出ませんでしたが、当時、この事件はメディアで大きく取り上げられました30。しかし、4年を経過した現在は、北朝鮮も攻撃者としての成長を遂げています。韓国へのサイバー攻撃を4年以上続けて注目を集めたハッカー集団「DarkSeoul Gang」は、分散サービス妨害（DDoS）攻撃と不正コードを駆使し、銀行やメディア、ISP、通信事業者、各種金融機関のハードディスクの内容を改ざん、政治的なメッセージを書き込んだと言われています。紛争中の朝鮮半島では、こうした事件はアメリカの独立記念日など、歴史的に重要な日に発生するのが通例です31。北朝鮮は、在韓米軍の施設やアメリカの民間団体「北朝鮮人権委員会」のほか、ホワイトハウスにも攻撃を仕掛けていると見られています。北朝鮮からの亡命者によると、政府のサイバー攻撃担当部署は規模を拡大しており、主に中国やロ

シアで訓練を受けたスタッフ3,000人が作戦に従事しています。同国は、軍事的に優位な相手と戦う費用効果的な手段として、サイバー攻撃に注力しているようです。この新しい分野で自信を深めている北朝鮮は、サイバー攻撃の効果を高く評価、これを利用して西側への圧力を強めたいと考えています。目的を果たすため自国の重要なサーバーをインターネットから切り離し、「攻撃専用ネットワーク」の構築に力を入れていると噂されています32。

FireEyeの調査では、北朝鮮ハッカーの攻撃はスピア・フィッシングが中心で、「水飲み場攻撃」型の攻撃も確認されています。「水飲み場攻撃」型攻撃では、ターゲットの組織や企業に属するユーザーが頻繁に訪れるWebサイトを特定し、そのサイトの内容改ざんを通じてユーザーのコンピュータに侵入、不正行為を働きます。北朝鮮による最近の攻撃では、被害者のオペレーティング・システムの設定を操作し、アンチウイルスソフトを無効にするケースも確認されていますが、これはロシアのサイバー攻撃に見られる特徴です。この事実から、北朝鮮のハッカーがロシアで訓練を受けたか、ロシアのハッカーとサポート契約を結んだ可能性が考えられます。

システムの崩壊や混乱を意図したサイバー攻撃とは別に、コンピュータ・ネットワークの攻略は機密情報を収集する際に極めて有効なツールとなります。特に、政府やシンクタンクの閉じたネットワークに機密情報が存在する場合は、ツールとしての有効性がさらに高まるはずです。北朝鮮や中国、ロシアでは、軍事や外交で相手国より優位に立ったり、将来的な政策転換に備えたりするうえで機密情報が重要な役割を果たします。情報収集に力を入れることは極めて当然のことと言えます。

28 McDonald, M. (21 Feb 2011) “Home Internet May Get Even Faster in South Korea,” The New York Times.29 Gobry, P-E. (5 JUL 2011) “South Korea Will Replace All Paper With Tablets In Schools By 2015,” Business Insider. 30 Choe Sang-Hun, C. & Markoff, J. (8 Jul 2009) “Cyberattacks Jam Government and Commercial Web Sites in U.S. and South Korea,” The New York Times.31 “Four Years of DarkSeoul Cyberattacks Against South Korea Continue on Anniversary of Korean War,” (27 Jun 2013) Symantec. 32 Fisher, M. (20 March 2013) “South Korea under cyber attack: Is North Korea secretly awesome at hacking?” The Washington Post.


11 www.fireeye.com


北朝鮮は自分たちこそ被害者であり、韓国やアメリカによるサイバー攻撃のターゲットになっていると主張しています。2013年6月には、国内すべてのWebサイトが2日間にわたりダウンしましたが、朝鮮中央通信社は「持続的かつ集中的なウイルス攻撃」と解説、「この事態の全責任はアメリカと韓国にある」と両国を非難しました。北朝鮮の発表によると、この攻撃は米韓合同軍事演習「キーリゾルブ」と同時期に発生していますが、米軍の統合参謀本部は関連を否定しています33。

インドとパキスタン：昔からの因縁、新しい戦術インド・パキスタンの国境沿いは厳重な警備態勢が敷かれていますが、サイバースペースに国境はありません。このため、たとえ平時であってもサイバー紛争には歯止めが効かない状況です。

インド政府の発表によると、2009年にパキスタンのサイバー犯罪者がインドで人気の音楽ダウンロード・サイトにマルウェアを埋め込み、政府のシステムを間接的に不正操作しようとしたそうです34。2010年には、「Pakistani Cyber Army」を名乗るグループがインド警察の最高機関「中央捜査局」のWebサイトを改ざん、閉鎖に追い込みました35。2012年には、インド政府の100以上のWebサイトが不正侵入の被害を受けています36。

インドのサイバー犯罪者も負けじと、2013年に大規模なスパイ作戦「Operation Hangover」を遂行、パキスタンのITや採鉱、自動車、法曹、エンジニアリング、食品、軍事、金融など、各業界のネットワークを攻撃しました37。この攻撃とインド政府を結び付ける決定的な証拠は出ていませんが、多くの攻撃対象がインドの安全保障上の利益と結び付いていたことは事実です38。

