ちょっとむかしのログ倉庫

◆ネット時代のスパイ活動、発信源は中国にあり
　～サイバー攻撃が激増、標的は政府機関や防衛関連企業
【NBonline：BusinessWeek　2008年4月21日】

Brian Grow （BusinessWeek誌、アトランタ支局記者）
Keith Epstein （BusinessWeek誌、ワシントン支局記者）
Chi-Chu Tschang （BusinessWeek誌、北京支局記者）
2008年4月21日発行号カバーストーリー 「The New E-spionage Threat」

　米大手コンサルティング会社、ブーズ・アレン・ハミルトンの幹部に宛てて、米国防総省から1通の電子メールが届いた。戦闘機、エンジン、レーダー装置など、インドが購入を希望する軍需品の情報が記されている。ごくありきたりのメールで、何ら変わったところはない。

　しかしこのメール、実は真っ赤な偽物だった。「Poison Ivy（ポイズン・アイビー）」という悪質なコンピュータープログラムが隠されており、売上高40億ドルの同社のコンピューターネットワークから機密情報を盗み出すのが目的だった。

　メールは国防総省から送られたものではなかった。正体不明の発信元から、韓国経由でブーズ・アレンに届いていた。犯人は、送信者と受信者にする人物の身辺を入念に調べ上げたに違いない。だからこそ、何ら疑う余地のないメールを捏造できた。メールを送り付けられた同社幹部が添付ファイルを開いていたら、キーボードによる入力内容がインターネット経由で謎の黒幕の通信拠点に逐一送られる仕組みになっていた。その通知先のインターネットアドレスはcybersyndrome.3322.org。実態不明の企業が登録したアドレスで、その本社は中国の揚子江岸となっている。

▼昨年度だけでサイバーセキュリティーが破られた事例は1万2986件

　米政府高官や元高官によると、米政府機関や防衛関連企業を標的としたこの手のサイバー攻撃は、2年ほど前から激増している。国家安全保障会議で要職を務めた経験のあるポール・B・カーツ氏は、「これは大規模なスパイ活動だ」と話す。米国土安全保障省のまとめでは、米政府機関のサイバーセキュリティー（コンピューターセキュリティー）が破られた事例は、昨年度全体で1万2986件。2年前の3倍だ。国防総省のグローバル・ネットワーク・オペレーション担当ジョイント・タスク・フォースを指揮するチャールズ・E・クルーム中将によると、米軍のネットワークへの昨年の侵入件数は55％増だという。

　ブーズ・アレンのような民間企業も、米軍同様に危険な標的であり、安全保障へのリスクという面では変わらない。クルーム中将はこう話す。「こうした企業のネットワーク上にも、米軍に関する情報は保存されている。軍の兵器体系の構築に関与しているからだ。それが敵の手に渡るのは御免だ。サイバー攻撃によって軍の活動が停止したり、妨害や損害を受けたりしたことはない。ただし、今のところはの話だ。彼らにその能力がないとは言えない」。

▼米政府が対策のための極秘作戦を開始

　2006年に攻撃が急増し始めると、各機関はソフトウエアの修正や保護などの緊急処置を急いで実施した。昨年夏には対策を本格化。米軍高官が防衛関連企業の大手20社のトップや代理人をひそかに国防総省に呼んで、脅威についてのブリーフィングを行うまでに至った。また、ビジネスウィークの調べによると、米政府はある極秘作戦に着手した。その名は「Byzantine Foothold（ビザンチン・フットホールド）」。政府中枢の機密ネットワークへの侵入に対する検出や追跡、無力化に取り組む作戦だ。

　さらに、ジョージ・W・ブッシュ大統領は1月8日、「Cyber Initiative（サイバー・イニシアティブ）」という命令書にひそかに署名した。サイバー攻撃に対する国の防御をイニシアティブするためのもので、総費用は数百億ドルに上る。命令書の内容を知る人物によると、この中には12件の個別目標が掲げられている。問題の緊急性と影響範囲を物語る目標もある。

　例えば、すべての政府機関は6月までに、内部ネットワークとインターネットをつなぐポート（通信チャンネル）の数を4000以上から100未満にまで減らす必要があると定められているという。国土安全保障省のマイケル・チャートフ長官は4月8日、大統領が署名したサイバー・イニシアティブを、サイバーセキュリティーを守るための「マンハッタン計画」（もともとは、第2次世界大戦中の原爆製造プロジェクトの暗号名）と称した。

▼「パソコンを買う程度の資金があれば、米国と対等に戦う力が得られる」

　だが、インターネットは巨大化しすぎて、もはや収拾がつかないとの懸念を抱く安全保障の専門家は多い。毎日のように新しい脅威が現れ、日増しに巧妙になっていく。もともとインターネットは、1960年代に国防総省の国防高等研究計画局（DARPA）が開発したネットワークが起源だ。我々は怪物を生み出してしまった――同省はそんな思いを抱き始めている。

　「米国を倒すには、陸軍も海軍も空軍も必要ない。いま私が使っているパソコンを買う程度の資金があれば、対等に戦える力が得られるのだ」と話すのは、米空軍サイバー部隊の司令官、ウィリアム・T・ロード大将だ。同部隊は、空軍のコンピューター防衛強化を目的として、2006年11月に編成された。

