2012年11月15日木曜日

グルジアとサイバー攻撃の話

tl;dr: 2008年にロシアとグルジアの間で南オセチア紛争勃発、当時のグルジアはネット普及率7%のネット後進国で、サイバー攻撃により政府や銀行など様々なサイトが落とされた。その後もサイバー攻撃は続いたが、その後のグルジアは海外の様々な企業や国家機関の協力を得て研究をすすめ、被害にあった感染パソコンをおとりにして逆にサイバー攻撃者に反撃。「備えよ、常に」「他国の例から学べ」「想定外はもう言わない」「サイバー攻撃へは官民一体で、国家連携であたるべし」を考えた時に、今と将来の日本は大丈夫かな?


グルジアでは2010年9月以降、政府機関や議会、銀行などがサイバー攻撃を受け、少なくともパソコン390台が感染し、米国や北大西洋条約機構(NATO)に関する文書が盗み取られていた。   
昨年3月に被害に気付いた政府は、被害にあった感染パソコンを「おとり」にして、わざとウイルス付きの偽文書を盗ませる作戦を展開。攻撃者が「グルジアとNATOの合意」というタイトルの偽文書を盗んだ時点で、攻撃者のパソコンを遠隔操作型ウイルスで監視し始めた。 
所有者とみられる男がグルジア政府の関係先をウイルスに感染させる指示をしている様子などを確認した上で、パソコンに装備されているウェブカメラで男の顔写真を撮影、先月下旬にネットに公開。
●英語の記事:


●グルジア政府が出した、今回の顛末についてのレポート:

・発端の、グルジアのサイトがハックされた話。いくつかのニュースサイトがハックされていたが、特定のページ(NATO関連等)だけが改ざんされていた。


・Malware がやっていたこと:

特定のキーワードに引っかかったら、ローカルからリモートサーバに全てのファイルを送る・証明書を盗む・ワードのファイルをハードドライブで検索・リモートデスクトップの設定ファイルを探す・スクリーンショットを撮る・マイクを使って録音・webcamを使って動画を録画・ローカルネットワークをスキャンして他のホストを探すなど。

・引っかかっていたキーワード


・ちなみに、390台のコンピュータが感染していたとされているが、そのうち70%がグルジア。5%はアメリカだったり、4%はカナダ、ウクライナ、フランス、中国だったり。

・ハッキングの進化:
2011年3月>ウイルスが重要文書や証明書を盗む
2011年9月>感染メカニズムの変更、アンチウィルス・ファイヤーウォール・侵入検知システムの回避メソッドが新たに追加
2011年11月>ウィルスが更に暗号化・難読化され、Windows7 の OS を感染させる
2011年12月>動画の撮影・スキャン・ネットワーク経由でコンピュータを感染させる
(バージョン2.1 から5.5まで進化)

・新しいバージョンのマルウェアは、複数のサーバから同時にテキストの形でダウンロードされ、一つのファイルに統合される仕組みに。



・グルジアの省庁、議会、銀行、NGOなどのコンピュータが狙われ、感染させられた。対抗策として、グルジアの3つの主要ISPで C&C IPアドレスをブロックし、CERT-GOV-GE (CERT とはComputer Emergency Readiness Teamのこと)が全てのグルジアの感染 IP を検知し、対処策とクリーニング用のツールを提供。Microsoft, Eset, Snort, Cisco などやアンチウィルス・侵入検知システム等のプロバイダーと協力し、様々なブラックリスト・ブロックリストなども見て、対処用のツールを作成。FBI、Department of Homeland Security, US Secret Service, USCERT, Governmental-CERT-Germany, CERT-Ukraine, CERT-Polska, Microsoft Cybersecurity Division とも協力。攻撃サーバをシャットダウン。法分析するため、ログファイルやシステムイメージを確保。

・調査の中で、感染したグルジアのコンピュータをコントロールするために使われていたサイトの IP と DNS が Russian Business Network (RBN、サイバー犯罪組織)であることが判明。マルウェアの中のコードに、全てのコミュニケーションチャネルが閉ざされた時に通信するために書かれていた URL には、Russian Business Consulting の公式サイトで、ここからも RBN へのリンクが見られる。スパムメールが admin@president.gov.geから送られるようになっているが、インドのWHOISに行くと住所登録がロシアの内務省で、そのお隣はロシアの連邦保安庁。