東南アジア諸国連合（ASEAN）：格好の標的となる新興国ASEAN諸国の政府や軍、民間企業は、遅くとも2010年頃から中国発とみられる多くのAPT攻撃を受けています。 ASEANは、ブルネイ、ビルマ（ミャンマー）、カンボジア、インドネシア、ラオス、マレーシア、フィリピン、シンガポール、タイ、ベトナムといった東南アジアの国々が構成するグループで、地政学的かつ経済的な協力関係を築いています。短期的に見て、この地域で紛争が起こる可能性はほとんどありませんが、大規模なサイバー・スパイ活動が常時行われています。電気通信、運輸、石油・ガス、銀行、シンクタンクなどの業界がターゲットになっており、政治、軍事、経済の各分野で、戦略・戦術的に基本的優位な位置を占めることが目的と考えられます39。

FireEyeの研究者は、ASEAN地域で、BeeBusやMirage、Check Command、Taidoor、-Seinup、そしてNaikonなど、多くのAPTハッカーを追跡調査しています。スピア・フィッシングが戦術の中心で、ターゲット国の政治や経済のほか、ASEAN首脳会議やAPEC首脳会議、エネルギー探査、軍事活動など、同地域のイベントに関連する内容的には何の問題もない文書が「おとり」として利用されています。

こうした地域経済同盟の多くは貴重な情報を共有しているにも関わらず、サイバースペースでのセキュリティ意識が低いため、APT攻撃の格好のターゲットになります。概してシステム管理に一貫性がなく、ソフトウェアのパッチ管理やポリシー管理も不十分なケースが多あ々るため、地域同盟のネットワークは攻撃側にとって「簡単に崩せるターゲット」なのです。さらに悪いことに、侵入を許した1つのシステムが、別のターゲットを攻撃する足場として利用されます。たとえば、不正な指揮統制（CnC）サーバーをインス

33 Herman, S. (15 Mar 2013) “North Korea Blames US, South for ‘Cyber Attack’,” Voice of America.34 “Significant Cyber Incidents Since 2006,” Center for Strategic and International Studies.35 “India and Pakistan in cyber war,” (4 Dec 2010) Al-Jazeera.36 Muncaster, P. (16 March 2012) “Hackers hit 112 Indian gov sites in three months,” The Register.37 “Operation Hangover: Q&A on Attacks,” (20 May 2013) Symantec.38 “Snorre Fagerland, et al. “Operation Hangover: Unveiling an Indian Cyberattack Infrastructure.” May 2013. 39 Finkle, J. (4 Aug 2011) “’State actor’ behind slew of cyber attacks,” Reuters.


12 www.fireeye.com


トールし、電子メール・アカウントを乗っ取ったうえで、不正に取得した文書を「おとり」として無差別に配布します。

ロシア/東欧

ロシア―読めない動き1939年、ウィンストン・チャーチルは「謎の中の謎に包まれた謎である」とロシアの動向を表現しました。70年後の現代のセキュリティ専門家に聞いても、やはり印象はほとんど変わっていないと答えるでしょう。中国から怒濤のように押し寄せる攻撃に比べ、ロシアはと言えば、赤の広場に降り積もる雪の音が聞こえそうなほど静寂を保っています。現在のサイバー・セキュリティの世界では、ロシアの読めない動きが大きな謎とされています。これはロシアのハッキング技術が優れている証拠かもしれませんが、とにかく、セキュリティの専門家もロシアのサイバー犯罪者の動きを掴めていないのが実情です。ただし、チャーチルの次の言葉が答えを見つけるヒントになるかもしれません。「しかし、ロシアの国益が謎を解くカギになるかもしれない」40。言い換えると、「火のないところに煙は立たない」でしょうか。

90年代半ばのWorld Wide Webの草創期には、ロシアからの独立を巡るチェチェン紛争が長期化、チェチェンは世界に先駆けてサイバー・プロパ

ガンダを実施しました。そしてロシアが、サイバー攻撃を受けてWebサイトがダウンした最初の国になったのです。1998年、ロシアの同盟国セルビアがNATO軍の攻撃を受けたときには、プロのセルビア人ハッカーが紛争に割り込み、NATOにDoS攻撃を仕掛け、少なくとも25以上のウイルスが感染したメールを送信していました。 2007年には、ソビエト時代の象徴である銅像の移転を図ったエストニアが大規模なDDoS攻撃を受けましたが、この史上最も有名なサイバー攻撃の第一容疑者としてロシアの名前が挙がっています41。

2008年、ロシア軍のグルジア侵攻の際に、グルジア政府や商業ネットワークが攻撃を受けたケースがありますが、これは確かな証拠が見つかっています42。アメリカのウィリアム・リン国防副長官が「米軍コンピュータ・システムへの史上最も深刻なサイバー攻撃」と評した同じ2008年の事件でも、容疑者としてロシアの名前が挙がりました。これは、ウイルスに感染したUSBデバイスを通じてアメリカ中央軍（CENTCOM）が攻撃を受けた事件です43。 2009年の「Cli-mategate」事件では、地球温暖化に関する国際交渉を失敗に追い込む目的で大学研究機関がハッキングされましたが、犯人として疑われたのもロシア人ハッカーです44。2010年にはロシアからのサイバー攻撃の増加に注意するようNATOとEUが警告、FBIはMicrosoftのソフトウェアのテスターとして働いていたアレクセイ・カレトニコフをロシアのスパイとして逮捕し、母国へ強制送還しました45。

