概要の話は前回でひとまず終わりとして、今回はサイバー攻撃の具体的な主砲、ではなくて手法と事例について、かいつまんでまとめてみようと思う。最初は誤変換したのだが、サイバー攻撃の手段なのだから、「主砲」でもあながち間違いないような気がしてきたのは秘密である。おっと、閑話休題。
なお、情報流出に際してしばしば問題になる「内輪の脅威」(insider threat)は、情報の流出に際してコンピュータやネットワークが絡んでいても、本質的には人的問題であると考えられるので、ここでは言及しないこととする。
不正侵入
サイバー攻撃の古典である。インターネットに接続された各種のサーバ、あるいは企業や政府機関などのネットワークに属するサーバで、何らかの形でインターネットとの接点を持つサーバといった、各種のサーバを標的とする。昔なら、インターネットではなく電話回線を使ったところだろう。
そして、主として管理者の資格情報を使って不正に接続、いろいろと「わるさ」をするものである。「わるさ」としては、情報の窃取や改竄が典型例となるだろうか。
古典ではあるが、現代でも頻発している。たとえば、ロシアとグルジアの間で戦乱が勃発した際には、グルジアの政府機関が運用しているWebサーバが不正侵入の被害に遭い、大統領の顔写真に「ヒトラー風」のチョビ髭を書き足される事件があったらしい。
DoS / DDoS
DoS(Denial of Service)攻撃、あるいはそれを複数のコンピュータから仕掛けるDDoS(Distributed Denial of Service)攻撃の典型例としては、2007年のエストニアがある。
不運なことに、エストニアが「IT立国」を掲げてインターネットの積極活用を推し進めていたことから、その基盤となる各種のサーバがDDoS攻撃で機能不全を起こしたときのダメージも大きなものになった。その結果、エストニアは他国とのインターネットの接続を一時遮断する羽目になっている。
一方で、この件の影響によるのかどうなのか、後になってNATOのサイバー攻撃対策研究部門・CCD CoE(Cooperative Cyber Defence Centre of Excellence)が、エストニアの首都・タリンに置かれた。エストニアはある意味、NATOのサイバー攻撃対策における中核である。
簡単な攻撃用ツールさえあれば仕掛けられるし、他人のコンピュータを失敬してボットネットを組織すればDDoS攻撃を仕掛けるのは容易になる。ということで、シンプルで(他と比べれば)対処しやすい攻撃ではあるものの、これがなくなることはなさそうだ。
マルウェアばらまき
これも古典である。ウィルス、ワーム、トロイの木馬といったものを作成してばらまくものだが、国家、あるいは非国家主体(アルカイダとかヒズボラとかハマスとかISILとか)が組織的に仕掛ける攻撃手段としては、必ずしも主役になっていない。
どちらかというと、個人のブラックハット・ハッカーが自己顕示欲を満たす手段という色彩が濃い、といえるかもしれない。
RAT
Remote Access Trojanの略で、比較的最近になって問題視されるようになった新顔である。
用いられるのはトロイの木馬で、この攻撃手法そのものは昔からあるが、ターゲットとなったコンピュータを遠隔操作の対象として、情報を盗み取った上でコマンド・サーバに送らせるところに特徴がある。もちろん、コマンド・サーバは攻撃者の手元にあるはずもないのだが、攻撃者がそこに、RATから送られてきた情報を後から取りに行けばよいのだから、特に問題はない。
RATが一躍脚光を浴びるようになったきっかけは、マカフィー社が2011年8月に "Revealed: Operation Shady RAT" という報告書をリリースしたことではないかと思われる。この報告書では、政府機関、建設、石油・ガス、防衛、エレクトロニクスなど、多様な業界がRATを駆使したサイバー攻撃による情報窃取の標的になっている実態を明らかにした。
その後、2013年2月にアメリカのセキュリティ・ファーム、マンディアント社がリリースした報告書 "APT1 - Exposing One of China’s Cyber Espionage Units" の中で、APT(Advanced Persistent Threat)と題した脅威について指摘している。
APTとは特定の攻撃主体を指す言葉で、主として中国による組織的なサイバー攻撃を指している。件のマンディアント報告書では、中国人民解放軍(PLA : People's Liberation Army)・総参謀部・第三部・第二局の指揮下にあるサイバー戦部隊、第61398部隊を名指しする形で、中国が組織的にサイバー攻撃による情報窃取を仕掛けている、と指摘した。
用いられた手法はいわゆる標的型攻撃だが、その際にはまず、標的となった組織のコンピュータに情報窃取用のトロイの木馬を送り込まなければならない。ということは、こちらでもRATとの関連があるといって差し支えないと思われる。
直近の事案としては、セキュリティ・ファームのクラウドストライク社が2014年6月にリリースした報告書 "CrowdStrike Intelligence Report" において、"Putter Panda" と名付けた中国の攻撃者についてまとめた件がある。こちらもRATによるサイバー攻撃が本題だ。
その中で、新たなサイバー攻撃組織の存在を指摘、それは第61486部隊だとした。この部隊は、通信傍受を初めとするSIGINT(Signal Intelligence)を担当している、総参謀部・第12局の指揮下にあるとしている。
ちなみに、クラウドストライク社の共同創業者兼CTO・ドミトリ・アルペロヴィッチ氏は、マカフィー社で "Shady RAT" の事案を担当したことがある人物だそうである。
執筆者紹介
井上孝司
IT分野から鉄道・航空といった各種交通機関や軍事分野に進出して著述活動を展開中のテクニカルライター。マイクロソフト株式会社を経て1999年春に独立。「戦うコンピュータ2011」(潮書房光人社)のように情報通信技術を切口にする展開に加えて、さまざまな分野の記事を手掛ける。マイナビニュースに加えて「軍事研究」「丸」「Jwings」「エアワールド」「新幹線EX」などに寄稿しているほか、最新刊「現代ミリタリー・ロジスティクス入門」(潮書房光人社)がある。