・グルジア側の逆襲。ラボのパソコンを感染させ、サイバーアタックをかけてきた侵入者に“Georgian-Nato Agreement”という偽のzipファイルを盗ませて、侵入者がしかけてきたものと同じウイルスを仕込んで相手を感染させた。BOT パネルにアクセスし、侵入者のコンピュータをコントロール。動画を撮影し、新しい悪質なモジュールの作成プロセスもキャプチャー。更にはどうやってこの悪質なソフトを使ってターゲットを感染させるかの指示を与えているメール(ロシア語)も取得。

ただ、ロシアとグルジアのサイバー攻撃の話は今始まったことではない。

下記は2008年の記事。


2008年8月にロシアとグルジアの戦争(南オセチア紛争)が起きているが、その直前の2008年7月20日、アメリカのサイバーセキュリティの研究家たちはグルジアの政府系サイトへのDDoS攻撃を発見。このサイバー攻撃をコントロールしているのはアメリカのサーバだった。ただし立ち上がって数週間の新しい物。その後続いたロシアからのサイバー攻撃のリハーサルだったのではないかと見られている。


当時のグルジアの人口は460万人で、あまりネットリテラシーも高くなく(国民の 7% がネットを利用。ソース)、サイバー攻撃によって多くの政府のサイトがアクセス不能になったが、ネットへの依存度が低かったために影響も少なかったという。ただ、政府のサイトが落ちていたせいで国内はもちろん、海外の親グルジアな人々に何が起きているのかの情報発信が妨げられてしまった。グルジアでは、メディア、コミュニケーション、交通関連の企業も攻撃を受けた。The National Bank of Georgia のサイトも改ざんされた。

サイバー攻撃はロシアの通信会社の配下にあるホスティングセンターから続き、ロシア語のサイト stopgeorgia.ru が DDoS攻撃に使われたソフトのダウンロードを可能にしていた。アメリカのコンピュータセキュリティの研究者たちは、グルジアのコンピュータに無駄なデータを大量に送り続ける botnet のトラッキングを続け、これはロシアの犯罪集団 Russian Business Network (RBN) の仕業だろうと語った。この攻撃では、過去に RBN が使っていたのと同じツールが使われており、RBN 管理下のコンピュータから攻撃が行われているケースも見られた。「今回の botnet は恐らく攻撃に先駆けて仕掛けられており、ロシアの空爆が始まった土曜日の前にアクティベートされたのだろう」。ただし、これがロシア政府の指示によるものだったという証拠はなく、ロシア政府は関与を否定している。


記事の中で、インターネットトラフィックのトラッキングを行うNPOのPacket Clearing Houseのリサーチディレクター、Bill Woodcock は、「サイバー攻撃は非常に安価。戦車のタイヤを一つ取り替えるぐらいの金額でサイバー戦争がまるごとまかなえる。やらない方が馬鹿でしょう」と語っている。「2008年のグルジアは、サイバー攻撃が実際に撃ちあう戦争と同時に起こった初めての例だが、今後こうした例は続くでしょう」と。
“It costs about 4 cents per machine,” Mr. Woodcock said. “You could fund an entire cyberwarfare campaign for the cost of replacing a tank tread, so you would be foolish not to.”

RBN は攻撃主体を隠そうとはしていなかった。「これは、攻撃の成果を自らの物にするためだろう」とこちらの記事 "Georgia Cyberattacks Linked to Russian Organized Crime" では書いている。更に、「軍の関与はなかったと思われる。軍が関与していれば、もっと重要なインフラも落とせたはず」と。

当時の記事:



なお、このグルジアへの攻撃の前年、2007年にエストニアがサイバー攻撃でインターネットが落とされている。"Russia accused of unleashing cyberwar to disable Estonia"DDoS 攻撃で政府、省庁、政党、メディアと金融、コミュニケーション系の企業のサイトが狙われており、手口がそっくり。

グルジアと逆で、エストニアは「ヨーロッパで最もネットが進んだ国」と言われており(ちなみに2007年当時のエストニアのネット普及率は57%)、オンラインバンキングや携帯で駐車料金を支払うのは当たり前、世界で初めてインターネット上で総選挙を2005年に行ったのもこの人口たった 134 万人しかいないエストニアで、以来2012年現在まで成功させてきている。