40 “Winston Churchill,” Wikiquote.41 Geers K. (2008) “Cyberspace and the Changing Nature of Warfare,” Hakin9 E-Book, 19(3) No. 6; SC Magazine (27 AUG 08) 1-12. 42 “Overview by the US-CCU of the Cyber Campaign against Georgia in August of 2008,” (Aug 2009) U.S. Cyber Consequences Unit. 43 Lynn, W.J. (2010) “Defending a New Domain: The Pentagon’s Cyberstrategy,” Foreign Affairs 89(5) 97-108.44 Stewart, W. & Delgado, M. (6 Dec 2009) “Were Russian security services behind the leak of ‘Climategate’ emails?” Daily Mail & “Global warning: New

Climategate leaks,” (23 Nov 2011) RT.45 Ustinova, A. (14 Jul 2010) “Microsoft Says 12th Alleged Russian Spy Was Employee,” Bloomberg.


13 www.fireeye.com


独裁主義的な国家のサイバー攻撃は、国内に向けられることも多々あります。2012年には、ロシアのセキュリティ企業カスペルスキー・ラボが「Red October」の検出を発表46。これは、世界数百万の一般市民の素行を調査するサイバー攻撃ですが、主に旧ソビエト圏で活発に行われていました。ターゲットには大使館、調査会社、軍事基地、エネルギー関連会社、原子力関連機関や基盤インフラなどが含まれています47。2013年には、ロシア語圏で使われていた数百万台のAndroidデバイスでマルウェアが発見されました。こうした攻撃は、ロシア政府による自国民や近隣諸国への監視活動と考えることもできます48

サイバースペースには明るいニュースもあり、2013年にアメリカとロシアはサイバー「ホットライン」の構築で合意。核戦争の恐怖に怯えた冷戦時代のホットラインと同様の役割を担い、将来的なサイバー危機の勃発に備えます49。しかし、それでも用心に用心を重ねるロシア側では、究極のセキュリティ対策として旧式のタイプライターを購入しているということです50。ロシア軍では、アメリカや中国、イスラエルと同様のサイバー戦部隊の創設も進めています51。

ロシアの戦術活発なサイバー攻撃が確認されず、比較的穏やかなロシアですが、FireEyeでこれまでに検出した複雑で巧妙なサイバー攻撃の多くはロシア発と考えられています。たとえば、ロシアのエクスプロイト・コードは中国版よりステルス性が高く、狙われた場合は対応に苦慮します。

「Sputnik」という衛星ソフトウェアを使用する「Red October」は、非常にロシアらしいマルウェアと言えます。

TTPには攻撃メールで添付ファイルを送信することも含まれますが、ロシアのサイバー犯罪者は攻撃パターンやエクスプロイト、データの窃取方法を巧妙に変え、検出を上手に回避しています。こうして徹底的に身元や目的を隠そうとするのは、中国人ハッカーほど口が堅くない国民性が理由かもしれません。偽旗作戦を実施し、アジアからの攻撃に見せかけていたケースも確認されています。

46 “The ‘Red October’ Campaign—An Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencies” (14 Jan 2013) GReAT, Kaspersky Lab.

47 Lee, D. (14 Jan 2013) “’Red October’” cyber-attack found by Russian researchers,” BBC News48 Jackson Higgins, K. (3 Aug 2013) “Anatomy of a Russian Cybercrime Ecosystem Targeting Android,” Dark Reading. 49 Gallagher, S. (18 Jun 2013) “US, Russia to install ‘cyber-hotline’ to prevent accidental cyberwar,” Ars Technica.50 Ingersoll, G. (11 Jul 2013) “Russia Turns to Typewriters to Protect against Cyber Espionage,” Business Insider.51 Gorshenin, V. (29 Aug 2013) “Russia to create cyber-warfare units,” Pravda.

ロシア


14 www.fireeye.com


また、コンピュータへの侵入に成功したロシア人ハッカーが確保するバックドアと、熟練したサイバー犯罪者の侵入経路の区別が難しいことも、セキュリティ対策の専門家にとって厄介な問題の1つとなっています。

中東中東のサイバー攻撃には、ロシアの多様なゼロデイ攻撃や中国の人海戦術のような特徴がありません。この地域では、斬新さと創造性、そして策略を駆使したサイバー戦術が実践されています。たとえば、2012年に確認された「Mahdi」攻撃は中東地域のターゲット・コンピュータに感染しました。侵入の手段として、悪意のあるWord文書やPowerPointファイル、PDFが使用されていました。よくある手法と言われればそうですが、ゲームや魅力的な画像、カスタム・アニメーションを追加するなど、攻撃の成功率を高める工夫が施されていました。

こうした手法により、不正なコードをインストールするコマンドを実行するようユーザーを誘導しただけでなく、マルウェア関連の警告メッセージからユーザーの注意をそらしていたのです。さらに、ゲームのパターンを変えて、特定のユーザー層にターゲットを絞り込む工夫も加えていました。事前調査に基づきピンポイントで攻撃すれば、脅威対策の行動検出メカニズムを回避し、不正アクセスの成功率を大幅に引き上げることができます。中東では、ターゲット・ネットワークにマルウェアをどのように配布し、インストールするか、その手段を洗練させる方向でサイバー攻撃が発達してきました。

偵察恐らくHUMINT情報細工悪意のあるDOC/XLSファイル配布攻撃メールへの添付侵入アプリケーションの脆弱性を突くゼロデイ攻撃インストールモジュールが暗号化されている機能豊富なRAT

