今年の4月末にエストニアが大規模サイバー攻撃を受け、同国のインターネット・インフラストラクチャの一部が麻痺した。サイバー攻撃自体はめずらしくないが、エストニアへの攻撃は従来のクラッカー個人やグループによるものに比べて桁違いに大がかりで組織的だった。同国との関係が悪化しているロシア政府の関与を指摘する声もあり、そのため初のサイバー戦争とも見られている。Black Hat Brifingsでは、攻撃を受けている最中のエストニアを訪れたBeyond SecurityのセキュリティエバンゲリストGadi Evron氏が、国の安全保障を揺るがす新たなサイバーテロについて語った。
ロシア系住民との衝突、そしてサイバー攻撃
エストニアは人口は130万人。1991年の独立時に国家のインフラを土台から構築し直し、「IT立国」を国策として、大胆にインターネット技術を導入してきた。国民はPKIチップを備えたIDカードを所持し、オンラインバンキングの普及率は100%に近い。議会選挙には自宅からオンラインで参加できる。世界でも有数のIT導入国である。
エストニアは、独立時に取り残されたロシア系住民の問題を引きずっている。4月末には民族不和の原因を排除しようとした同国政府が、第二次大戦でのソ連軍の勝利を記念した銅像を首都タリンの中心部から郊外に移した。これがソ連の戦勝記念日の5月9日の直前に行われたため、ロシア系住民が強く反発し、警官隊と衝突するなど暴動騒ぎに発展した。同時に4月27日金曜日から、エストニア政府のWebサイトが攻撃を受け始めたのだ。
5月9日に向けて様々な攻撃の可能性を想定していたエストニア政府は、すぐによりセキュリティに優れたサーバにホスト先を変更した。しかし攻撃は激しさを増すばかりで、新しいサーバもストレスに耐えかねる状態になった。攻撃者を特定しようにも、攻撃元は巧みに隠され、しかもICMP ECHOフラッド、DNS攻撃、SYNフラッド、トラフィック・フラッドなど次々に新手の攻撃が加わった。トラフィックは通常の100~1,000倍の規模だったそうだ。
翌28日土曜日になると攻撃の被害がさらに広がった。調査の結果、ロシア語のブロガー・コミュニティの中で、エストニアを口汚くののしり、攻撃手法を具体的に示しながら実行を促すWebサイトが多数見られることが明らかになった。この時点で「通常の攻撃とは異なるサイバー暴動」と認識された。
対策チームは月曜までに主要なIT機能を回復し、安定したネット利用を維持するのを目的に対策を講じていた。ところが対策本部の手の内がすぐに攻撃者側のコミュニティに知れわたり、すぐに新たな攻撃が仕掛けられる。ある攻撃者コミュニティでは、PayPalアカウントを用意し、ボットネットを通じて攻撃するための寄付を募るコメントが書き込まれ、それに賛同した人物が2つのボットネットを提供したという。攻撃もどんどん洗練され、C&Cでコントロールされずに自己を繁殖させながら攻撃を繰り返す、希有なボットの存在も確認されたそうだ。攻撃対象も政府のWebサイトだけではなく、ISP、金融機関、メディアなど、次々に新たなターゲットが加えられた。
この時点で対策チームは、攻撃者を割り出すことで防御策を講じるのをあきらめ、予想される影響への対応に力を注いだ。初期のトラフィックのフィルタリングは、約4MppsのICMP ECHOを約1.2Mppsに抑えられる程度だったが、その後Cisco Guardを導入したことで約150kppsに削減できたそうだ、さらにチューンナップが進むと約3kppsになったという。攻撃のほとんどが国外からだったため、外部からのトラフィックを遮断する事態にもなった。一時的にエストニアはネットの世界から孤立したが、それでも国民のライフラインであるIT機能の維持という目的は、かろうじて達成できた。
国家を揺るがすインターネット暴動
エストニアでITインフラがダウンすれば、国民がバンキング機能を利用できなくなる。ダウンタイムは「ミルクやパンですら買えなくなってしまうような状態」だったそうだ。またネットは主要な情報源でもあり、オンライン・メディアが機能しなくなると、テレビやラジオがないのと同じような状態になる。IT立国を掲げたゆえの弱点を露呈した。
ところがエストニアは小規模で、そして長い闘争を経て独立を勝ち取ったため、国民の団結力が強い。今でこそネット社会だが、「国民全員が知り合いのような国で、いざトラブルとなれば隣近所が声を掛け合って対処できる」そうだ。そのためネット機能がダウンするという暗黒状態でも、国民がパニックに陥ることはなかった。また小さな国であるため、インターネットのインフラも集中しており、国外からの攻撃をブロックするのも容易だった。
エストニアだから他のどの国も体験したことがない大規模サイバー攻撃に耐えられた。「他の国なら、エストニアほどITに依存していないとしても、もっとひどい状況になるかもしれない」とEvron氏。運輸や物流が狙われた場合、政府主導の対策が講じられるが、サイバーテロのターゲットとなるISPや金融機関などは民間セクターと見なされる。他の国がエストニアのように、政府、セキュリティ専門家、民間ビジネスが連携し、情報を共有しあいながら対抗できるだろうか。事前対策を考えてみても、政府が民間セクターに対して、一定レベルの情報セキュリティの確保を法的に求めているケースは少ない。ハードルを高くすれば、重いコスト負担を企業側が嫌うという問題が出てくる。
ロシアはエストニアへのサイバー攻撃への関与を再三にわたって否定している。"戦争"の様相を呈しながらも、実際には攻撃者の顔が見えていない。Evron氏は「サイバーテロであるが、インターネット暴動またはサイバー暴動と呼ぶのが適当だ」と指摘した。「エストニアを苦しめたのは攻撃者の群衆コントロールである。インターネットを通じてオンライン・モブを扇動した。攻撃者の戦略として、今後さらに注目されるだろう」と述べた。これは大国や力のある組織だけが可能なのではない。また、どこの国であっても、一瞬でターゲットになり得る。国民の生活にネットが浸透している国家は今後、インターネットにおける暴動対策──例えばコミュニケーション確保、対策指示の命令系統の確立、破れ窓理論に従った対応、ボーダー管理、情報操作などが求められるとした。