サイバー攻撃の首謀者追う民間の技術者、組織越え連携模索

サイバー攻撃、首謀者追う　不正ソフト検出が4年で3倍　技術者、組織越え連携模索（24年6月30日　日本経済新聞電子版）

 

記事（小林伶）

 

（１）要点

政府機関や企業に対するサイバー攻撃の脅威が高まっている。

直近でもKADOKAWAがハッカー集団の攻撃を受け、動画共有サービス「ニコニコ動画」などへ影響が広がった。首謀者は誰なのか、その手口は――。

被害の抑止には攻撃の実態解明が欠かせない。日々解析に挑むセキュリティー大手、トレンドマイクロの技術者に密着した。

 

写真　打ち合わせをするトレンドマイクロの社員（東京都新宿区）

 

（２）東京都新宿区にあるトレンドマイクロの一室。リサーチャーの藤澤一樹さんは入手した電子ファイルを解析ツールにかけた。最近ネット上で拡散が危惧された、マルウエアが含まれるファイルという。

「マルウエア」

　情報の窃取やファイルの改ざんなどの機能を持たせた不正なソフトウエアを指す。

メールやアプリに紛れ込ませて標的のパソコンに感染させ、システムの中枢に入り込む。組織内データを暗号化し、解除と引き換えに身代金を要求するランサムウエアもこの一種だ。

 

（３）「藤澤さんが自作したツール」

電子ファイルの特徴を見分け過去に見つかったマルウエアと同一かを判別する。今回の調査対象としたファイルについては「Matched:COMEBAKCER（カムバッカーと適合しました）」という結果を導き出した。

 

 

 

（４）「北朝鮮が支援するハッカー集団「ラザルス」が関わった疑い」

１）「カムバッカー」

　感染した端末に攻撃の足がかりを作るマルウエア。北朝鮮が支援するハッカー集団「ラザルス」が使用しているとされる。

ラザルスは各国の銀行を攻撃し、日本の暗号資産（仮想通貨）関連企業も標的にしている疑いがある。

 

２）一連の調査で、電子ファイルの流布にラザルスが関わった可能性が確認された。

藤澤さんは「国家の支援が疑われる攻撃に絡む情報を蓄積し、傾向や動機を明らかにしていく」と冷静に語る。

 

（５）「加唐さんは文字列「コード」の中に攻撃者特定につながる情報を探す」

別のリサーチャー、加唐寛征さんはマルウエアの設計図に当たる文字列「コード」を注視する。攻撃者の特定につながる情報が見つかる可能性があるためだ。

 

写真　カムバッカーは感染した端末に攻撃の足がかりを作るマルウエア

 

１）「ウクのインフラ企業を狙うサイバー攻撃で使われたマルウエアが公表された」

ウクライナは4月、インフラ企業を狙うサイバー攻撃で使われたマルウエアを公表。

加唐さんはこれを検証し、膨大なコードの中から約30個の英数字を収集した。「暗号鍵」と呼ばれる文字列で、発信者情報を隠すといった目的で加えられたとみられる。

 

２）「露のハッカー集団「Sandworm（サンドワーム）」の関与を疑う」

狙いはロシアの軍情報機関との関係が指摘されるハッカー集団「Sandworm（サンドワーム）」の関与を確認すること。

サンドワームは遅くとも2010年代からウクライナの重要インフラに対し破壊攻撃を繰り返しているとされる。

 

３）「結果をデータベースに保存し参照できるようにする」

暗号鍵がサンドワームが過去に使ったものと同じであれば攻撃を担った疑いが強まる。しかし調査では過去例との共通項は確認できなかった。

加唐さんは「必要に応じてすぐに参照できるよう結果をデータベースに保存する」と新たな手掛かりを探す。

 

（６）「セキュリティー企業がサイバー攻撃事例の解析を進める」

セキュリティー企業がサイバー攻撃事例の解析を進めるのは、一義的には自社製品や顧客の防御力を強化する狙いがある。

１）過去に発見されていないマルウエアの挙動や攻撃者に関連する情報が判明すれば、製品に反映し安全性を高められる。

２）トレンドマイクロが23年に世界で検出したマルウエアなどは約1610億件に上り19年の約3倍。高度な攻撃も増えている。

同社幹部は「防御網を築くため業界を挙げて実態を解明する必要もある」と情報共有の重要性を強調する。

 

（７）「露のウク侵攻直前に行われた大規模なサイバー攻撃の実態をまとめた」

トレンドマイクロはロシアによる侵略直前にウクライナが受けた大規模なサイバー攻撃の実態を22年2月にまとめた。

ウクライナがロシアに帰属すると指摘する別集団の関与を指摘。波及する地域が拡大する恐れがあるとして注意を促した。

 

（８）「米国企業へのサイバー攻撃に中国人民解放軍が関与」

同業他社も独自調査を進めている。

米マンディアント（現在は米グーグル傘下）は13年、米国企業へのサイバー攻撃と中国人民解放軍の結びつきを指摘し、大きな反響を呼んだ。

 

（９）「分析結果を全て公表するわけにはいかない」

一方、サイバー空間の分析力はセキュリティー企業の競争力の源泉であることから、保有する情報を全てオープンにすることは難しい。解析の公表を受けた攻撃者側による手口の巧妙化や、被害組織が特定され信用毀損につながるリスクへの懸念も強い。

 

（１０）「政府は「能動的サイバー防御」、公益性が高い場合には企業も情報交換を」

有益な情報を官民で共有する場としては19年発足のサイバーセキュリティ協議会がある。

政府はサイバー攻撃を未然に防ぐ「能動的サイバー防御」の法整備に向けて検討を進める。高度な侵入・潜伏に対抗するため、官民における情報収集の強化も論点の一つとして浮上している。

日本でも重要インフラへの大規模攻撃といった迅速な対応を求められる事象が起きうる。佐々木氏は「公益性が高い場合には被害抑止を重視し、技術者らが組織の壁を越え円滑に情報をやりとりできる方法について議論を深める必要がある」と指摘した。

（小林伶）