指揮および統制（C2） HTTP/カスタム・エンベデッド・エンコーディングおよび暗号化

アクション機密情報の収集（政府対象）

TTPの例 Red October

表2：ロシアのサイバー攻撃の特徴


15 www.fireeye.com


イラン：サイバー戦争の真っ只中犯罪やスパイ活動、戦争など、実世界で大きな出来事が起きると、必ず、それに関連するサイバー活動が並行して展開されます。核兵器保有目前のイランは国際社会と緊張関係が続いているため、サイバースペースで最先端の攻撃を受けていても不思議ではありません。

2010年に確認された「Stuxnet」は精度の高い「サイバー・ミサイル」で、イランの核開発計画の奥深くに潜り込んで、物理的なインフラを破壊するよう設計されていました。ある意味、ターゲットの国の領空に潜り込んで、レーザー誘導爆弾を投下する戦闘機の役割を担っていたと言えます52。他にも「Duqu」、「Flame」、「Gauss」などの高度な攻撃が展開されていましたが、出自はすべて同じだったと考えられています53。ただし、イランがターゲットの場合は、アマチュアでもサイバー攻撃に成功する可能性があります。「Mahdi」の機能性は「Stuxnet」やその派生種と比べてはるかに劣っていますが、その「Mahdi」が中東では今でも現役で、エンジニアリング企業や政府機関、金融機関、研究機関などのシステム侵入に成功しています54。

では、国家や個人は、サイバー攻撃にどのように対処すれば良いのでしょうか。サイバースペースでの反撃、それとも、従来の軍事行動やテロ攻撃に踏み切るのでしょうか。2012年のイランは最初のオプションを選択したと見られ、「Cutting Sword of Justice」というハッカー集団が

「Shamoon」ウイルスを使用してサウジアラビアの国営石油会社アラムコを攻撃しました。同社所有の75%のPCから文書、スプレッドシート、電子メール、ファイルなどのデータが削除され、燃えるアメリカ国旗の画像に置き換えられたそうです55。1年前から「Izz ad-Din al-Qassam」というグループも活動を開始、ニューヨーク証券取引所などアメリカの金融機関をターゲットに「Opera-tion Ababil」という持続的な DDoS攻撃を展開しています56。

52 Sanger, D. Confront and Conceal. (New York: 2012) pp. 188-225.53 Boldizsár Bencsáth. “Duqu, Flame, Gauss: Followers of Stuxnet,” BME CrySyS Lab, RSA 2012. 54 Simonite, T. (31 Aug 2012) “Bungling Cyber Spy Stalks Iran,” MIT Technology Review.55 Perlroth, N. (23 Oct 2012) “In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back,” The New York Times.56 Walker, D. (8 Mar 2013) “Hacktivists plan to resume DDoS campaign against U.S. banks,” SC Magazine.

偵察地域のメーリング・リスト、各種会議細工悪意のあるPPT/PPSファイル配布攻撃メールへの添付

侵入ソーシャル・エンジニアリングによる画面上のマウスのクリック

インストール基本的なカスタム・ツール群/RAT（ネットワーク内での移動を誰かがコントロールする必要がある）

指揮および統制（C2）プレーンのHTTP、何事もないように潜伏アクション機密情報の収集（中東対象）、サービスの妨害

TTPの例 Madi、LV

表3：中東のサイバー攻撃の特徴


16 www.fireeye.com


イランのサイバー攻撃は他にも実例があります。2009年には、アメリカ海兵隊の大統領専用ヘリコプター「マリーン・ワン」に関する機密情報がイランのファイル共有ネットワークで見つかりました57。2010年には、ハッカー集団「Iranian Cyber Army」の攻撃でTwitterと中国の検索エンジン「バイドゥ」の機能が麻痺、ユーザーの画面にイランの政治的メッセージが表示される状態に陥りました58。2011年には、イラン人ハッカーがオランダの電子認証局に侵入し、大手企業や政府機関の偽造証明書を500通以上発行しました59

。2012年には、イランのハッカーがBBCを攻撃

し、同局のペルシャ語放送が中断。トロント大学の研究者によると、同年にトロイの木馬を仕込んだプロキシソフト「Simurgh」が出回り、収集されたユーザー名やキー入力の内容などが機密情報収集サイトに送信される事件も起きていたそうです。

「Simurgh」は、インターネット・トラフィックを匿名化するソフトで、イランなどの国々でよく使用されています60。 2013年には、アメリカの基盤インフラの破壊をもくろむイラン人ハッカーの動きが活発化したと、Wall Street Journalが報じています61。

シリア：シリア電子軍?内戦中のシリアは、サイバー活動の研究者にとって調査対象の宝庫です。群を抜いて有名なハッカー集団のシリア電子軍（SEA）はアサド大統領派で、DDoS攻撃、フィッシング、アサド大統領を支持する内容へのWebサイトの改ざん、シリア政府に批判的な外国政府、オンライン・サービス、メディアへのスパム攻撃などの活動を行っています。ハッキングのターゲットも、Al-Jazeera、Anony-mous、Associated Press（AP）、BBC、Daily Telegraph、Financial Times、Guardian、Hu-man Rights Watch、National Public Radio、New York Times、Twitterrなど多岐にわたります62。AP通信の公式Twitterアカウントを乗っ取り、「ホワイトハウスで爆発があり、オバマ大統領が負傷した」という偽のテロ情報を流した事件が最も有名ですが、この誤報で株式市場は大混乱に陥り、一瞬にして時価総額約2,000億ドルが吹き飛んだと言われています63。

