戦争はすでに見えないところで起きている
あの会社がハッキングされた! この会社の情報が漏れた! というニュースが頻繁に出てるので、感覚が麻痺してハッキングも日常のひとつくらいに感じてしまいそうですが、その裏では大量の金や個人情報が失われたり、場合によっては人の命すらなくなることもあるのです。では、歴史的にもっともヤバいハッキングはどれなのか? 今回米Gizmodoが、専門家に訊いてみました。
インターネットを日常的に利用する人のほとんどは、多かれ少なかれ「最悪のシナリオ」が現実になることを不安に思っているのではないでしょうか。すなわち、インターネットが完全に機能停止し、インフラが麻痺し、もしかしたら核爆弾の2、3発でも発射されるような、とんでもないハッキングが起こることです。そういう大規模なハッキングが起きないのは、ある意味で悪意のあるハッカーたちのおかげとも言えます。彼らがこの何十年間、幾度となく政府や企業を攻撃したおかげで、被害を受けた側が脆弱性に対策せざるを得なくなったから、というわけですね。しかし中には、重要施設の妨害行為や、ネットがなかった世界では想像もできない窃盗など、莫大な被害を与えたハッキングもありました。では、それらの中で最も被害が大きかったハッキングはどれでしょう? すなわち歴史上最悪のハッキングはどれか? ということです。今回のGiz Asksでは、この疑問を複数の専門家にぶつけてみました。
Thomas J. Holt
ミシガン州立大学、刑事司法科主任教授。彼の主な研究はコンピュータハッキングやマルウェアなどにも及ぶ。
最初に思い浮かぶのは、1988年のMorris Wormでしょうか。Robert Tappan Morrisという大学生が、サーバをPingして当時のインターネットの大きさを調べるためと称してコードを書きました。このコードには意図的、または意図しないエラーがあり、Pingして報告を返すだけでなく、自身を複製して拡散させることでほぼネット全体にDoSアタックを仕掛けました。Morris氏は意図的ではないと主張しましたが、結局悪意あるソフトウェアの製作者として世界で初めて起訴され、これを機に初のCERT (コンピュータ緊急対応チーム ) が結成されたのです。当時のインターネットは主に大学、NASA、政府機関などに限定されていたので、それぞれの代表を集めて将来の問題を防ぎ、同じ手段を使えないようにする方法を見出すことが目的でした。
世界有数のハッキングのもうひとつの候補は、2014年頃の米国人事管理局へのハッキングでしょうか。これは、政府のFS86書類に記入されている情報を入手するために中国が行なったと考えられています。FS86書類は簡単に言うと、機密情報を扱う申請をする際に必要な書類です。
政府がこの件に関して口を閉ざしているので、具体的にどれだけの情報が盗まれたかはわかりません。しかし、何百万というFS86書類と含まれていた情報が失われました。これが致命的なのは、FBIやシークレットサービスなどに起用される人が、FS86書類に記入する必要があるからです。なので、外国の諜報部員などが、書類に書かれた非常にプライベートで危険な情報を悪用できてしまうのです。例えば、FS86書類に多額の借金を持っていると書いた人は、お金を払えば国家機密を漏洩する可能性があるので狙われる可能性がでてくるでしょう。
最後は2017年のNotPetyaハックでしょうか。これは欧州とアジアに影響を及ぼしました。NotPetyaと呼ばれているのは、Petyaというランサムウェアに似ているからです。異なる点は、コンピュータを人質にするのではなく、単に破壊するということです。
元々はロシア製と考えられ、ウクライナのサーバに侵入しました。NotPetyaはウクライナで広く使われている確定申告用ソフトウェアのバックドアに仕込まれており、ウクライナで営業している企業のほとんどがビジネス用にそのソフトウェア使っていました。結果、実行されたコードはこのソフトウェアとつながっていたシステム全てに影響し、何百万ドルという損害を出しました。大量のコンピュータを交換している2週間、ウクライナは実質的にインターネットが使えず、運輸やあらゆる物理的インフラに影響がありました。ハッキングの目的が単純な破壊であることは珍しいのですが、この場合はまさしくそれが目的であったために特徴的なのです。
Alexander Klimburg
The Darkening Web: the War for Cyberspaceの著者。
