2021.7.9(金) 横山 恭三のプロフィール
kyozou Yokoyama 元空将補、1970年防衛大学校卒業・航空自衛隊入隊、要撃管制官を経てフランス軍統合大学留学、在ベルギー防衛駐在官、情報本部情報官、作戦情報隊司令などを務め2003年航空自衛隊を退職。現在(一財)ディフェンス リサーチ センター研究委員。
。。。。。。。。。。。。。。。。。。
開催まで2週間余りとなった「2020年東京オリンピック・パラリンピック競技大会」(以下、東京大会)の成功(来日外国人の安全確保を含む)には国の威信がかかっている。
現在のコロナ禍=武漢初代―変異―印度3代?ー変異―第N世代肺炎ウイルス感染環境下にあって、安心・安全な大会運営と国内の感染拡大防止が焦眉の急であることは間違いない。
しかし、東京大会のサイバー空間の安全確保もまた、疎かにできない。
東京大会が国内外のハッカーからの攻撃を受けることは避けられないであろう。過去の大会のインシデントの事例を見ると、年々、サイバー攻撃のレベルは高度化している。
日本がコロナ=武漢初代―変異―印度3代?ー変異―第N世代肺炎ウイルス感染環境下対応で大変だから、攻撃をやめておこうという義侠心に富んだハッカーはいない。
それどころか、是が非でも大会を成功させたい日本政府はランサムウエアによる金銭の要求に応じやすい標的とみなし、攻撃を仕掛ける無慈悲なハッカーばかりである。
今、日本全体がコロナ=武漢初代―変異―印度3代?ー変異―第N世代肺炎ウイルス感染環境下対応に追われ、日本の威信を失墜させようとするハッカーや金銭目的のハッカーなどが東京大会を虎視眈々と狙っていることを忘れているように見える。
今一度、東京大会のサイバー空間の安全確保は、東京大会の成功に直結していることを思い起こさなければならない。
最近、筆者には気になる2つの事象があった。
一つは、2020年10月19日、英外務省は、ロシアのハッカーらが、昨年開催予定だった東京オリンピック・パランピックの妨害を狙っていたと発表した。
同省によると、ロシアの軍参謀本部情報総局(GRU)が、東京オリンピック・パラリンピックの関係者や関連組織に対して「サイバー偵察」(詳細は後述する)を実行した。
こうしたサイバー攻撃は、大会が新型コロナウイルスの影響で2021年に延期されることが決まる前に仕掛けられたという。
同省は、サイバー攻撃の性質や範囲など、具体的な内容は明らかにしなかった(出典:BBC)。
この事案については、英国政府から日本政府へ情報提供があったとの報道もある。
もう一つは、 2021年6月25日、日本オリンピック委員会(JOC)が、昨年4月に明らかにしたサイバー攻撃だ。
事務局にあるパソコンや、サーバーには強化選手に関する個人情報などが保管されていたが、外部への情報流出はないという。
JOCによると、パソコンなどが「ランサムウエア」に感染し、アクセスができなくなった。
JOC幹部は「(業務停止は)部分的には多少はあったかもしれないが、日常業務全体が止まることはなかった」とし、パソコンなどを新しく入れ替えて対応した。
身代金の要求はなかった。また、JOCは個人情報の流出の可能性がなかったためスポーツ庁には報告したが、公表しなかったとしている(出典:共同通信)。
JOCは情報の流出がなかったため公表しなかったとしているが、公共団体であるJOCには、自己組織で発生した犯罪行為を発表する義務がある。
この種のサイバー攻撃は、不正アクセス禁止法違反や電子計算機使用詐欺罪、電子計算機損壊等業務妨害罪などに該当する明白な犯罪行為である。
警察に被害届けを出したかどうかは不明であるが、いずれにしても自己組織で発生した犯罪行為を公表しなかったことは、情報隠蔽の誹りを免れないであろう。
ところで、筆者は旧稿『危機管理の専門家が警鐘を鳴らす東京オリンピック』(2015.7.22)で、
①真に重要なネットワークはクローズ系とすること
②重要インフラの自動運用を手動運用へ切り替える手順を確立すること
③「国家重要インフラ防護センター(仮称)」を設立すること
の3つの事項を提言した。①と②についての詳細は不明であるが実現されていることを願っている。③については残念ながら実現されていない。
さて、本稿では、開催まで時間もないので、直ちに実施可能な対応策として職員の教育を提言したい。
ハッカーは、人間の怠慢と過失を突いて攻撃してくる。それに対抗するには職員の教育しかない。
以下、初めに、「サイバー偵察」について述べる。
次に、過去の大会のインシデントの事例について述べ、その後、東京大会において想定されるサイバー空間の脅威について述べ、最後に早急に実施すべき対応策について述べる。
1.サイバー偵察について