　また、コンピューターセキュリティー戦略の再整備に関して米軍に助言を行っている有力人物はこう話す。「インターネットを使ったハイテク戦争になれば、費用が安上がりで掃討の手間も少ない――軍高官らはずっと前からそう思い込んでいた。みんな今になって苦虫を噛み潰している」。

　米政府の抱える不安はそれだけではない。政府高官や元高官の話によると、最近の攻撃の多くは、他国政府の肝いりで訓練を受けたプロの仕業だというのだ。国土安全保障省の国家サイバーセキュリティー部門の元局長、アミット・ヨーラン氏は、「最近台頭してきた脅威は、民族国家の公認で行われる攻撃だ」と話す。米軍のある大物高官も、「敵の尻尾をつかむ方法を見いださねばならない。もたもたしていると、手も足も出せなくなって、深い後悔の念に駆られることになる」と懸念を示す。

　米軍や情報機関の関係者らは、サイバー界で米国の最大の脅威は中国だとにらんでいる。国防総省が米議会向けに作成した、中国の軍事力に関する年次報告書の内容が3月3日に公表された。その中に次のような一節がある。「過去1年間に、中国国内が発信元と見られる侵入行為で、米政府を含む世界各国の多数のコンピューターネットワークが標的となった」。ブッシュ大統領が署名したサイバー・イニシアティブの序文でも、中国について触れられている。

▼「米政府関係者らの主張は事実無根だ」

　在米中国大使館の王保東（ワン・バオドン）参事官（報道担当）は、中国に対する非難は“反中勢力”によるものだと主張する。ビジネスウィークの質問に対し、4月9日付の電子メールで寄せられた回答には、「中国政府の支援や主導でサイバー攻撃が行われているとの米政府関係者らの主張は事実無根だ。コンピューターネットワークのセキュリティーを脅かすハッカー行為などのサイバー犯罪については、中国政府は一貫して反対し、禁じてきた」とある。さらに、中国自身も被害に遭っているとし、「いくつかの国からハッカーによる侵入や攻撃をたびたび受けてきた」と述べている。

　インターネットでは、デジタル世界の特性を生かすことで、身元を伏せてスパイ行為や犯罪を行ったり、物理的な場所を突き止められなくしたり、有害プログラムを行き交わしたりできる。このため、攻撃を仕掛けているのが誰かを特定できないケースが多い。ネットワークセキュリティーの分野では“匿名性の問題”として取りざたされている。さながら、デジタル世界の仮面舞踏会だ。

▼本物にしか見えない偽メール

　米国家情報長官J・マイケル・マコネル氏は、政府のサイバーセキュリティー強化の旗振り役だ。ビジネスウィークの質問に対し、同長官府から書面で寄せられた回答では、ビザンチン・フットホールド作戦のような「特定のコードネームが付いた計画」や「侵入や被害状況の具体事例」についてはコメントを得られなかったものの、次のように述べられていた。

　「侵入に至った事件が、様々な政府機関や企業のコンピューターネットワークで多数発生している。その対象は重要な社会基盤や国防産業の基盤にも及んでいる」。大統領が署名したサイバー・イニシアティブの内容については、機密事項との理由で、米政府から公開を拒否された。

　ビジネスウィークは、冒頭で紹介したブーズ・アレン宛ての偽メールを入手した。中国のインターネットアドレスとのつながりが認められるこの偽メールを見ると、サイバー界で米国を狙う敵が、新手の技を身につけた手強い相手であることがありありとうかがえる。

　メールを送り付けられたのは、ブーズ・アレンの国際軍事支援プログラム担当副社長、ジョン・F・“ジャック”・ムルハーン氏。62歳の元米海軍将校で、同社の軍事コンサルタントとして33年のキャリアを誇り、諸外国への兵器輸出に力を発揮している。偽メールの送信日時は2007年9月5日8時22分21秒（米東部時間）となっている。

　メールの内容は、同氏が専門とする武器取引の分野のハイテク世界の慣習に沿っていて、違和感のないものだった。インドが購入を予定する戦闘機について、同国政府の要求事項をまとめたとする文面で、「米国、ロシア、インドの武器と航空電子工学機器の導入」や「インドへのソースコードの提供（現地でのコンピューター更新の可能性）」について言及。同氏には意味が伝わる専門用語や業界独特の言い回しが自然に使われていた。

　メールが本物らしく見えた理由は、送信者とされた名前にもある。スティーブン・J・モリーとなっていたのだ。米空軍のマイケル・W・ワイン長官府配下のチームで職務にあたっている文民だ。同氏の部隊の任務の1つに、米戦闘機の輸出に関する安全性評価がある。

　そんな同氏から、“インドのMRCAの提案要求書”（MRCAは多目的戦闘機の意）という件名で専門的な内容のメールが回って来ても、重大な問題が潜んでいると疑う余地はまずない。実際、その前週の8月28日にインド政府が本当に要求書を出したばかりで、偽メールの文言も本物の要求書の内容に沿っていた。しかもメールの中では、後日予定されていた空軍の公式発表や、合同会議での説明についても言及していた。これでメールはますます本物らしく見える。

▼パスワード保護などのセキュリティー対策を無効にする

　しかしこのメールは偽物だった。ビジネスウィークは、サイバーセキュリティーの専門家3人に依頼して、このメールが届くまでの経路と添付ファイルの内容を解析してもらった。それによると、攻撃を企てた何者かが送信したメールが、韓国のインターネットアドレスを経由し、ニューヨークにある米ヤフーのサーバーで中継されてから、ブーズ・アレンのムルハーン氏のメールボックスに届いたことが分かった。