それぞれの視点や、どれだけの機密情報を知っているかによって、答えは大きく変わってくると思います。ただ、どうしても挙げるとすれば、歴史的で、サイバー戦争の大きな困難を象徴していると個人的に思う事件があります。それは俗に「ソビエト・パイプライン・アタック」と呼ばれているものです。このハッキングの結果、「宇宙から観測できた、核兵器以外で最も大きな爆発」が発生しました。起きたのは1982年 (人によっては1983年という人もいます) で、ワールド・ワイド・ウェブ(WWW)もなければ、私達がよく知るインターネットもない時代です。重要インフラに対するハッキングとして最も深刻なもののひとつなだけでなく、これは情報戦術であり、心理作戦でした。つまり、他の何よりサイバー戦争の二面性を表した事件なのです。そして奇しくも、米国のコロニアル・パイプラインに対するランサムウェア攻撃が起きたのは、ソビエトでの事件からちょうど41年後でした。実際に起きたのなら、ですが。
全ての始まりは、ロナルド・レーガン大統領の顧問の一人であり元空軍長官のThomas Reed氏が2004年に書いた文書でした。Reed氏によると、当時CIAは、経済的に苦しいソビエト連邦による大量の企業スパイに対応しており、対抗策として「FAREWELL」作戦を実行します。作戦の肝は、ソビエトが求めている技術をあえて盗ませることでした。しかし、盗ませる技術に罠を仕込み、得より損を大きくするのが目的だったのです。今回の場合、ソビエトは天然ガスや石油パイプラインをより効率よく管理できるコントロールシステムのソフトウェアを狙っていたので、CIAはソフトウェアのコードに「ロジック・ボム」を仕込み、KGBにソフトウェアを盗ませました。このロジック・ボムは、特定のタイミングでシステムが暴走するように仕組まれており、その時間が迫ると、ホワイトハウス、並びに衛星写真の分析官は「シベリアで大爆発があっても気にしないように」と通達を受けました。「宇宙から観測できた、核兵器以外で最も大きな爆発」は計画通りだったのです。「毒入りの盃」が使われたのはこれが初でも最後でもないと言われていますが、効果は絶大だった…とのこと。
本当に起きたのかどうかを疑う声は少なくありません。2012年までは嘲笑の的ですらありました。しかし2012年、カナダのドキュメンタリー番組が、当時のソビエト連邦副議長などの証言を含めた信憑性のある新情報を発見しました。彼によると、事件は1983年に、Reed氏の証言とは別のパイプラインで発生し、何十人もの死者が出たそうです。また、CIA独自の学術研究組織がReed氏の証言を新たに公表したことも疑問のひとつです。明らかに、この話を広めたい誰かが背後にいます。
それはなぜなのか? 今だからわかることですが、Reed氏の証言を米国諜報機関が公表した同時期、彼らは「OLYMPIC GAMES」作戦を開始していました。これはイランのウラン濃縮施設を狙ったStuxnetによるサイバー攻撃のコードネームです。なので、進化を続けるサイバーアタックを、情報戦略でサポートしようとした人がいても不思議ではありません。つまり、過去にも同じことがあって、さらに深刻なダメージを与えたんだぞ、と特定の視聴者に知らせる方法です。真実かどうかは別として、メッセージは送られました。とはいえ、全ては煩雑なお役所仕事上のエラーと、豊かすぎる想像力が生んだ偶然の可能性もあります。
真実だとすれば、ソビエト・パイプライン・アタックは歴史上初のサイバーアタックであり、数年後のCuckoo's Eggサイバースパイ事件の土台を築いたことになります。いずれにせよ、サイバー戦略と情報戦略は重なり、互いを助長し、互いに化けることさえあると言えます。この話から学ぶべきなのは、重要インフラへの攻撃の可能性や、その被害の大きさではなく、情報戦略ーープロパガンダや見えない影響力ーーはネットの影に常にあるということです。真のハッカーなら誰でも知っていますが、一番効果的なハッキングは人間の意思決定を狙います。テクノロジーやデータは、その目的のための手段でしかないことが多いのです。
最近発生した主なハッキング、データ漏えい事件
2010年
スーパーワーム「Stuxnet」がイランの核施設に侵入。軍事、諜報の専門家によると、遠心分離機のおよそ20%が破壊される。このサイバー兵器を使用したのは米国という見方が主流だが、イスラエルが開発に協力したと見る専門家もいる。両国とも関与を否定。
