記事
政府や軍の機密情報を奪い取る周到なサイバー・スパイ
サイバー戦争
公開日:2010/04/26 01:28
中国撤退をかけてグーグルが問題を明らかにした
大規模なサイバー攻撃の実態を見ると、
ターゲットになったら逃れるのはむずかしいのかも、という気がしてくる。
●それらしい相手のメールにウィルスが‥‥
それらしい相手からメールが来て、添付ファイルが付いていたら開けてしまう。誰でもするそうしたことをやったために国家機密が奪われる。そんなことが実際に起こっている。
「第7回アメリカ国防会議」――こういうタイトルのメールが国防関係者に届いた。この会議は実在のものだが、このメールに書かれているリンク先のサイトはニセだった。
会議のスケジュールや登録用紙のPDFファイルが圧縮されていて、ダウンロードして解凍すると、コンピューターがリモート・コントロールされてしまう。受信者はこの会議に関心を持ち、ファイルをダウンロードしそうな人びとが選ばれていた。
こうした対象者を見つけるのはいまやむずかしくはない。会議の出席者リストやニュース・グループ、SNS、企業広報の登録者などオンライン情報を探せば容易にリストアップできる。
こうして大量の国防関係者のコンピューターがハッカーの支配下に置かれた。発覚するまで長期にわたり、それぞれのコンピューターが所属するネットワークへの侵入が可能になった。報告書には、個人や企業が特定されないようにこのメールが一部改編された形で掲載されている。
●ウィルス対策ソフトも見つけられないスパイ・ウィルス
類似の例は、米ビジネスウィーク誌08年4月10日号にも載っている。
07年9月5日の朝、国防関係のコンサルティングをしているブーズ・アレン社の海外軍事支援担当副社長に一通のメールが届いた。インドが戦闘機をほしがっているという内容で、差出人は、アメリカの軍用機を他国に売るさいに、安全保障上の問題がないかなどを空軍長官に報告するグループのメンバーの名前だった。
とくに疑わしいところはなかったが、これは偽(にせ)メールだった。
ウィルスがしこまれ、コンピューターが乗っ取られる。
「ポイズン・アイビイ」というこのウィルスは、同誌が試してみたときには、34のアンチウィルス・ソフトのうち11しか見つけられなかったそうだ。
このウィルスによって、スクリーン・ショットが撮られファイルが読まれた。
キーボードのどのキーを打ったかもわかり、パスワードも盗まれた。ブラウザの背後で動き、「サイバーシンドローム3322・ORG」と登録されているアドレスのコンピューターに接続するようになっていた。
こうした偽メールは、国防省や国務省など政府省庁から、ボーイング、ジェネラル・エレクトリックといった国防関係の仕事をしている企業まで広範にターゲットになっていた。
米ビジネスウィーク誌は、カバーストーリーにしただけあって力が入っている。3人の専門家を雇って発信元を追った。
このメールは、韓国のアドレスを通ってニューヨークの米ヤフーのサーバーを経由し、ブーズ・アレンの副社長のメール・ボックスに届いていたが、3322・ORGは、上海近郊の工業都市・江蘇省常州市の会社のドメインだった。司令塔役を果たしたいくつものコンピューターやサーバーがこのドメインのもので、ここ数年、悪意のある1万以上のプログラムを政府や企業のネットワークに送りつけていた。
ビジネスウィークは、常州市の3322・ORGの創立者にも取材している。
しかし、その返事は期待はずれのものだった。37歳の起業家は、自分たちは利用者にドメイン名の登録をさせているだけで、登録者が何をしているのかは知らないと答えた。
●周到で組織的なサイバー・スパイ
報告書に載っているケースは、ビジネスウィーク誌の事例よりさらに手がこんでいた。
偽メールによってコンピューターを支配下に置くというのは第1段階でしかなかった。
この段階では、真のターゲットとはしばしば別の人間が対象だった。ほんとうにねらっているデータの所有者は警戒レベルが高く、気づかれてしまうリスクがあるからだそうだ。
機密を重視する組織は「情報分割」をしばしばやる。
