(1) 米国連邦政府を襲った大規模なサイバー攻撃 ― サンバースト

 米国連邦政府のコンピュータシステムへの大規模な侵入が判明したのは、昨年(2020年)12月半ばのことである。具体的には財務省、エネルギー省、国土安全保障省、国務省を始めとする複数の政府機関が被害に遭っていたことがわかっている。尚、省庁だけではなく、民間企業も標的となっているが、その80%が米国内のものであったことから、米国が狙い撃ちにされていたことが明らかである [1]。サイバー攻撃によるシステム内への侵入は同年の春頃から行われており、攻撃者たちはそれ以降、気づかれることなく、半年間以上の長きに亘ってその身を潜めていたことになる。

 これらの攻撃で使用されたマルウェア(悪意のソフトウェア)は、コンピューターセキュリティ会社ファイア・アイ(FireEye)社によってサンバースト(SUNBURST:以降、サンバースト)と名付けられている [2]。サンバーストは攻撃者に被害システム上での様々な操作を可能とさせるプログラムである。このような機能を持つマルウェアはバックドア(裏口)と表現される。ファイア・アイ社の分析によれば、このバックドアを仕込むことにより被害PC上で、データの送受信や、ファイルの実行、システムのプロフィールの取得、再起動、システムを使用不可にすることなどが可能であったとされている [3]。つまり、スパイ行為はもちろんのこと、そのPCの正規の使用者に成り済まして活動したり、システムを使用不能にしたりするなどの行為ができるサイバー攻撃だったのである。

 米国務省のポンペオ長官は、ラジオ番組で、まだ調査中だとしながらも「この活動に携わったのはロシアだと、かなりはっきり言える」と発言している [4]。米主要メディア・ワシントンポスト紙では、匿名の詳しい人物からの情報としてコージーベア(Cozy Bear、別名はAPT29等)と呼ばれるハッカー集団による事件への関与を示唆しながら、同集団を「ロシア対外情報庁(SVR:Sluzhba Vneshney Razvedki)の一部である」と明言している [5]。尚、このような組織や個人を呼ぶ脅威アクター(threat actor)という言葉がある。これはサイバー空間上で悪意のある行為を行ったり、そのようなことを行う能力を持っていたりする個人または組織のことを指すものであるが、使い勝手の良い言葉なので、以降使用していきたい。

 コージーベアというと、米国務省のメールサーバーに2014年に侵入していたことがわかっている脅威アクターである。同組織は、恐らくはこの国務省への侵入を足掛かりとして、同年、ホワイトハウスのメールサーバーシステムにも侵入している。2016年には、米大統領選に対するロシアによる干渉が問題視され、ロシア疑惑(もしくはロシアゲート)と呼ばれたが、コージーベアはこのときにも、米民主党全国委員会(DNC:Democratic National Committee)のサーバーへ侵入していたことが分かっている [6] [7]。

 ロシア疑惑のときに、同じくDNCのサーバーに侵入していたもう一つの脅威アクター・ファンシーベア(Fancy Bear、またはAPT28等)や、これと連携して活動していた組織・サンドワーム(Sandworm)は後に、米司法当局に、共にロシア連邦軍参謀本部情報総局(GRU:Glavnoye Razvedyvatelnoye Upravlenie)所属部隊(それぞれ26165部隊、74455部隊とされる)であると特定され、その職員が提訴されている [8]。しかし、未だに、コージーベア関係者が訴追されている様子は見えない。このことから、コージーベアは、ロシア政府が背景にいると疑われる脅威アクターの中でも、秘密裡の活動に最も成功している組織と言うことができるだろう。

(2) ソフトウェアサプライチェーン攻撃

 さて、サンバーストを用いたサイバー攻撃であるが、これはソフトウェアサプライチェーン攻撃(software supply chain attack)と呼ばれる手口によるものであった。この手法は、メールに添付するなどしてマルウェアを送りつける従来から見られるようなサイバー攻撃とは異なり、ソフトウェアの正規のアップデートに便上させてマルウェアを配信してくる。このため、攻撃を受けた側は容易にそのインストールを受け入れてしまい、そのソフトウェアの普及状況によっては非常に広範囲な感染が実現してしまうのである。今回のサンバーストに感染した更新プログラムは、先述の通り、米国を主たる標的として送り込まれたものかもしれないが、北米、欧州、アジア、中東において、官民合わせて1万8千台のコンピュータがその更新プログラムをインストールしてしまっていたことが分かっている。