57 Borak, D. (3 Mar 2009) “Source in Iran views Marine One blueprints,” Marine Corps Times.58 Wai-yin Kwok, V. (13 Jan 2010) “Baidu Hijacked By Cyber Army,” Forbes.59 Charette, R. (9 Sep 2011) “DigiNotar Certificate Authority Breach Crashes e-Government in the Netherlands,” IEEE Spectrum. 60 “Iranian anti-censorship software ‘Simurgh’ circulated with malicious backdoor,” (25 May 2012) Citizenlab.61 Gorman, S. & Yadron, D. (23 May 2013) “Iran Hacks Energy Firms, U.S. Says,” Wall Street Journal.62 Fisher, M. & Keller, J. (31 Aug 2011) “Syria’s Digital Counter-Revolutionaries.” The Atlantic; “Syrian Electronic Army,” (accessed 25 July, 2013) Wikipedia.63 Manzoor, S. (25 July, 2013) “Slaves to the algorithm: Are stock market math geniuses, or quants, a force for good?” The Sunday Telegraph.


17 www.fireeye.com


2013年7月の1か月だけでも、SEAはTruecaller64

（世界最大のオンライン電話帳）、Tango65（動画とテキストによるメッセージ・サービス）、およびViber66（無料通話/メッセージ・アプリ）という3つの大規模オンライン・コミュニケーション・サイトに不正アクセスしています。これにより、シリア諜報機関が数百万人の通信にアクセスできるようになるため、国内の反政府活動家がスパイ活動や脅迫、逮捕の対象になる恐れがあります。

SEAでは、反体制活動家のコンピュータに侵入するにあたり、まずはソーシャル・エンジニアリングに基づいて作成したスピア・フィッシング・メールを送信、攻撃用の偽のファイルを開かせます。受信者が罠にかかると、リモート・アクセス型トロイの木馬がコンピュータにインストールされ、キー入力情報やスクリーン・ショット、マイクやウェブカメラによる記録データ、各種ファイルやパスワードなどを入手できるようになります。こうした情報はすべ

て、シリア政府が管理するIP空間のコンピュータ・アドレスに送信され、諜報活動に利用されると考えられます67。

イスラエル：昔からの紛争に新たな戦術アラブとイスラエルの間では、冷戦時代にも武力衝突が度々発生、新兵器や戦術の実験場になっていました。インターネット時代の今も、この地域の状況は基本的に何も変わっていません。遅くとも2000年頃には親イスラエルのハッカーが活動を開始し、政治的あるいは軍事的に重要な中東のサイトを攻撃68。2007年にはイスラエルのサイバー攻撃でシリア空軍のネットワークが機能を停止、シリアの核施設と疑われた建物へのイスラエルの空爆が成功したと言われています。当時は自国内のネットワークもダメージを受けたということです69。

64 Khare, A. (19 July 2013) “Syrian Electronic Army Hacks Truecaller Database, Gains Access Codes to Social Media Accounts.” iDigital Times. 65 Kastrenakes, J. (22 July 2013) “Syrian Electronic Army alleges stealing ‘millions’ of phone numbers from chat app Tango.” The Verge; Albanesius, C. (23 July

2013) “Tango Messaging App Targeted by Syrian Electronic Army.” PCMag.66 Ashford, W. (24 July 2013) “Syrian hacktvists hit second mobile app in a week.” Computer Weekly.67 Tsukayama, H. (28 Aug 2013) “Attacks like the one against the New York Times should put consumers on alert,” The Washington Post. 68 Geers K. (2008) “Cyberspace and the Changing Nature of Warfare,” Hakin9 E-Book, 19(3) No. 6; SC Magazine (27 AUG 08) 1-12.69 Carroll, W. (26 Nov 2007) “Israel’s Cyber Shot at Syria,” Defense Tech.


18 www.fireeye.com


イスラエルは、ITを中心とする先進工業国です。しかし、サイバー攻撃に脆弱で、同国経済をターゲットとする攻撃を頻繁に受けています。2009年、ガザ地区での軍事作戦中に、政府が運営する多くのサイトが50万台以上のコンピュータからDDoS攻撃を受け、一時的に機能停止に陥りました。徐々に勢力を増す4段階の攻撃で、ピーク時には1秒あたり1,500万通のジャンク・メールが押し寄せたということです。国民に国防関連の情報を提供するイスラエル民間防衛軍のWebサイトは、3時間にわたりアクセス不能になりました。ロシアと交戦中のグルジアが受けたサイバー攻撃との技術的な類似点が疑われ、イスラエルの政府高官はハマスかヒズボラの依頼を受けた旧ソビエト圏の犯罪組織が実行した可能性を示唆していました70。

被害者側にとっては厄介なことですが、サイバー攻撃は、それほど巧妙に作り込まなくても成功する場合があります。セキュリティ意識の高いイスラエルでも、2012年には54のシステムが精度の低いマルウェア71「Mahdi」に侵入を許しました72