「サイバー偵察」は、敵の活動、情報能力またはシステム能力に関する情報を獲得するためにサイバー空間能力を使用することを意味する。
敵の支配する領域外から実行されるサイバー偵察とサイバースパイ活動とは明確に区別されなければならない(出典:タリンマニュアル)。
サイバー偵察とは、サイバー攻撃を実施するための事前の情報収集活動である。
サイバー偵察活動は、本来、隠密に実施されるもので、今回のようにJOCのパソコンをマルウエアに感染させるなどはサイバー偵察の許容範囲を逸脱している。
さて、一般にサイバー攻撃の準備は、時間をかけ周到に進められる。それは、インテリジェンスの作戦と同じである。
インテリジェンスの作戦は、必ず予行演習が行われると言われる。例えば、金正男(キム・ジョンナム)暗殺事件をみても、北朝鮮の暗殺グループの予行演習がカメラに捉えられている。
そもそも、サイバー攻撃を今やろうと思っても、すぐに標的のネットワークにハッキングで侵入し、被害を与えたりできるものではない。
特にセキュリティ対策がしっかりしている組織を狙うハッカーは、何カ月もかけて、潜入していることが検知されないようにサイバー偵察を行い、標的が使用しているOSやソフトウエアの種類・バージョン 、通信プロトコル、暗号化の方式などを調べるのである。
時には、バックドアを仕掛けることもある。
このように、サイバー攻撃は周到な準備をして実施するものであるがゆえに、標的側にとっては、サイバー攻撃の兆候を察知する機会でもある。
そして、察知した情報を関連組織で共有することがサイバー攻撃を未然に防止することに繋がるのである。
今回、JOCを攻撃したハッカーの戦法や使用したランサムウエアのシグネチャなどの特徴は、NISCを中心とした「オリンピック・パラリンピックCSIRT」を通じて、関連組織で共有されているのであろうか。
2.過去の大会のインシデント
本項は、東京大会組織員会テクノロジーサービス局長舘剛司氏の交通セキュリティセミナー講演『東京2020大会に向けたサイバーセキュリティのチャレンジ』(2019年2月18日)を参考にしている。
(1)ロンドン大会2012年
①7月26日(開会式前日)に、東欧のハッカー集団が大会のITインフラに対して数10分間にわたって脆弱性を探すためのスキャン実行。
②7月27日(開会式当日)に、電力システムを狙った攻撃の情報を受け、多くの技術者を要所ごとに配置するマニュアル操作に切り替え。この時の状況を読売新聞は次のように報じている。
「ロンドン五輪では開幕の当日の朝、『電力システムがハッカーに狙われている』との情報に基づき、関連施設に技術者250人を走らせ、システムを手動に切り替えたのは開会式の数時間前だった(読売新聞26年9月7日)」
③7月27日午後5時には、(大会公式サイトへの)DDoS攻撃がピークに達し、北米および欧州の90のIPアドレスから1000万リクエストの DDoS攻撃が40分間にわたって継続。
④8月3日(大会終了間近)には、1秒あたり30万パケットのDDoS 攻撃が同じIPアドレスから送付。このアドレスはプレス向けに用意され共同利用されていたもの。
(2)リオ大会2016年
テレビでは放映されない下記のような数々のトラブルが発生した。
・「(ゴルフ)競技中に過負荷による競技情報システムダウン」
・「大会 初日の過負荷によるモバイルアプリダウン」
・「インターネット回線トラブル」
・「停電・電源トラブル(五輪閉会式時間中の会場一帯の停電も含む)」
・「多発するサイバー犯罪(なりすましWiFi、ATMスキミ ング)」など
(3)平昌大会2018年
①2018年1月6日、米マカフィ社が、平昌冬季五輪の関連機関を標的にしたサイバー攻撃が確認されたと発表した。
2017年12月下旬の対テロ期間中に、関連機関を装った標的型メール攻撃を観測した。
②2月9日の開会式の45分前から、プレス関係者向けの通信環境や映像配信、大会ウエブサイトなどに不具合が生じた。
③これまでオリンピックを標的としてきたサイバー攻撃と比べ、明らかに影響範囲が拡大した。
この時の状況を韓国の対サイバー攻撃チーム総括責任者チョ・チャンソブ氏は、NHKに対し次のように語った。
「平穏に開会式が進行している裏で、無線LANが突然使えなくなったり、入場券が印刷できなくなったりといった障害が相次いだ」
「原因を調べると、観客の入退場や大会関係者のネット接続など、あらゆる認証作業を担うサーバーがウイルスに感染していた」
「影響の大きいものから復旧を始めたが、復旧すると同時にそのサーバーが新たな障害を起こす現象が起きた」
「感染は50のサーバーに及び、大会の会場管理やスケジュールを管理する機能など52にわたるサービスで影響が生じた」