 その更新プログラムとは、米ソーラーウインズ(SolarWinds)社の提供するネットワーク監視・管理システム・オリオン(Orion)を最新にするために配信されたものだった。攻撃者は本当に侵入したい組織の侵入したいコンピュータに直接攻撃を仕掛けるのではなく、敢えて、直接は関係ないソフトウェア会社にサイバー攻撃をまず仕掛け、そのシステムに侵入するのである。そして、そのシステムを利用して、ソフトウェア会社の正規の電子的署名が為された更新プログラムとして、マルウェアを配信するのである。

 この手法は先述の通り、ガードの堅い国家機関などに対してさえ侵入を可能とするほど強力であるし、大規模な感染を引き起こすことも可能であるが、迂遠(うえん)な方法でもある。手っ取り早く小銭を稼ぎたいサイバー犯罪者にとっては食指が伸びなそうな方法である。しかし、資金を国家予算という別経路から得られる国家機関やその下請けとなる組織(民間のハッカー集団)にとっては可能な選択肢となる。実際、次節や後編で紹介するように、この手法を用いたインシデントは、国家を背景とする脅威アクターによるスパイ行為と疑われるケースが非常に多い。

(3) 昔ながらの発想の新しい展開 ― ノットペティア

 プログラムの更新を装ってマルウェアを送り込むという発想自体は、1960年代から存在したようである [9]。まだ、フロッピーディスクなどの磁性体を利用した記録媒体を用いなければ、プログラムの受け渡しができなかった時代のことである。しかし、インターネットが普及し、ネットワークを介したプログラムの更新が頻繁に行われるようになった今日、その更新プログラムを悪用して大規模に感染を広めるサンバーストのようなソフトウェアサプライチェーン攻撃が生まれている。このような手法は2017年に初めて見られるようになったもので、以来、複数の脅威アクターによって繰り返し試みられる新しい潮流となっている [10]。

 そのサプライチェーン攻撃の先駆けとなった事件が、2017年6月に起きたノットペティア(NotPetya)というランサムウェアの大規模な拡散であった。このとき感染経路となったのは税務会計ソフト・ミードック(MEDoc)の更新プログラムであった [11]。ランサムウェアとは、感染させたPC内のデータを暗号化するなどして本来のユーザーのアクセスを制限し、その状況を解消するための身代金の支払いをオンライン口座などに求めるもので、金銭目的の犯罪行為に使用されるマルウェアである。ちなみに、同時期に流行したランサムウェアであるワナクライ(WannaCry)は脆弱性を利用して侵入するマルウェアであり、ソフトウェアサプライチェーン攻撃とは異なる。

 尚、このノットペティアというランサムウェアには不可解な点があった。ランサムウェアというと普通は上記の通り利益を目的とするものだが、ノットペティアを用いた攻撃者たちは、身代金窓口となるメールアドレスを早々に閉鎖されてしまっているのである。本当に金銭が目的であれば、このような簡単に妨害されてしまうような経路で金銭を受け取ろうとはしないのではないかという憶測がなされた。またここで注目したいのは、この感染経路に使われたミードックがウクライナ製で、ウクライナ企業に非常に普及したものであったということである。最終的には米国や日本、ロシアまでも含む世界各国に広まったノットペティアであるが、拡散直後の報道で見ると、ノットペティアに感染した全パソコンの実に60%がウクライナ国内のものであり、残りの多くはウクライナでビジネスを行う国際企業であったという [12] [13]。このようなことから、ウクライナと国際関係上緊張状態にあったロシア政府によるウクライナ政府機関や企業の混乱を目的としたサイバー作戦だったのではないかと疑う声が上がった。具体的には、サンドワーム(Sandworm)と呼ばれるロシア政府を後ろ盾とすると見られる脅威アクターが、その実行者として疑われた [14]。事件から3年後の2020年10月、米司法当局は、ノットペティアによる攻撃の実行者をロシア軍情報機関GRU・74455部隊所属の職員であると断定し、訴追している [15]。業界の人たちにとっては、やっぱりそうかという感じであったことだろう。