。2013年には、イスラエル北部の都市ハイファの上下水道がシリア軍のサイバー攻撃を受けたと、イランのメディアが報じています。ベンヤミン・ネタニヤフ首相のサイバー・セキュリティ顧問を務めるアイザック・ベン・イスラエリ教授はこの報道を否定していますが、基盤インフラへのサイバー攻撃は「今すぐに起きるかもしれない現実的な脅威」と警告を発しています73。

西側諸国

米国「Stuxnet」74 、「Duqu」、「Flame」や「Gauss」75 など、史上最も高度なサイバー攻撃はアメリカの仕業と考えられています。巧妙さや目標達成の精度でこれらに匹敵するマルウェアは確認されていません。特に「Stuxnet」は、イランのウラン濃縮を断念させ、国際社会でのアメリカの優位性を確保するというその一点に目的を絞って開発されたマルウェアです。可能な限り多くのコンピュータに感染する

「Slammer」や「Code Red」などのコンピュータ・ワームと違い「、Stuxnet」のターゲットは最小限に絞られていました。もっと驚くことに、その不正な動作は一見普通のデータ処理に隠れて見えなくなってしまいますが、いつのまにかイランの遠心分離器は確実に破壊されていたのです。

このマルウェア群は設計も素晴らしく、ペイロードは暗号化された状態でターゲットを目指し、ターゲットに到達して初めて復号化、インストールされます。こうして脅威対策の検知機能をすり抜けるマルウェアは、発見やリバース・エンジニアリングが極めて困難になります。ただし、このマルウェア群は、逆の意味で性能が良すぎる見本とも言えます。たとえば、複数のゼロデイ脆弱性を突くだけでなく、「暗号学的ハッシュ値衝突攻撃」など最先端技術も利用する仕組みになっています76。禁輸措置を受け最新技術を入手できないイランで適切に設定された最新のソフトウェアが稼働しているとは考えにくく、そこまで高性能を追求しなくても目標は達成できた可能性があります。

70 Pfeffer, A. (15 Jun 2009) “Israel suffered massive cyber attack during Gaza offensive,” Haaretz.71 Simonite, T. (31 Aug 2012) “Bungling Cyber Spy Stalks Iran,” MIT Technology Review.72 Zetter, K. (17 Jul 2012) “Mahdi, the Messiah, Found Infecting Systems in Iran, Israel,” WIRED.73 Yagna, Y. (26 May 2013) “Ex-General denies statements regarding Syrian cyber attack,” Haaretz.74 Sanger, D. Confront and Conceal. (New York: 2012) pp. 188-225.75 Boldizsár Bencsáth. “Duqu, Flame, Gauss: Followers of Stuxnet,” BME CrySyS Lab, RSA 2012.76 Goodin, Dan (7 Jun 2012) “Crypto breakthrough shows Flame was designed by world-class scientists,” Ars Technica.


19 www.fireeye.com


アメリカのサイバー攻撃には、「大規模な投資」、「高度な技術」、「法律的な監修」という特徴があります。3人の大統領にテロ対策責任者として仕えたリチャード・クラーク氏は、第3のポイントから考えて、「Stuxnet」はアメリカ製のマルウェアだと考えています。「ワシントンの弁護士チームが開発したか、開発を管理していた形跡がある」そうです77。また、開発に要する労力から見て、担当パ

ートの異なる複数の請負業者が参加した巨大プロジェクトだったことも推測できます。

しかし、イスラエルのセクションで説明したように先進工業国は、サイバー攻撃に脆弱という側面もあります。たとえば、2008年の基盤インフラ関連の業界会合でCIA職員が次のように話したそうです。「犯人は特定できていませんが、海外の多くの都市がサイバー攻撃を受け、電力供給が麻痺する事件が発生しています」78。軍事面では、イラクの反政府武装勢力が26ドルの市販のソフトウェアを使い、アメリカの無人偵察機プレデターが発信するライブ映像の傍受に成功。米軍の行動を監視し、攻撃を回避できたといいます79。経済面では、アメリカに本部のある国際通貨基金

（IMF）が2011年にフィッシング攻撃に遭い、深刻な被害を受けました80。

サイバー攻撃は比較的新しい現象ですが、国家の安全保障を揺るがす脅威として進化を続けています。こうした脅威を軽減する取り組みの一環として、2013年、オバマ大統領は外国のサイバー攻撃にさらされた同盟国を支援する法案にサインしました81。

77 Rosenbaum, R. (Apr 2012) “Richard Clarke on Who Was Behind the Stuxnet Attack,” Smithsonian.78 Nakashima, E. & Mufson, S. (19 Jan 2008) “Hackers Have Attacked Foreign Utilities, CIA Analyst Says,” Washington Post. 79 Gorman, S., Dreazen, Y. & Cole, A. (17 Dec 2009) “Insurgents Hack U.S. Drones,” Wall Street Journal.80 Sanger, D. & Markoff, J. (11 Jun 2011) “I.M.F. Reports Cyberattack Led to ‘Very Major Breach’,” New York Times.81 Shanker, T. & Sanger, D. (8 Jun 2013) “U.S. Helps Allies Trying to Battle Iranian Hackers,” New York Times.