「このままでは、翌日から始まる競技にも影響しかねないので、大会のインターネットを遮断し、数百人で復旧作業にあたった結果、翌朝の8時頃、競技開始のわずか1時間前にようやく復旧できた」
(NHK news watch9 6月7日)
④2月9日、米シスコシステムズ社の情報分析チーム (Cisco Talos)が、攻撃に用いたとみられるマルウエアの検体サンプルを確認したと発表した。
・マルウエアからはシステム破壊の機能のみが確認されている。
・マルウエアには44個の平昌五輪関連の資格情報(ユーザー名、パスワードなど)とみられる文字列がハードコーディングされている。
⑤2月14日、サイバースクープ(CyberScoop)社は、「ITコンサルティング企業のアトス(Atos)社内の複数のシステムが、2017年12月から既に侵入されていた可能性が高い」と発表した。
⑥2月25日、米紙ワシントンポストは、「ロシア軍スパイが平昌組織委員会のコンピューター数百台をハッキングし、北朝鮮の仕業と見せかけようとした」との米国情報当局者の話を報道した。
ルーターをハッキングし、ネットワークを麻痺させるマルウエアを埋め込んだと見られる。
(4)インシデントに関する考察
平昌以前の大会では、インターネットに晒さらされているウエブサイトへの攻撃が主流だったが、平昌では、標的型攻撃により明らかに内部に侵入され、ピンポイントでの攻撃が行われている。
そして、目的を持った攻撃となっており、「ハクティビストの攻撃」のレベルから、「サイバーテロ」 と呼べる攻撃レベルへと進化しているなど、攻撃目的の変化や攻撃手法の進化がみられる。
3.東京大会に想定されるサイバー空間の脅威
(1)想定されるサイバー攻撃の態様
東京大会において想定されるサイバー攻撃は次のとおりである。
・重要インフラ(鉄道、電力、金融など)へのサイバー攻撃
・大会システムの乗っ取り(パソコンが乗っ取られ、競技結果の改竄などの重大インシデントに発展する可能性大)
・セキュリティカメラへのハッキング(要人警護や会場警備などに支障をきたす)
・ランサムウエアによる脅迫
・内部情報の漏洩など
(2)東京大会の成功を妨害しようとするハッカー(集団)
東京大会の成功を妨害しようとするハッカー(集団)には、次のようなものが考えられる。
①ハクティビスト
政治的、社会的な主張をするためのサイバー攻撃を「ハクティビズム」と呼び、それらを行う攻撃者を「ハクティビスト」と呼んでいる。
国際的ハッカー集団アノニマスは、かつて違法ダウンロードに対し刑事罰を盛り込む改正著作権法の成立に抗議するとして日本政府と日本レコード協会を攻撃した。
アノニマスがコロナ禍でのオリンピック開催に反対という名目で日本を攻撃する可能性も排除できない。
②反日中国人ハッカー
中国のハッカー集団は、かつては、満州事変の発端となる柳条湖事件が勃発した9月18日が近づくと、日本にサイバー攻撃を仕掛け日本の官公庁などのホームページが改竄された。
幸い、尖閣諸島を国有化した9月11日や柳条湖事件が勃発した9月18日などのいわゆる反日デーは、東京大会が終了した後である。
しかし、中国のハッカー集団は中国共産党の意向を受けて活動していると言われる。
中国共産党が日本の威信を失墜させるために、ハッカー集団を使って東京大会の成功を妨害しようとするかもしれない。
③ロシアのハッカー集団
今、ランサムウエアによるサイバー攻撃が世界的に猛威を振るっている。
日本のJOCは、ロシアのハッカー集団と見られるハッカーからランサムウエア攻撃を受けた。
また、東芝グループの東芝テックも2021年5月、欧州にある拠点がロシアのハッカー集団「ダークサイド」から攻撃を受けた。
これらのことから、ロシアのハッカー集団が、日本の企業などを標的の一つとして認識していることは間違いない。
ロシアのハッカー集団の目的は金銭を得ることである。是が非でも東京大会を成功させたい日本政府は金銭の要求に応じやすい標的と見ているかもしれない。
4.早急に実施すべき対応策
筆者は、東京大会において日本が最も注意すべきサイバー攻撃は、ランサムウエア攻撃であると見ている。
過去によく見られたハッカーによるホームページの改竄やDDoS攻撃に対しては既存のセキュリティ製品の適用による技術的対策で対処が可能である。
他方、ランサムウエアは現在、世界的に猛威を振るい多大な被害を及ぼしている。
攻撃者(ハッカー)は、人間の怠慢と過失を突いてランサムウエアをシステムに挿入することに成功している事例が多い。
サイバーセキュリティの最大の脆弱性は人間である。怪しげな添付ファイルを開くなと言われても、ついうっかり開いてしまうのが人間である。