(4) 違いはその深さ

 最初に挙げたサンバーストによるサイバー攻撃を、ここ10年来で最悪の攻撃かもしれないと語る専門家もいる [16]。確かに、複数の米官公庁のシステムが長期に亘って侵入されていたことは注目に値する。しかし、米国の国家機関がサイバー攻撃を受け、長期に亘って侵入されていたのは今回が初めてではなかった。サンバーストのどの辺りがその「最悪」の部分なのだろうか。

 先述の通り、2014年には国務省とホワイトハウスがコージーベアによる侵入を受けていた。これらと2020年のサンバーストによるインシデントを比較してみると、その違いは、被害の「深さ」にあるように感じられる。2014年のケースでは、実際に侵入されていたのは「非機密の」メールサーバーのみであった。これとは別にある「機密の」システムへの被害は観測されなかったとされている [6]。つまり、米行政府の最高機関のシステムへの侵入があったとはいえ、その攻撃は「浅かった」ということである。

 しかし、今回は、侵入経路がネットワーク監視・管理システムの更新プログラムであったことから、それをインストールしていたコンピュータ、つまりネットワークを管理するPCの制御が完全に乗っ取られていた可能性がある。2014年のケースでは、限定的な一部のメールの閲覧やそれらの悪用、消去などが被害としてあり得た。しかし今回は、複数の省庁のより広範なシステム上のデータの閲覧や悪用、消去などの危険が生じていた可能性がある。このように、サイバー攻撃の深刻さが増大したのは、ソフトウェアサプライチェーン攻撃という新しい手法の登場によるところが大きいだろう。

 さて、今回紹介した2017年のノットペティアも、2020年末のサンバーストも、共にその実行者としてロシア政府を後ろ盾とする脅威アクターが疑われている。しかし、ここ3年間に観測されたソフトウェアサプライチェーン攻撃を見てみると、中国系の脅威アクターが疑われるケースも多く見られる。後編では、それらを紹介しながら、ソフトウェアサプライチェーン攻撃の変遷を紹介したい。それは、2020年に大きな変化を見せているのである。

(2021/03/24)

脚注

  1. 1 Sergiu Gatlan, "SolarWinds victims revealed after cracking the Sunburst malware DGA," Bleeping Computer, December 22, 2020.
  2. 2 Matt Malone, Adam Pennington, "Identifying UNC2452-Related Techniques for ATT&CK," MITRE ATT&CK, December 23, 2020.
  3. 3 "Threat Research: Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor," FireEye, December 13, 2020.
  4. 4 「ポンペオ米国務長官、政府機関へのサイバー攻撃にはロシアが関与と」BBC News Japan, 2020年12月20日。
  5. 5 Ellen Nakashima, Graig Timberg, "Russian government hackers are behind a broad espionage campaign that has compromised U.S. agencies, including Treasury and Commerce," The Washington Post, December 15, 2020.
  6. 6 小沢知裕「狙われるアメリカ大統領選2020 ―動機を失ったロシアとイランの影響作戦―」 『CISTEC Journal』186号、2020年3月、234-250頁。
  7. 7 Dmitri Alperovitch, "Bears in the Midst: Intrusion into the Democratic National Committee," CrowdStrike Blog, September 25, 2019.
  8. 8 The Grand Jury of the District of Columbia, "Indictment in US v. Viktor Borisovich Netyksho et al," The Mueller Report, New York : The Washington Post, 2019, pp.587-617.
  9. 9 Rupert Goodwins, "Well, on the bright side, the SolarWinds Sunburst attack will spur the cybersecurity field to evolve all over again," The Register, December 21, 2020.
  10. 10 Dan Larson, "Global Survey Reveals Supply Chain as a Rising and Critical New Threat Vector," CrowdStrike Blog, July 23, 2018.
  11. 11 "What is WannaCry ransomware?" Kaspersky.
  12. 12 Lee Mathews, "The NotPetya Ransomware May Actually Be A Devastating Cyberweapon," Forbes, June 30, 2017.
  13. 13 "Petya ransomware outbreak: Here’s what you need to know. Symantec - Broadcom," Symantec, October 24, 2017.
  14. 14 Andy Greenberg, "The Untold Story of NotPetya, the Most Devastating Cyberattack in History," Wired, August 22, 2018.
  15. 15 "Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace," Justice News, Office of Public Affairs of The U.S. Department of Justice, October 19, 2020.
  16. 16 Kevin Johnson, Mike Snider, "Pompeo says Russia 'pretty clearly' behind cyberattack on US, but Trump casts doubts and downplays threat," USA Today, December 18, 2020.