偵察恐らくHUMINT情報細工リムーバブル・メディアによる自動感染配布 USBタイプのリムーバブル・メディア

侵入ソーシャル・エンジニアリングに基づいてUSB メディアを使用

インストール特定のターゲットに絞った巧妙なワーム（暗号化済み、自動移動で操作不要)

指揮および統制（C2） C2ノードを戦略的に1度だけ使用、SSLのフル強度の暗号化

アクション情報収集、微妙なシステムの混乱（中東対象）

TTPの例 Stuxnet、Flame、Duqu、Gauss

表4：西側諸国のサイバー攻撃の特徴


20 www.fireeye.com


ヨーロッパ欧州連合（EU）や北大西洋条約機構（NATO）が、サイバー攻撃を仕掛けている顕著な例は確認されていません。指導者たちも、そうした攻撃への関与を明確に否定しています82。ただしヨーロッパのネットワークが中国やロシアなど、他地域からのハッカー攻撃は多くの例で確認されています。

政府レベルでは、2010年にイギリスの外務省がサイバー攻撃を受け、ホワイトハウスを装う攻撃者に不正侵入を許しました83。2011年にはドイツの警察がフィッシング攻撃に遭い、重大事件やテロ事件の捜査に利用するサーバーが不正アクセスされています84。同2011年、アゼルバイジャンで開かれたインターネット・ガバナンス・フォーラム（IGF）では、欧州委員会の職員がサイバー攻撃のターゲットになりました85。

軍事面では、2009年にフランスの海軍機が「Conficker」ワームに感染して離陸不能になりました86。2012年には、イギリス国防省の機密ネットワークが不正にアクセスされたことを同国政府が認めています87。

ビジネスの世界では、2011年にEUの炭素排出権取引市場がサイバー攻撃を受けました。700万ドル以上に相当する排出権が盗難に遭い、一時的な市場閉鎖に追い込まれています88。2012年には、欧州航空宇宙防衛会社（EADS）とドイツの鉄鋼メーカー「ティッセンクルップ」が中国からの大規模なサイバー攻撃を受けました89。

セキュリティの専門家は、特に国際会議の開催前や開催中のAPT攻撃に警戒する必要があります。2011年だけでも、欧州委員会はEUサミットの前に大規模なハッキングを受け90、フランス政府のネットワークはG20の開催前に不正侵入の被害に遭っています91。ノルウェーでは軍需企業やエネルギー企業の少なくとも10社が大型契約の交渉前にフィッシング攻撃を受けましたが、驚くことに、各攻撃がそれぞれ企業別にカスタマイズされていたのです92。

82 Leyden, J. (6 June 2012) “Relax hackers! NATO has no cyber-attack plans—top brass,” The Register.83 Arthur, C. (5 Feb 2011) “William Hague reveals hacker attack on Foreign Office in call for cyber rules,” The Observer.84 “Hackers infiltrate German police and customs service computers,” (18 July 2011) Infosecurity Magazine.85 Satter, R. (10 Nov 2012) “European Commission Officials Hacked At Internet Governance Forum,” Huffington Post.86 Willsher, K. (7 Feb 2009) “French fighter planes grounded by computer virus,” The Telegraph.87 Hopkins, N. (3 May 2012) “Hackers have breached top secret MoD systems, cyber-security chief admits,” The Guardian.88 Krukowska, E. & Carr, M. (20 Jan 2011), “EU Carbon Trading Declines After Alleged Hacking Suspends Spot Market,” Bloomberg. 89 Rochford, O. (24 Feb 2013) “European Space, Industrial Firms Breached in Cyber Attacks: Report,” Security Week.90 “’Serious’ cyber attack on EU bodies before summit,” (23 Mar 2011) BBC.91 Charette, R. (8 Mar 2011) “’Spectacular’ Cyber Attack Gains Access to France’s G20 Files,” IEEE Spectrum.92 Albanesius, C. (18 Nov 2011) “Norway Cyber Attack Targets Country’s Oil, Gas Systems,” PCMag.


21 www.fireeye.com


まとめ小説『ワールド・ウォーZ』は、世界が危機的な状況に置かれたときに、各国がその文化的、政治的背景からどのように行動するかを描いています。このレポートも同じ方針に則っていますが、世界各国を危機に陥れるのは、小説のゾンビ・ウイルスではなくサイバー攻撃です。各事件の背景にはそれぞれの目的があり、誰かが影で糸を引いていますが、分析を重ねれば特定することも可能です。サイバー活動が大規模になるほど、調査資料となるデータが増え、攻撃側の身元や目的の隠蔽も困難になります。

今後の予測：将来的に、どのようなサイバー攻撃が姿を現すかは誰にもわかりません。しかし、最近の傾向を分析することで、ある程度の推測は可能です。

以下の5つの要素は、世界のサイバー・セキュリティの動向に短中期的な変化をもたらす可能性があります。

1. 基盤インフラの機能停止：サイバー攻撃は政府のネットワークを一時的に麻痺させることができますが、最近は国家の安全保障が揺らぐほどの脅威にはなっていません。マルウェアの

「Stuxnet」や、サウジアラビアの国営石油会社アラムコへのイランの報復とみられる攻撃から、机上のサイバー戦争が現実的なターゲットへとシフトしていることがわかります。果たして、サイバー攻撃の可能性は、既に限界を迎えているのでしょうか。それとも、送電網や金融市場を機能停止に追い込む方法で、サイバー犯罪者は国家の安全保障を脅かすことができるのでしょうか。