2012年
「Shamoon」と呼ばれるWindows用ウイルスが、サウジアラビアの石油企業のワークステーション3万5千台に侵入。ウイルスの行動があまりに破壊的なため有名になる。ウイルスは「ワイパー」と呼ばれ、感染したコンピュータの全てのデータを消すために存在する。国際的にも石油の価格が上がるのではと危惧が高まった。セキュリティ専門家の多くは、イランの関与の可能性を指摘している。
2013年、2014年
中国人民解放軍のハッカーが、下請けコントラクターの認証を利用して米国人事管理局に侵入し、1年間発見されなかった。指紋データ5百万件や、政府関係者の誰が機密情報にアクセスできるかを決定する書類を含む、およそ2千2百万件のデータが盗まれる。
2014年
「Guardians of Peace」と名乗るハッカー集団がソニーのコンピュータ・ネットワークに侵入し、100テラバイトに及ぶデータを盗んだ上に、機密の従業員情報やEメール、未公開の映画を漏洩させた上で破壊的なワイパーを放つ。アタックの主は北朝鮮と考えられ、その理由は金正恩が暗殺されるコメディ映画『ザ・インタビュー』 (主演、セス・ローゲン、ジェームズ・フランコ) をソニーが製作したからとされている。
2014年
10億人のアカウント情報が漏洩したと、Yahooは2016年に認める。しかし、親会社のVerizonは2017年、実際には30億人であったと発表した。
2016年
民主党全国大会前、WikiLeaksとDCLeaksは大統領候補ヒラリー・クリントン氏と、彼女周辺の民主党党員のやりとりを記録したEメールを公表。「Guccifer 2.0」と名乗るハッカーがデータをハッキングし、ヒラリー陣営に痛手となるさまざまな文書を選挙の真っ最中に米国のジャーナリストに漏洩していたと認める。米国諜報機関は、Gucciferがロシアのスパイ達によって作られた架空の人物だとしている。2016年の投票に与えた影響は未だ計り知れないが、米国政府は、モスクワの目標はドナルド・トランプの当選だったと繰り返し主張している。
2017年
消費者信用情報会社 、Equifaxのデータ漏えいは米国史の中でも最大級であると考えられる。最低でも1億4千5百万人の個人情報が盗まれた。昨年、米国司法省は中国人民解放軍の隊員4名を起訴したが、実際裁判が行なわれる可能性は非常に低い。この事件は、米国の法律におけるプライバシー保護意識の欠如を改めて認識させる結果となった。
2017年
「WannaCry」ランサムウェアは、世界規模で病院、公的機関、大企業などに高速に広まったことで注目を集めた。WannaCryの武器は、NSAが開発し、ハッキンググループのShadow Brokersによって1年前にリークされた脆弱性を突くEternalBlue。英国のハッカーであり、MalwareTechを名乗るMarcus Hutchins氏がマルウェアに仕込まれたキルスイッチを発見。これによって初期型の拡大を大幅に防くことに成功。米国政府は北朝鮮の関与を指摘している。
2018年
インドの生体情報データベース、Aadhaarが侵入され、ほぼ全てのインド国民の個人情報が漏洩。漏れた情報には、12桁の個人識別番号、11億人分も含まれる。インドの与党は事件の規模を軽視しており、「フェイクニュースだ」とまで発言。セキュリティ専門家は、漏洩したデータのほとんどをブラックマーケットで発見した。
Matthew Williams
英国、カーディフ大学犯罪学科教授であり、HateLabの局長。The Science of Hateの著者でもある。
私の専門分野は、サイバーセキュリティにおける人間の部分です。なので、私にとっての最大のハッキングとは、ソフトウェアやハードウェアの弱点をついたものより、ソーシャルエンジニアリングに焦点をおいています。 サイバーセキュリティのチェーンの中では、テクノロジーではなく人間が最大の弱点です。従って、私達の心理の欠点を捏造やミスディレクション、混乱などで突くハッカーは、コードを書けるハッカーと同等の損害を出すことができます。
白人至上主義者、Don Blackによって作られたニセのMartinLutherKing.org (ヘイトフォーラム、Stormfrontの一部として)は最も邪悪なハッキングのひとつです。Stormfrontが所有しているとGoogleに2018年初めに報告が入るまで、サイトはMartin Luther Kingと検索するとトップ4に表示されていたのです。ページの一番下にある「Hosted by Stormfront」の一文以外、一見すると白人至上主義者的な文言は見られませんでした。