従って、大会が差し迫った今、重視すべきことは、人的対策、特に職員の教育である。
(1)ランサムウエアの感染経路別の対応策と人的対策
ランサムウエアの主な感染経路は4つある。
①メールの添付ファイル、
②メールに貼り付けられたリンク、
③ウエブサイトの閲覧、および
④USBメモリである。
それ以外にも、コンピューターのOSやソフトウエアの脆弱性(セキュリティホール)などを狙って侵入する巧妙な攻撃もある。
全般的対応策としては、ウインドウズなどのOSやブラウザーをはじめとするソフトウエアを最新状態に保ち、セキュリティソフトの導入が基本となるが、さらにランサムウエアに効果の高い対応策として、データのバックアップが必須である。
万が一、暗号化された場合でも、USBメモリや外付けハードディスクなどオフラインのメディアやデバイスにバックアップをしておけば、その時点のデータを復旧することができる。
以上のようなアップデート対応やバックアップの取得の技術対策に加えて、下記の感染経路別の人的対策(職員の教育)を行うことで、ランサムウエア対策はより強固なものとなる。
特に、東京大会まで2週間余りとなった今は、職員の教育に全力を投入すべきである。
以下、感染経路別の対応策を述べる。
①メールの添付ファイルによる感染
ユーザーにメールに添付したファイルを実行させることで、ランサムウエアに感染させようとする攻撃手法である。
メールの差出人や件名、本文をなりすまして標的型攻撃を仕掛ける場合と、よくありがちな「請求書」「問い合わせ」といった件名と内容でばら撒き型の攻撃を仕掛ける場合がある。
このような攻撃手法に対しては、そもそも疑わしいメールを受信しない「メールフィルタリング機能」や「ウイルス対策ソフト」を適切に組み合わせて対策しておくことが必要である。
その上で、不用意にメールの添付ファイルを開かないよう、職員教育を徹底することが重要である。
②メール内のURLリンクによる感染
ユーザーにメール内のURLをクリックさせることで、ランサムウエアをダウンロードさせて感染させようとする攻撃手法である。
このような攻撃方法に対しては、すべての URLへのアクセスを拒否する(許可リストで指定した URLは除く)「URLフィルタリング」や、ランサムウエアなどのマルウエアをダウンロードしようとしても、こうした不正なプログラムを検知して駆除するセキュリティソフトの導入が必要である。
その上で、不用意にURLをクリックしないよう、職員教育を徹底することが重要である。
③不正なウエブサイトを経由する感染
ランサムウエアを仕掛けたウエブサイトを作り、水飲み場型攻撃やフィッシングサイトなどの技術を組み合わせ、ユーザーが閲覧することで感染させる攻撃手法である。
このような攻撃手法には、上記同様に「URLフィルタリング」の導入、セキュリティソフトの導入などが重要である。
その上で、許可されたウエブサイト以外にはアクセスしないよう、職員教育を徹底することが重要である。
④USBメモリによる感染
サイバー犯罪者がUSBメモリや外付けデバイスにランサムウエアを仕込んだ上で、人目に付く場所にわざと置いておき、職員(ユーザー)がうっかりコンピューターに接続することにより感染させようとする攻撃手法である。
出所が分からないUSBメモリや外付けデバイスをコンピューターに絶対接続しないよう教育を徹底することが極めて重要である。
(2)ランサムウエアに感染したときの対処方法
ランサムウエアへの感染を確認したら、ただちにコンピューターを社内ネットワークやインターネットから切断する。
(3)まとめ
ランサムウエアの感染経路は、従来型のマルウエアと大きな違いはなく、特別な対策が必要ということではない。
従って、上述した職員の教育を徹底しておけばランサムウエアの被害を回避できる可能性は大きくなる。
おわりに
いかに優れたサイバーセキュリティ対策のツールと技術をもってしても、職員個人のセキュリティ意識が貧弱であったならば、組織はサイバー攻撃に対して脆弱となる。
サイバーセキュリティの最大の脆弱性は人間であることを肝に銘じて、東京大会を目前にした今、関連組織は職員の教育・訓練を徹底し、すべての職員に次の4つの事項を身につけさせなければならない。
①「信頼できない送信元からのメール添付ファイルを開かない」
②「信頼できない送信元からのメール内のURLリンクをクリックしない」
➂「許可されたウエブサイト以外にはアクセスしない」
④「出所が分からないUSBメモリや外付けデバイスは接続しない」
職員一人ひとりが、上記の4つの事項を確実に実践できたならば、東京大会のサイバー空間の安全確保はより確かなものになるであろう。
※コメント投稿者のブログIDはブログ作成者のみに通知されます