　また、添付ファイルはマルウエア（悪意のある不正ソフトウエア）だった。このファイルを開くと、キーボードで入力した内容が記録されてしまう。また、米マイクロソフトのデータベースソフト「アクセス」のファイルに施されているパスワード保護などのセキュリティー対策を無効にするプログラムも組み込まれていた。米防衛関連企業などの大企業では、大量のデータ管理にこのアクセスのデータベースを使用していることが少なくない。

▼偽メールの発信元をたどると中国に

　サイバー攻撃で情報を盗み出す最近の手口として、このプログラムは決して高度な手法ではない。だが、「アクセスのデータベースに機密情報を保存していたら、このプログラムでセキュリティーを破られ、情報を読み取られてしまう」と、メールの分析を担当した匿名希望の専門家は話す（サイバーセキュリティーを専門に手がける有力企業の上級職の人物だが、国防総省、軍事関連企業、金融機関などを対象としたセキュリティーコンサルティングを行っている企業であることから匿名希望となった）。このマルウエアは、民間のコンピューターセキュリティー企業によって“ポイズン・アイビー”と名づけられた。

　だが実は、今回のマルウエアには、もっと悪質で厄介な機能が組み込まれていた。リモート管理ツール（RAT）と呼ばれる、被害者のパソコンを攻撃者が遠隔制御できるようにする機能だ。画面の表示内容を取り込んだり、ファイルを読み取ったりできてしまう。今回のツールは、被害者がウェブを利用している間に、マイクロソフトの「Internet Explorer」の背後でひそかに動作する。そして、黒幕の通信拠点との間でやり取りを行う。通信先は、cybersyndrome.3322.orgとして登録されているインターネットアドレスだ。

　ビジネスウィークは専門家に依頼して、cybersyndrome.3322.orgに対する追跡調査を行った。たどった先は、ドメイン名登録と電子メールサービスを無料で提供する中国大手サイト、3322.orgだ。3322.orgは、常州市（上海近郊の工業都市）のベンティアム（Bentium）と称する企業が登録していた。各方面のセキュリティー専門家によると、3322.orgが提供するドメイン名のコンピューターやサーバーは、有害プログラムの発信源や通信拠点として近年多く利用されている。これらのコンピューターから政府機関や企業のネットワークに送り込まれた有害プログラムの数は1万個を超えるという。こうしたコンピューターの多くは中国国内にあるが、他国にあってもおかしくない。

　3322.orgを開設したのはペン・ヨン氏。37歳のIT（情報技術）起業家だ。「当社はドメイン名登録サービスを提供しているだけだ。利用者の行動を完全に統制することはできない」とヨン氏は話す。ともあれ、ブーズ・アレンのムルハーン氏のコンピューターがポイズン・アイビーに感染すると、極秘情報が中国に漏れることになる。また、マルウエアはほかのコンピューターにも感染を広げていくものが多い。そうなると、感染先の機密情報も漏れ出る恐れがある。

▼偽メール受信者のムルハーン氏はすでに退職

　問題の偽メールを受信者のムルハーン氏本人が目にしたかどうかは不明だが、アドレスは正しかった。ビジネスウィークは3月20日、この件をブーズ・アレンに連絡。同社広報担当者ジョージ・ファーラー氏によると、同社はその後調査を実施したという。4月9日の時点で、同社ネットワーク内から問題のメールやポイズン・アイビーは発見されていないとのこと。同社のコンピューターセキュリティー担当者が、ムルハーン氏のパソコンと、同氏宛てのメールを受信した秘書のパソコンを調査したという。

　「我々はこの件をきわめて深刻に受け止めている」とファーラー氏は話す。なお、ムルハーン氏は3月で同社を退職。メールでコメントを求めたが回答は得られず、同社経由で申し込んだインタビューも断られた。

　空軍当局者にコメントを求めたところ、ロバート・M・ゲーツ国防長官府に話が回された。長官府からビジネスウィークへの回答はメールで寄せられた。それによると、他国の公認組織や非公認組織などの様々な集団から、国防総省の情報システムに対し、不正アクセスや何らかの悪事を狙うサイバー攻撃が行われているのは事実だという（資料）。だが、ブーズ・アレンが狙われた偽メールの件については、国防総省のコメントは得られなかった。また、送信者にされたスティーブン・モリー氏のコメントを得ようとしたが、空軍から認められなかった。

　しかし、ビジネスウィークが入手した通信記録によると、この偽メールについては、空軍内部でも何らかの動きがあったもようだ。モリー氏からムルハーン氏宛てとされたこの偽メールは、軍事アナリストのジェームス・マルベノン氏にも9月4日に届いていた。安全保障の専門家によると、マルベノン氏のアドレスがBCCに指定されていたものと思われる。

　マルベノン氏は米情報調査分析センターのディレクターを務めており、米国防機関や情報機関に対し、中国の軍備やサイバー戦略に関するコンサルティングを行っている。同氏は、疑わしい電子メール、有害プログラム、ハッカー集団などの情報を表計算ソフト「Excel」で取りまとめ、関係機関に伝えている。