「サービスをオンライン化すると、サイバー攻撃のリスクが上がるのは当たり前。皮肉なことに、実は2007年に受けたサイバー攻撃は、エストニアのインターネットを安全にするための非常によい教訓だった。今は政治の世界にも、企業の世界にも、国際的に活躍するサイバーセキュリティ専門家がおり、サイバーセキュリティ戦略を持ち、法制度も整っている。潜在的な攻撃の可能性についても常に備えている。」「政府だけではなく、政府と企業や第三セクターが密接に協力してあたることが大事だ。(Cyber Defense League)」「2007年のサイバー攻撃についてもエストニアは隠さず明らかにし、国際社会に対して何が起きたのか、対抗策として何ができるのかを問い、世界中の民間企業とも話した。そして、ルーティングの変更や、インフラの変更にあたり、こうした攻撃にどう対抗していくかを専門家同士が交流して考えている。サイバー攻撃に対しては、一国でどうにかできるものではない。複数の国で、協力して対抗すべきである」




エストニアのインターネットセキュリティは現在ヨーロッパでもトップレベルで、150人から成る Cyber Defense League が存在し、NATOの Cooperative Cyber Defense Center of Excellence もエストニアにある。

日本は大丈夫かな。。。

Cooperative Cyber Defence Center of Excellence は、2007年のグルジアへのサイバー攻撃を受けて、"Cyber Attacks Against Georgia: Legal Lessons Identified"というレポートも公開している。

ところで、グルジアの近代史を少し振り返ると、帝政ロシアに支配されていたが、ロシア革命後の1918年に独立を宣言するも1921年に首都を制圧され、1922年にはソ連に加盟。1989年に東西冷戦が終結すると1990年にグルジア共和国に改名し、1991年に独立を宣言。1992年1月にクーデターが起こり、1992年から2003年まで、シュワルナゼが最高権力者に。2003年に選挙の不正疑惑が指摘され、25,000人の反対派市民が議場に乱入、シュワルナゼ大統領は議会から逃亡し、大統領を辞任し、ブルジャナゼが暫定大統領に就任。(バラ革命)

2004年に成立したサーカシヴィリ政権は、NATOとEUへの加盟推進、ロシア語からグルジア語への移行推進と英語教育の義務化、「抗露運動の歴史」を教える記念館の建設など、反露路線。ロシアにとってグルジアはカスピ海産原油パイプラインの存在等、中央アジアの原油を確保する上で密接な関わりがあり、南の玄関口である黒海へ連なる要衝に位置するので重要。またチェチェンとの対立を抱えるロシアにとって、チェチェンの周辺国の一角を成すグルジアと手を結びたい。が、グルジアは反ロシア、親米、親イスラエル路線。ちなみにアメリカにとっては、2005年に完成したアゼルバイジャンとトルコを結ぶバクー・トビリシ・ジェイハンパイプラインが、ロシアやイランを経由せずに中東の石油を得るための重要な手段であったため、その中継地であるグルジアは非常に重要だった。

2008年8月、南オセチア州を巡りグルジアとロシアの間で紛争が勃発、グルジアが敗北、そしてロシアとの外交関係を断絶。この直前の7月に、上記サイバー攻撃が行われている。

2009年4月9日、首都トビリシで、サーカシヴィリ大統領に辞任を要求する大規模な反政府集会が議会前広場で主要野党によって開かれ、6万人の市民が集結。2009年5月に軍部によるクーデター未遂事件が発生、グルジアはクーデター勢力がロシアの支援を受けていたと非難。この後サイバー攻撃は続き、2011年の3月に冒頭のウイルスが発覚し、グルジア政府による解析とサイバー反撃につながっていく。なお、今もロシアとグルジアは断交状態。

2012年10月の選挙の結果、バラ革命以降の長期政権となっていたサーカシヴィリ大統領が敗北、勝利した野党連合「グルジアの夢」はロシアでの事業で財をなした資産家イワニシュビリ氏が率いており、ロシアとの関係が改善されるのかが注目される。

で、やはり日本のセキュリティ対策はいかんぞなという記事が出てますね。"米国の専門家は、そんな可能性も考慮すべきだとした上で、「日本のセキュリティー対策には裏を読む戦略がない」と推察する。"。。。と。

ところでサイバー攻撃といえば、イスラエル。

Anonymousからのサイバー攻撃やら"Hackers declare ‘cyber war’ on Israel""Anonymous targets Israel" "Anonymous Steps Into Gaza Crisis" パキスタンからのサイバー攻撃やら"Pakistani hackers deface Israeli pages for BBC, Bing, Coke, Groupon, Intel, MSN, Skype, Xbox, more"。。

Disclaimer このブログは山崎富美の個人的なものです。ここで述べられていることは私の個人的な意見に基づくものであり、私の雇用者には一切の関係はありません。