G7サミット期間中のDDoS攻撃
2024年6月12日から15日にイタリアのプーリアで行われたG7サミットでは、招待国11カ国の他に、ゲストとしてウクライナのゼレンスキー大統領が招待された。今回のサミットでは、気候変動や中東情勢等と並んでウクライナ情勢が議題となり、首脳コミュニケでは、「必要とされる限り、自由と復興のためのウクライナの闘いを支援するために連帯する」として、ロシアの凍結資産の運用益を利用して、年末までに500億ドルをウクライナの支援のために利用することが決定された[1]。イタリアでのG7サミットに続いて、スイスのビュルゲンシュトックで「ウクライナ平和会議」が6月15日から16日に開催され、共同コミュニケでは、「全ての国家の領土一体性及び主権の尊重の原則を含む国連憲章は、ウクライナにおける包括的で、公正かつ永続的な平和を達成するための基盤となる」[2]との文言が採択された。
G7サミットでのロシア凍結資産の利用について、ロシアのプーチン大統領は「盗みにほかならない」と強く反発し、報復措置を取ると警告したが[3]、サイバー空間でも、一連の西側諸国による外交的な動きに反発したロシア系によると見られるサイバー攻撃が発生した。平和サミットが開かれたスイスでは、連邦政府機関のウェブサイトに対して、6月13日から第1波となるDDoS攻撃[4]が行われた。翌14日には、ロシア系のハッカーグループであるNoName057が、スイス連邦政府機関のウェブサイトに対する第2波となるDDoS攻撃を行った。第1波、第2波は規模の小さなDDoS攻撃であったが、15日に発生したDDoS攻撃では、ウクライナ平和会議に関連する連邦政府機関のウェブサイトへのアクセス障害が発生した。DDoS攻撃は、16日も続き、連邦政府機関及びウクライナ平和会議関連の団体のウェブサイトのアクセス障害が継続した。
サミット期間中は日本に対する攻撃も
G7でロシアの凍結資産の利用に賛成を表明した日本に対しても、DDoS攻撃が発生している。6月14日には、総務省、国土交通省、住宅金融公庫などに対してランダムサブドメイン型のDDoS攻撃が観測されたと専門家が指摘している[5]。さらに深刻なことに、政府認証基盤で6月14日16:17〜15日05:08までの12時間以上にわたりアクセス障害が発生した[6]。このアクセス障害では、統合リポジトリ、証明書検証サーバ、電子署名付与・検証サービス及びホームページへアクセスできない事象が発生した。保守以外で政府認証基盤が停止することは極めてまれであり、政府認証基盤のサービスが停止すると、政府のデジタル認証が必要な手続きが停止してしまうため、大きな影響が生じる深刻な事態である。
今回のシステム障害の原因について、デジタル庁は一切公表をしていないが、DDoS攻撃によるものと筆者は判断している。ランダムサブドメイン型のDDoS攻撃を観測している専門家は、政府認証基盤(gpki.go.jp)に対するDDoS攻撃が14日16:17から開始され、断続的に15日05:10まで観測した[7]としており、このタイムラインと発表されたアクセス障害のタイムラインは完全に一致するため、ランダムサブドメイン型のDDoS攻撃と断定することが可能である。
ランダムサブドメイン型のDDoS攻撃は、ウェブサーバーそのものを攻撃するのではなく、DNSサーバーに対して攻撃を行い、通信を麻痺させるタイプのDDoS攻撃である。標的となる企業の実在のサイト(例えば、xx.co.jp)のDNSサーバーに対して、存在しないサブドメイン(例えば、subxx.xx.co.jp)をランダムに生成して大量に問い合わせを行い、権威DNSサーバーを過負荷にして機能停止を行う。DNSサーバーは、IPアドレスとホスト名(例えば政府認証基盤の例ではgpki.go.jp)の変換を行っているが、このDNSサーバーが機能しなくなると、ホスト名の傘下にあるサーバーへの通信がつながらなくなり、事象としてはアクセス障害が発生する。このランダムサブドメイン型のDDoS攻撃は、アクセス障害が発生するまで、技術的に事前に検知することは困難であり、一旦攻撃が行われるとサービス停止が発生する、大変厄介なタイプのDDoS攻撃である。