　モリー氏からのメールを不審に思ったマルベノン氏はその翌日、これはインドの迷惑メールなのかと問い合わせるメールをモリー氏に送った。

　数時間後、モリー氏から返信が届いた。「申し訳ありません。誤って送信されたメールです。削除してください」。

　マルベノン氏はこう返した。「ご心配なく。最近、トロイの木馬を仕込んだアクセスデータベースが中国から大量に届くので、念のため確認したまでです」。

　モリー氏から来た返信はこうだった。「こちらのネットワーク担当者たちは、このメール誤送信について、何らかの悪意が絡んでいるとして調べています。何でしょうね」。

　調査が行われたのかとのビジネスウィークの質問に対し、空軍も国防総省も確認は避けた。国防総省の広報官によると、攻撃については当局や防諜機関に回る手はずになっているという。この偽メールの件を調査しているかどうかや、どの機関が調査担当かについては、明らかにしてもらえなかった。

▼重要機関を狙い撃ちした新手の攻撃が急増中

　ブーズ・アレンから秘密データを盗み出そうとした行為を単独で見れば、さほど深刻ではないかもしれない。だがポイズン・アイビーのような新手のネット侵入手法は次から次へと登場する。こうした手法では、ファイアウオールの設置やウイルス対策ソフトウエアの更新など、従来の防御策はほとんど役に立たない。敏腕ハッカーはコンピューターネットワークへの新たな侵入方法の開発を進め、世間に知られていない脆弱性を利用することもあると国防総省関係者は話す。

　米空軍ネットワーク運用センター（バークスデール空軍基地）を指揮するワード・E・ハインケ大佐は、「現状では防衛側より攻撃側の方がはるかに優勢だ」と語る。ビジネスウィークが2月に行った最初の委託実験では、主要34種類のウイルス対策ソフトウエアのうち、ポイズン・アイビーを検出できたのはわずか11種類。大手セキュリティー企業が発売する数種類のマルウエア検出プログラムでは、ムルハーン氏宛ての偽メールは“ウイルスなし”と判定された。

　この2年間、ムルハーン氏宛ての偽メールのように、狙った標的に合わせて内容を工夫したメールが、米政府機関の関係者や防衛関連企業の幹部宛てに大量に届いている。情勢に詳しい関係筋によると、ネットワーク上の機密情報を狙われた経験がある米省庁は少なくとも7つ。国防総省、国務省、エネルギー省、商務省、保健福祉省、農務省、財務省だ。

　また、政府関連のネットワークセキュリティー担当者および元担当者によると、防衛関連企業では、米ボーイング、米ロッキード・マーチン、米ゼネラル・エレクトリック、米レイセオン、米ゼネラル・ダイナミクスが標的となった。

　米政府機関のコンピューターの防御は国土安全保障省が統轄している。同省のローラ・キーナー広報官は、個別の侵入事例についてのコメントは避けたものの、ビジネスウィークの質問に対し、書面でこんな回答を寄せた。

　「米国の政府を標的としたここ数年の悪質なサイバー攻撃については、我々も認識し、防御を行ってきた（資料）。我々はこの脅威を深刻に受け止めている。攻撃の巧妙化、選別化、普遍化が進んでいることについても、引き続き注視していく（資料）」。ロッキード・マーチン、ボーイング、レイセオン、ゼネラル・ダイナミクス、ゼネラル・エレクトリックの各広報担当者からはコメントが得られなかった。セキュリティーに関しては話せないとの方針を挙げる企業もあった。

　コンピューターの感染急増を背景として始まったのがビザンチン・フットホールド作戦である。この取り組みに詳しい3人の関係者によると、これは、攻撃者の発見と駆除、及び将来のシステム保護を目的とする極秘作戦である。さらに政府のサイバーセキュリティー専門家が自ら逆ハッキングを行うこともある。つまり、有害プログラムを追尾し、攻撃元のハッカー自身のコンピューターシステムを調査するということだ。

　ビジネスウィークの調べでは、ビザンチン・フットホールド作戦の対象となった侵入事例については、インテリジェンス・コミュニティー・アセスメント（ICA）と呼ばれる機密文書に詳しく記されており、ビザンチンにちなんだ名前がそれぞれにつけられている。

　ICAは数カ月前から、米情報機関高官や国防総省、外部評価を行うサイバーセキュリティーコンサルタントなど、限られた人の間でのみ回覧されてきた。12月までは、ICAの内容の詳細は、米議会の情報委員会にすら伏せられてきた。

▼「ダイ・ハード4.0」のサイバー戦争の現実味

　現在、上院情報委員会のジョン・D・ロックフェラー委員長（民主党、ウエストバージニア州選出）は、同僚の上院議員らに対し、ビザンチン・フットホールド作戦についてひそかに伝えていると言われている。活動に必要な支出について支持を集めるためである。その支出の多くは、政府の会計簿に記載されていない極秘の“闇予算”だ。

　これについてロックフェラー氏のコメントは得られなかった。1月には、上院情報委員会のクリストファー・“キット”・ボンド副委員長（共和党、ミズーリ州選出）付きのスタッフが同氏に対し、非公開の証言や機密文書への補足を強く求めた。これには、同氏がニュージーランドへの外遊に向かう飛行機で見た映画「ダイ・ハード4.0」も関係している。この映画では、サイバーテロリストがFBI（米連邦捜査局）のネットワークに侵入。金融データを強奪し、ワシントンに交通麻痺を引き起こした。