削除されるまで、サイトは正当な情報ポータルに扮して、学校に通う子供などをターゲットにニセの情報を提供しており、サイトの見出しにはこうありました: 『生徒のみんな! MLKクイズをやってみよう!』それをクリックすると、 『君はどれだけMLKを知っているかな? MLK記念日にそなえてクイズに答えてみよう!』 と出ます。クイズはどれもキング牧師を批判したり名誉毀損する内容でした。例えば『暗殺される当日の朝、キングは女性を暴行していたそうですが、それを書いた1989年発行の伝記の著者は?』。他にも『キングが博士論文の中で50行以上剽窃したのは誰の論文?』といったものです。クイズの最後にスコアが集計されます。
サイトは「真実の歴史の考察」を謳っていました。リンクには『ラップの歌詞』なるものがあり、そこにはこうありました: 『黒人のラッパーやファンは、こんなことを言ったりやったりしています。しかし、こういった歌はユダヤ人が経営する会社によってプロデュース、出版されているのもお忘れなく』。隣には、黒人が白人に対して暴力や性的暴行をするような歌詞が掲載されていました。また、サイトには印刷用のパンフレットもあり、キング牧師記念日に学校で配るよう推奨していました。パンフレットは記念日の廃止を訴え、キング牧師をドメスティック・バイオレンスと性的暴行で共弾する内容が書かれていたようです。
MartinLutherKing.orgは、アメリカの極右団体の傀儡サイトでした。その目的は社会で一番感化されやすい層をターゲットにして偽情報を流し、人種間に亀裂を生むことだったのです。
Nasir Memon
ニューヨーク大学Center for Cyber Securityの創立所長であり、ニューヨーク大学タンドン工科大学の学務学事課の副課長。研究はデジタル法科学、生体情報、データ圧縮、ネットワーク・セキュリティ、ならびにセキュリティと人間行動を専門とする。
妥当すぎる解答かもしれませんが、SolarWindsのハッキングは、被害の規模や今後に起こる困難など、さまざまな理由から最も重要なハッキング事件だと思います。
SolarWinds事件は大きな警鐘でした。なにしろハッカーの侵入経路は、バグを修正し、システムのパフォーマンスを改善するために誰もが信頼するシステムアップデートソフトウェアだったからです。今回の件で言えば、SolarWindsのOrionネットワークマネジメントシステムですね。この事件でハッカーがダメージを与えたのはターゲットだけでなく、私達の公式アップデートに対する信頼もです。
ターゲットに含まれたのはMicrosoft(マイクロソフト)、インテル、シスコなどの大企業や、財務省、司法省、エネルギー省、ペンタゴン、それに (皮肉なことですが) サイバーセキュリティ・インフラストラクチャセキュリティ庁などの政府機関です。ターゲット一覧を見るだけでもハッカーのレベルの高さと、結果として私達の瀕する危機を察することができます。アタックはシステム上のノード全てが関わるモニタリングソフトウェアを意図的に狙ったのです。異常を検知したのは、外部組織のFireEyeでした。
しかし一番重要なのは、私達サイバーセキュリティに関わる者の多くが以前から考えてきたことが、この事件のさまざまな要素から明るみに出たことです。すなわち、サイバーシステムが新たな主戦場なのです。SolarWinds事件はその現実を国民だけでなく、いくつかの政府機関にも突きつけました。私達は兵隊を鍛えるように、サイバーセキュリティのプロも鍛えるべきです。プロに効果的で戦術的なツールを提供し、同時に進化し続ける脅威にどう適応し、反撃するかを教え込むべきだと思います。例えば、セキュリティ志向を高めるようなシミュレーション訓練などを使うといいでしょう。組織の中には、6週間のサイバーセキュリティ認定を受けたプロに頼るところもありますが、私達が直面している危機に対して、それで十分だと私は思えないのです。もっと真剣に取り組み、正しくトレーニングしないと、私達の日常にまで大きく影響する可能性があります。コロニアル・パイプラインのハッキングを見てもそれは明らかです。サイバーセキュリティに関しては、私達一般市民も危険に巻き込まれてしまうのです。