2. サイバー軍条約：世界各国の指導者がサイバー攻撃を自国のメリットではなく脅威と感じ始めたら、サイバースペースの軍縮協定に

加盟するか、不可侵条約に署名する可能性も出てきます。ただし、軍縮を進めるには、禁止事項が守られているかチェックできなければなりません。核軍縮を提唱したアメリカのレーガン大統領が好んで引用したロシアのことわざに、「信頼しろ。ただし検証も忘れるな」という警句があります。ただし、小さなUSBメモリに大量のデータを保存できる現代では、検証も言うほど簡単ではありません。

3. PRISM、言論の自由、プライバシー：インターネットはまだ草創期であり、この議論も始まったばかりです。そして議論の対象も、古くはベトナム戦争当時のダニエル・エルスバーグ博士から、米軍兵士チェルシー・マニング、 CIAのエドワード・スノーデンの各氏と連なる内部告発者を始め、独立宣言、エニグマ、TOR（The Onion Router）による隠蔽策まで多岐にわたります。現在、「オンライン・プライバシーの範囲」については、政治家や諜報員からヒッピーまで誰もがその行方を気にする重要なテーマとなっています。

4. サイバースペースの新しい顔：コンピュータの革新性とネットワークの増幅力は、超大国だけの特権ではありません。イランやシリア、北朝鮮のほか、「Anonymous」のようなハッカー集団も外交手段や新たな戦争の手段としてサイバー攻撃を利用しています。他の諸国もこの新しいツールを利用していると考えるのが自然です。以下に、サイバー攻撃を行っていると考えられる国名を挙げておきます。 a.ポーランド：1932年、ドイツの暗号「エニグマ」を最初に解読したのはポーランド人でした。プログラミング分野での優れた人材や、ロシアとの緊張関係を考えれば、現在



FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | [email protected] | www.fireeye.co.jp

© 2014 FireEye, Inc. All rights reserved. FireEyeはFireEye, Inc.の商標です。本資料のその他のブランド名、製品またはサービス名はそれぞれの所有者の商標またはサービスマークとして登録されている場合があります。 – RPT.WWC.JA.082014

もサイバー攻撃を行っていることが十分に考えられます。 b.ブラジル：サイバー犯罪の発生率が高い国の1つです。アメリカのサイバー・スパイ活動が暴露されたいま、対抗手段として豊富な人材を地政学的な目的に利用することも考えられます。 c.台湾：中国本土から頻繁にサイバー攻撃を受けているため、台湾も反撃している可能性があります。

5. 検出回避の強化：前述しましたが、一部の国では既にステルス性を高めたサイバー攻撃が利用されています。しかし、サイバー攻撃対策の分野が成熟し、「ワールド・ウォーC」現象への社会の意識も高まれば、中国などのあからさまなサイバー攻撃者も、高性能レーダーで探知できないほど低空飛行するようになるかもしれません。

このレポートの分析内容と結論は、すべて憶測に過ぎません。サイバー・セキュリティやサイバー・スパイ、サイバー戦争は新しい現象ですが、急速に進化しています。ほとんどのコンピュータ・ネットワークの攻略は秘密のベールに包まれており、むしろ正確な実態はわからないのが当たり前と言えます。

「「地政学的状況を度外視した場合、サイバー活動のターゲット国がその攻撃に合法的に対処する手立てはほとんど

ありません」と、セキュリティ研究機関「マーシャル・センター」のトーマス・ウィングフィールド教授は言います。「偽旗作戦の横行やインターネットという存在の本質を考えると、戦術面からの攻撃者特定は不可能です」。

しかし、あらゆるソースの機密情報を考え合わせて戦略面から迫れば、かなりの自信を持って攻撃者を特定でき、適切な対応策も見えてくると考えられます。

「ただし、戦略面から状況を判断するには、地政学的側面からの徹底分析が必要になります」とウィングフィールド氏。この点を念頭に置き、サイバー戦争の原動力に目を向ければ、迫り来るサイバー攻撃を検知し、攻撃者を特定して、効果的に対処できるようになるでしょう。

FireEyeについてFireEyeは、次世代のサイバー攻撃をリアルタイムで防御するために専用設計された、仮想マシンベースのセキュリティ・プラットフォームを提供するリーディング・カンパニーです。FireEyeのソリューションは、世界中の民間企業や官公庁に導入されています。高度なサイバー攻撃は、次世代ファイアウォールやIPS、アンチウイルス、各種ゲートウェイなど、多くのネットワークに導入されているシグネチャベースのセキュリティ対策を容易にすり抜けてしまいます。 FireEyeプラットフォームは、シグネチャを利用することなくリアルタイムかつダイナミックに脅威を防御でき、正確性やネットワーク・パフォーマンスにも優れています。FireEyeプラットフォームの核となる仮想実行エンジンは、Web、電子メール、ファイル・システムという3つの主要な攻撃経路にわたって情報資産を保護します。FireEyeのソリューションは、 2012年12月31日時点で世界40か国以上の900を超える組織に導入されており、Fortune 500企業の100社以上で利用されています。

次世代の脅威対策については、 www.FireEye.co.jp をご覧ください。

mailto:japan%40fireeye.com?subject=

http://www.fireeye.co.jp

http://www.FireEye.co.jp

Documents

ERT REIMAGINED - FireEye · 2015-02-25 · ert reimagined report サイバー世界大戦 : 国家レベルの高度なサイバー攻撃 の背景を理解する

ERT REIMAGINED - FireEye · 2015-02-25 · ert reimagined report サイバー世界大戦 : 国家レベルの高度なサイバー攻撃の背景を理解する