　ハリウッド映画が描く世界は、皆が思うほど現実離れしていないとボンド氏は話す。「機密事項についてはお話しできないが、映画に出てきた事例は、サイバー戦争で実際に起こり得る状況だ。いくつかの例外を除けば、本当に起きてもおかしくない。その点ははっきり申し上げておきたい」。

　攻撃で多用される手法の1つが“フィッシング（phishing）”だ。インターネットのメールやウェブサイトを使い、信頼の置ける組織や人物になりすますことで、サイバースパイが情報を盗み出す手口を指す。1990年代半ば、情報を盗むハッカーが現れ始めた頃に、釣りを意味する“フィッシング（fishing）”のつづりをもじってこの言葉が生まれた。

　フィッシングの中でも、特定の個人に標的を絞った攻撃は“スピアフィッシング（spear phishing）”と呼ばれる。政府機関や防衛関連企業を狙ったメール攻撃はその1つであり、いわばネット版のレーザー誘導ミサイルだ。スピアフィッシングを行う攻撃者は、狙った人物の仕事や交友関係にかかわる情報をまず集める。これには、公開されている情報や、事前に感染させたほかのコンピューターから盗み出したデータを利用することが多い。そして、それらの情報をうまく盛り込んだメールを作成することで、標的の人物を信用させ、メールを開かせる。

▼進化を続ける悪質プログラム

　スピアフィッシングでは、セキュリティー専門家が“ネット偵察”と呼ぶサイバースパイ手法が活用される。ブーズ・アレンを狙った攻撃では、メール発信者のモリー氏についての情報を犯人側は詳細に把握していた。本名、肩書き（北東アジア部長）、職務内容、メールアドレスなどだ。ネット偵察は驚くほど簡単に進むこともある。米グーグルでの検索が足がかりになることが多い。例えば、4月9日の時点で、国防総省の空軍関連のメールアドレスを検索してみたところ、空軍関係者や部署の現在及び過去のアドレスが8680件も見つかった。

　こうして集めた情報をうまく取り入れた偽メールを作成し、悪質なプログラムを埋め込んだウェブサイトへのリンクや添付ファイルを添えておく。あとはメールを送信して、標的がこのメールを開くのを待つだけだ。これで犯人は、防御が固められたネットワーク内部へ堂々と侵入でき、ポイズン・アイビーのような有害プログラムでコンピューターを乗っ取ることができる。

　こうした攻撃パターンに米国家安全保障局のアナリストたちが気づき始めたのは2007年半ばだった。その頃、様々な機関や防御関連企業のネットワークで、特定の個人宛ての文面で不正なファイル（「パワーポイント」のプレゼン、「ワード」の文書、「アクセス」のデータベースなど）を添付したメールが届くようになっていたのだ。

　従来は公にされていなかった侵入事例もある。2005年秋、アメリカン・エンタープライズ公共政策研究所（AEI）が受けた攻撃だ。AEIは保守系シンクタンクで、その要職経験者や、役員に名を連ねる企業幹部たちは、ブッシュ政権との関係が深い。AEIが受けた攻撃に詳しいサイバーセキュリティー専門家によると、この攻撃に憤慨したホワイトハウスは、AEIのウェブサイトに補佐官らがアクセスできないようにする措置を半年以上も講じた。国防総省も同様の措置を行い、期間はさらに長かったという。

　攻撃手法を調査したコンピューターセキュリティー専門家らによると、次のような仕組みであることが判明した。AEIのウェブサイト（www.aei.org）の先頭ページに、ジャバスクリプト（ウェブページ上で動作するプログラム言語）の数行のプログラムが不正に埋め込まれ、ユーザーがページを開くと直ちに動作する仕掛けになっていた。このプログラムによってユーザーは、気づかぬうちに別のサーバーに転送され、そこからマルウエアを送り込まれる。そしてこのマルウエアが、ユーザーのハードディスクに保存されている情報を中国のサーバーに送信するという仕組みだ。この調査に携わったセキュリティー専門家の1人に話を聞いたところ、サイバー調査官らはジャバスクリプトの不正プログラムを駆除できなかったそうだ。何回削除しても、そのたびにプログラムは勝手に復活したという。

　一方、AEI側の説明は食い違っている。2007年8月にAEIのネットワーク担当者の不注意で短時間だけ再発したことがあったが、それ以外に再発はなく、問題のコードの駆除も難しくなかったという。

　ビザンチン・フットホールド作戦の対象となった侵入については、政府からはまだ公表されていない。ビジネスウィークの調べでは、過去にあった事例としては、米国務省情報調査局のネットワークへの侵入事件がある。同局は、政府情報機関の活動と政府他部門との仲立ちとなる部局で、非常に高い機密性が求められる。

　本件に詳しい複数のネットワークセキュリティー専門家によると、この侵入では、世界各国に派遣されているCIA（米中央情報局）諜報員にもリスクが及んだという。事件への対応は、内部危機への対処としてとらえられるようになった。対策チームは24時間体制でマルウエアの検出に取り組み、最新状況をホワイトハウスに逐一報告していたという。

▼不正侵入への対策は、まるで“モグラたたき”

　攻撃の始まりは2006年5月。国務省東アジア太平洋局の職員がメールの添付ファイルを何気なくクリックしたことがきっかけだった。何の変哲もないメールに、議会演説のワード文書が添付されていた。しかしこの文書にマルウエアが組み込まれていた。バックドア型トロイの木馬（コンピューターに不正侵入するための“裏口”を開ける有害プログラム）だ。このバックドアを通じて、マルウエア開発者が国務省中枢のネットワークに入り込めるようになっていた。