このランダムサブドメイン型のDDoS攻撃は、2023年5月に広島で開催されたG7サミットの前にも日本で観測されていた攻撃であり、2023年3月中旬からサミットの直前にかけて、地方自治体、鉄道・電力等の重要インフラ企業に対して発生していた。攻撃のタイムラインから、国家と密接な関係にあるロシア系ハッカーグループによる攻撃と筆者は推定している。今回の政府認証基盤に対するDDoS攻撃も、サミットの期間中ということもあり、ロシアの凍結資産を利用したウクライナ支援を決定した日本に対する報復的なサイバー攻撃と考えられる。
外交・安全保障と連動するサイバー攻撃・偽情報流布に警戒を
イタリアでのG7サミット期間中のDDoS攻撃以外にも、ウクライナ関連で日本に対するサイバー攻撃や偽情報の流布が増加している。今年2月19日に東京で開催された日・ウクライナ経済復興推進会議期間中も、日本に対するDDoS攻撃が発生している。会議が開催された同日、衆議院、日本証券業協会、日本自動車工業会や日本を代表する複数の企業のウェブサイトがDDoS攻撃を受けた。この一連の攻撃は、先に述べたスイス連邦政府機関に対する攻撃を行ったロシア系のNoName057が、2月13日に犯行声明を発出している。
さらに、このウクライナ経済復興推進会議を巡っては、2種類の偽情報が会議の1週間前から集中的にX(旧Twitter)上で拡散されている。その一つは、「ヌーランド米国務次官が岸田首相にウクライナ復興にもっと資金を出すように圧力をかけている」とする偽の写真(下図)である。この合成された偽の写真は、2月13日から14日かけてX上で急速に拡散した[8]。最終的に70万件の閲覧を確認している。また、もう一つの偽情報は、「岸田首相がバイデン大統領に命令されて、ウクライナ支援に50兆円を支出することを決め、増税が行われる」という偽情報である。この偽情報は1月末頃からX上に現れたが、復興推進会議の1週間前の2月11日から12日にかけて急速にX上で拡散された[9]。この2つのケースの拡散の背後に、ロシアの関与ないし親ロシア派の関与があったか否かは現時点では特定できていないが、タイムラインから日・ウクライナ経済復興推進会議が標的であったことが、強く疑われる偽情報拡散であった。
以上見てきたように、2022年のウクライナ戦争以降、外交・安全保障と連動するサイバー攻撃・偽情報流布は増加傾向にある。ウクライナ戦争は地理的には日本から離れた場所で行われているが、デジタル空間は地理的な距離や国境はなく、日本も無縁ではない。ウクライナ戦争関連以外でも、外交・安全保障と連動するサイバー攻撃・偽情報流布が発生するようになっており、日本のデジタル空間でも警戒が必要である。
(2024/08/28)
脚注
- 1 外務省「G7プーリア首脳コミュニケ(仮訳)」2024年6月14日
- 2 外務省「ウクライナの平和に関するサミット:平和のフレームワークに関する共同コミュニケ」2024年6月16日。
- 3 「ロシア G7の凍結ロシア資産での支援に反発 報復措置を警告」NHKオンライン、2024年6月14日。
- 4 DDoS攻撃については、拙稿「サイバー攻撃で狙われる金融サービス―地政学的環境の変化とDDoS攻撃の増加」国際情報ネットワーク分析IINA、2024年6月3日を参照されたい。
- 5 DDoS攻撃の一種であるランダムサブドメイン攻撃の専門家である中京大学の鈴木教授のX上での投稿(2024年6月14日)。
- 6 政府認証基盤システム停止等情報2024年6月14日。
- 7 中京大学の鈴木教授のX上での投稿参照(2024年6月15日)。
- 8 データベースサービスを用いた筆者調べ。
- 9 データベースサービスを用いた筆者調べ。