ひとつの仕事を分割し、自分の仕事についての情報しか与えない。誰かが逮捕されたり情報を漏らそうとしても、被害は部分的ですむからだ。日本の過激派組織などもこうしたことをやっているようだが、サイバー・スパイでも、複数のチームに仕事が分担されている。
第1段階のチームは、コンピュータやネットワークへの侵入までで、次のチームが情報の収集や「運び出し」を担当するという形で、そのやり方は組織だっていた。
企業のファイル・サーバーからまず必要なデータを企業のメール・サーバーなどへコピーし、そのサーバーを「足場」にする。「足場」で、圧縮や暗号化、分類・コピーなど「運び出し」のための下準備をする。
この作業をするにあたっては、ファイルをいちいち見て確認したりはしていない。隣接した場所にあるファイルであっても無視し、すばやく別の場所に移って特定のファイルを選び取っている。事前にディレクトリ情報を手に入れ、どのファイルがどこにあるかを確認したうえで必要なファイルだけをコピーし、効率的に膨大なデータを盗み出している。
調査にあたった人間は、こうした点にも周到さを感じとっている。
必要なすべてのデータを「足場」に移し下準備が終わったら、人目につきにくい夜間、カモフラージュしたチャンネルを使って企業ネットワーク外の「ドロッピング・ポイント」にひそかに送り出す。この「ドロッピング・ポイント」はいくつもあり、それによってほんとうの受け取り手が誰だかわからなくする。
実際の犯行も数日がかりだが、準備には、おそらく何か月もかかっている。情報の搾取のプロセスが統制がとれ周到に行なわれていることから、アマチュアの犯行とは考えられない。軍と民間のIT関係者、ハッカーが連携し活動していると思われると報告書は指摘している。
これほど手間ひまをかけているにもかかわらず、軍事情報の場合は、軍や政府がスポンサーでなければ、簡単にはお金にならない。そうしたことも、政府や軍の関与を疑わせるという。
誰がやっているのかはっきりした証拠はないものの、グーグルが明らかにしたGメールへの攻撃のように、中国から仕掛けられた形跡があり、やり口も中国発と信じられているケースとそっくりだということから、中国が関与していると報告書は見ている。
このように情報を搾取するばかりか、コンピューターを支配下に置いておき、戦時などになったらそれらのコンピューターをいっせいに使って大混乱に陥らせるということも可能だ。アメリカ政府はもちろんこうしたことを懸念し、対策を練り始めてはいるのだが、抜本的な手は打てずにいる。こうした懸念をかねてから持っていたために、グーグルの告発があったときに、アメリカ政府は中国当局を手厳しく非難したわけだ。
afterword
この報告書では、企業名や人名はほとんど伏せられ、上に書いたように、中国との関わりについても明確な証拠は得られていない。ただひとつ具体的に中国人ハッカーの名前をあげて関わりを記述している例がある。興味深いことに、そのハッカーは、グーグルの事件のときにサイバー攻撃の拠点として名前があがった大学にいた。次回からはその話を取りあげる。
関連サイト
●報告書でもとりあげられている米ビジネスウィーク誌08年4月10日号の記事「新たな電子スパイの脅威(The New E-spionage Threat)」(http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm)。情報セキュリティの専門家が、複数の企業から膨大なデータがアメリカ内外の複数のコンピューターに送り出されていることに気づき、データの流出を止めようとしたが、かなりのデータが流出してしまったという。
●米議会の報告書「中国のサイバー戦争とコンピューター・ネットワーク略取の遂行能力」の34ページに、情報戦争のための民兵組織の設立大会とそのオフィスの写真が掲載されている。08年3月に中国・永寧県で設立され、ネットを使った戦争の研究と訓練、敵のネットワークを戦時に攻撃することが任務だと組織のウェブサイトに書かれているという。報告書は、http://www.uscc.gov/researchpapers/2009/NorthropGrumman_PRC_Cyber_Paper_FINAL_Approved%20Report_16Oct2009.pdfにある。
(週刊アスキー「仮想報道」Vol.626)