　やがて、国務省管轄の世界各地のコンピューターでほかにも侵入が発生していることが、サイバーセキュリティーエンジニアによって確認され始めた。このマルウエアは、マイクロソフトのオペレーティングシステムに潜む、その時点では未知の脆弱性を利用するものだった。修正プログラムの開発はすぐには終わらない。エンジニアたちがなすすべもなく見守っている間も、国務省のデータがバックドアからインターネットに流れ出ていく。

　結局、脆弱性自体は修正できなかったものの、それ以上の感染を防ぐための応急措置を考え出しい、それで対応することにした。また、インターネットへの接続を一時的に切断した。

　当時現場に招集された緊急対策チームのメンバーの1人によると、対策はさながら“モグラたたき”の様相だったという。サイバーセキュリティー専門家が措置を施し、黒幕の通信拠点に対する発信を遮断したと思ったら、別の発信元がどこからともなく現れる、という状況だった。

　国務省によると、この感染の駆除は完了したという。ただしそれには、感染した大量のコンピューターやサーバーの“消毒”と、パスワードの変更が必要となった。

　一方、マイクロソフト自身が作成したパッチが提供されたのは2006年8月。国務省の感染から3カ月も後だった。同社の広告担当者からは、この件についてのコメントは得られなかった。「マイクロソフトはここ数年、インターネットの利用ユーザーを保護するための包括的な取り組みを続けてきた」とのことだ。

▼中国はスパイ疑惑を強く否定するものの…

　最近の波状攻撃の発信源をたどると、行きつく先はどこか。米高官らの間には、その答えに疑いの余地はない。「ビザンチン関連の攻撃の発信源は中国だ」（米空軍ハインケ大佐）。

　米軍機関、サイバーセキュリティー機関、情報機関の高官及び元高官など、ビジネスウィークが話を聞いた十数人が口を揃えるのが、台頭著しい最大の敵は中国だということだ。それも、悪党一味や新鋭のハッカーがたまたま中国人という事例ばかりではない。

　米国家安全保障局の元幹部で、現在は米コンピューターセキュリティー会社サイバー・ディフェンス・エージェンシーの社長を務めるO・サミ・サジャリ氏によると、中国人民解放軍では“数万人規模”の訓練兵が米国のコンピューターネットワークに攻撃を仕掛けているという。人民解放軍は世界有数の規模を持ち、年間予算は570億ドルに及ぶ。

　“数万人”という数字が正しいかどうかについては、ビジネスウィークは確認が取れなかった。もっと少ないとの見方を示す専門家もおり、ハッカーは1人でも甚大な被害を引き起こすことが可能だと指摘する。サジャリ氏は、「米国にとってこの中国の動きは、（旧ソ連の）スプートニク打ち上げ並みに衝撃的だという認識が必要だ」と語る。当の中国はスパイ疑惑を強く否定し、軍備は純粋な防衛目的だとしている。

　米政権中枢はこの危機をどのように認識しているのか。それを示唆する発言も数カ月前から聞かれるようになっている。2月27日、米上院軍事委員会での証言で、国家情報局長マコネル氏は、脅威の発信源は中国だとの意見に同意。議会で同氏は、情報の盗難より改ざんの方が懸念が大きいと述べた。

　「システムにデータを入力できるということは、破損もできるということだ。マネーサプライ、送配電系統、交通制御、そういったデータが破損される事態も起こり得る」。そして、「政府機関の保護は十分でないし、民間企業の保護も十分でない」と総括した。

　中国政府を後ろ盾としたネット攻撃の懸念は、昨年にはドイツ、フランス、英国にも広がった。英情報局保安部（MI5）は昨年11月、国家公認と見られる中国人ハッカーの行為で企業ネットワークへの侵入と機密情報盗難が多発していることを確認。同局のジョナサン・エバンス長官名で、企業、会計事務所、法律事務所など300社に対し、注意を促す異例の書簡と、侵入の防御について助言を得られるネットワークセキュリティー専門家のリストを送付した。

　英コンサルティング会社のコントロール・リスクスのピーター・ヤップ氏は、MI5の書簡がきっかけでいくつかの企業と契約したセキュリティーコンサルタントだ。「よくあるハッカー話だとして、他人事のようにとらえる傾向が見られるのは、ちょっと信じがたい。ジェームズ・ボンドの映画を見ているかのようだ。『自分がこんな目に遭うことはない』と考える人が非常に多い。だが実際に起きている事態なのだ」とヤップ氏は話す。

　ネットワークの防御の網をかいくぐってマルウエアを送り込む悪党の正体は、一筋縄ではつかめないことがある。コンピューターセキュリティー専門家の中には、米防衛関連機関を狙うサイバー攻撃に中国政府が関与しているとの説に疑問を抱く者もいる。情報システムセキュリティーの専門家で、企業のネットワーク保護にも関与している、ロンドン大学経済学部のピーター・ソマー氏はこう話す。「中国政府が公認で攻撃を仕掛けるなら、検出されないようにするのではなかろうか」。

▼ハッカーが大挙して利用する「3322.org」

　この2年間、米国など各国の政府機関、防衛関連企業、一般企業のネットワークを標的とした様々な攻撃では、中国のドメイン名サービスで登録されたインターネットアドレスが通信拠点となっていた。ペン・ヨン氏の3322.orgはそんなサービスの1つだ。3月下旬、ビジネスウィークはペン氏に直接話を聞いた。常州市にあるグレーのタイル張りマンションの14階の1室。3322.orgはここを拠点として、計5人のスタッフで運営されている。

　ペン氏が3322.orgを設立したのは2001年。手持ち資金1万4000ドルを投じて立ち上げた。増えつつあった中国のネットユーザーがウェブサイトを登録してデータを公開できるようにすることが目的だった。「このサービスはきっと大人気になると思った。ブロードバンド、光ファイバー回線、ADSLによるインターネット接続が登場していたことが特に大きい」とペン氏は話す。

　予想通り、3322.orgは人気を呼んだ。ペン氏によると、このサービスを通じて登録されたドメイン名は100万件を超える。末尾が.com、.org、.netのトップレベルドメイン名を登録する場合は有料で、年間14ドルだという。だが、サイバーセキュリティーの専門家や国土安全保障省コンピューター緊急対応チーム（CERT）によると、3322.orgは別の意味でも人気となった。ハッカーが大挙して利用していることだ。

　その理由は、3322.orgとペン氏の類似サイト5カ所では、ダイナミックDNSという機能を利用できることにある。インターネットの世界では、コンピューターの場所を数字の羅列で表す。これをドメイン名に動的に対応づけることができるのがダイナミックDNS。いわば、インターネットの世界の書き換え可能な電話帳だ。例えば、cybersyndrome.3322.orgという名前を、登録されたインターネットアドレス61.234.4.28に対応づけるのが3322.orgの役割だ。ビジネスウィークが行った分析によると、ブーズ・アレンの攻撃で使われたマルウエアでは、中国のこのアドレスのコンピューターが通信先となっていた。

　SANSインターネット・ストーム・センター（ネット脅威監視グループ）の侵入アナリストとしてベルギーを拠点に活動するマールテン・バン・ホレンベーク氏はこう話す。「ハッカーたちが3322.orgのようなサイトを使うようになったのは、マルウエアの通信先のコンピューターを特定の名前で指定するためだ。中国のインターネットアドレスを書き取るのは比較的難しいため、こうする方がハッカーには好都合だ」。

▼問題のサイト運営者の見解は…

　3322.orgをはじめとするペン氏のサイトは、米政府機関や民間企業にとって懸念材料となっている。ビジネスウィークは、米ネットセキュリティー会社チーム・カムリーが3月7日付で顧客宛てに送付した非公開の報告書を入手した。その中には、3322.orgに絡んだ攻撃が最近相次いでいることが記されている。その報告によると、3月上旬、チーム・カムリーは米軍関連機関から偽メールを受け取った。

　パワーポイントファイルが添付され、マルウエアが組み込まれたこのメールは、スピアフィッシングだった。このマルウエアの通信拠点となるコンピューターは、実はcybersyndrome.3322.orgだったという。ブーズ・アレンの攻撃でも使われた、中国で登録されたコンピューターだ。このcybersyndromeというインターネットアドレスのコンピューターが中国国内にあると断定はできない。だが、このコンピューターと直接通信するコンピューターの上位5台は中国国内にあり、4台は国営の大手インターネットサービスプロバイダーに登録されていたと報告書は記している。

　チーム・カムリーの調査に詳しい人物によると、同社が入手したマルウエアのサンプルのうちで、3322.orgで登録された通信拠点とやり取りする仕組みのものは1万710個に上るという。そのほか、3322.orgで登録されたコンピューターから攻撃を受けたとして報告書で名前が挙がっている団体には、チベットに自由を求める学生の会（SFT、活動家組織）、欧州議会、USバンコープ（USB）がある。チーム・カムリーからコメントは得られなかった。米政府も、ペン氏の一連のサービスを名指しで問題視している。

　昨年11月28日付けで国土安全保障省のCERTから出された極秘報告書を、ビジネスウィークは入手した。タイトルは“民間ネットワークへの影響が懸念されるサイバー攻撃の事例”。その中で、政府のサイバー監視担当者が米企業のIT担当者に対して注意を促している。セキュリティーソフトウエアを更新して、スピアフィッシング攻撃の発信元となっている複数のインターネットアドレスからの通信を遮断するようにとの注意だ。

　「こうしたサイバー事件の巧妙さと規模から分かるように、攻撃は組織立って行われ、民間企業のシステムが狙い撃ちにされている」と報告書は述べている。名前を挙げられたサイトの中には、3322.org、8800.org、9966.org、8866.orgがあった。いずれもペン氏のサイトだ。国土安全保障省及びCERTからは、この報告書についてのコメントは得られなかった。

▼中国政府が関与している可能性

　ペン氏は、自分が提供するサービスをハッカーが有害プログラムの送信や制御に使っているのかどうか、全然知らないという。3322.orgを使うハッカーはなぜ多いのかと尋ねてみたところ、「多いのですか？」との返事だった。

　米国のコンピューターへのサイバー攻撃については、自分の会社の責任ではないとペン氏は言い、「当社はいわば、道路を舗装しただけだ。その上を誰がどんな車で通るかは利用者側の問題だ」と話す。最近は、新たに立ち上げたビットコム・ソフトウエア・テクノロジーというソフトウエア会社で、インターネット電話関連の開発にほとんどの時間を費しているという同氏。昨年には愛車を黒色のレクサスIS300に変えた。自社のウェブサイトや、そこで登録されたインターネットアドレスが米CERTの報告書で名指しされていたとは知らなかったと話す。4月7日には、サイトを閉じて米機関に連絡するつもりだと話していた。

　ドメイン名cybersyndrome.3322.orgのコンピューターを誰が登録したのか、氏のデータベースで調べてもらったところ、甘粛鉄道通信信息という会社で登録されているとのことだった。中国鉄道省系列の地域通信会社だ。登録者の氏名については、守秘契約を理由に教えてもらえなかった。「ユーザー情報を知りたいなら、警察に話を通してほしい」とペン氏は話す。

　中国国内のコンピューターから米国の機関を攻撃させたくないと中国政府が本当に考えているのなら、大規模な攻撃を同政府が見過ごしているのは辻褄が合わないと、米国のサイバーセキュリティー専門家は指摘する。「中国のインターネット統制の厳しさは世界でも指折りだ。ネット上のあらゆる行為に当局の許可が必要だ」（サイバー・ディフェンス・エージェンシーのサジャリ氏）。3322.orgに関するビジネスウィークからの質問に対し、中国政府広報官のコメントは得られなかった。

　ペン氏自身は、「よかれと思って開設しているものをハッカーに悪用されると、ほとんどどうしようもない」と話す。また、自分で厳正に対処しようという気になるような措置や制度も同国政府にはないという。「通常当社は、こうした問題に対しては、該当者へのサービス停止という形で対処する。しかし我が国の法律では、こうした問題への対応方法が厳密には定められていないため、サービスを停止しようにも手が出せないこともある」（ペン氏）

　手が出せない――それは米政府も同じだ。

c 2008 by The McGraw-Hill Companies, Inc. All rights reserved.

◆サイバー攻撃にさらされる市民活動団体
　～チベット解放やダルフール救援を訴えると標的に
【NBonline：BusinessWeek　2008年4月23日】

Brian Grow （BusinessWeek誌アトランタ支局記者）
米国時間2008年4月11日更新 「Activist Groups Under Cyber Attack」

　25歳の薬剤師コナル・ワトソン氏は2007年6月、国際団体「自由なチベットを求める学生の会（SFT）」（本部：米ニューヨーク）英国支部の役員の座を退いた。この時、インターネット上でワトソン氏の行動を注視している人物がいた――ただし、ワトソン氏の友人ではない。

　時間を見つけてはチベットの解放運動に取り組んできたワトソン氏は、退任の挨拶と新しいアドレスを知らせる電子メールを一斉同報で送信した。ビジネスウィークも確認したこのメールには「このたびSFT英国支部の役員を退くことになりました」という文面が記されていた。

　9カ月後、コナル・ワトソン氏の名前とその挨拶文がSFTを不安に陥れた。このメッセージをこっそり利用したサイバー攻撃が仕掛けられたのだ。SFTは、中国が発信源だとにらんでいる。

　2月19日、SFTのラドン・テトン代表（32歳）をはじめとする幹部メンバーは受信ボックスに新しいメールが届いているのを見つけた。差出人は「コナル・ワトソン」。新しい活動メンバー候補の履歴書を後で転送すると知らせるメールだった。

　「アレックス、ベン、SFTの皆様へ」という書き出しのメール文面をビジネスウィークも確認した。「みんなが勇敢にチベット解放のために闘っているというのに、あまり役に立てず本当に残念だ。昨日、僕のチベット人の友人が訪ねてきて、その甥のリンゼン・イエシェ君をSFTに推薦してくれるように頼まれた（中略）近々、彼の履歴書をメールで送るので、よろしく。コナル。追伸、このチベット人の友人は信頼できるし、その甥も信頼できる人物だ」。

　それから1時間して履歴書が送られてきた。だが不審に思ったSFT英国支部のメンバーはワトソン氏に電話して、メールを送ったかどうか尋ねた。彼は送っていなかった。SFTの幹部は警戒して誰もその履歴書を開封しなかった。

　この見知らぬ攻撃者は、一体どうやってコナル・ワトソン氏のことをこれほど詳しく知ることができたのだろう。「メールを盗み見られたか、内部関係者の仕業かもしれない」とワトソン氏は言う。SFT英国支部のメンバーにはこれまでも嫌がらせの電話がかかってきてはいたが、インターネットを使った攻撃を受けたのは初めてだった。

▼増加するスピアフィッシング（標的を絞ったフィッシング詐欺攻撃）

　急増するサイバースパイ行為で標的となっているのはSFTだけではない。被害を訴えているケースはおびただしい数に及ぶ（BusinessWeekチャンネルの記事を参照：2008年4月21日「ネット時代のスパイ活動、発信源は中国にあり」）。

　米国政府や防衛関連企業から大手銀行、有名な市民活動団体などを標的にして、巧妙な手口で悪質なプログラムコードを仕込んだ何百万通もの同様な電子メールがインターネットを通じて送りつけられている。

　その目的は、コンピューターに侵入して機密情報を盗み出し、攻撃を仕掛けた“主”に有用情報をもたらすことにある。特定の標的に電子メールで攻撃を仕掛ける“スピアフィッシング”は、新たなサイバー攻撃としてインターネット上で大きな脅威となっている。

　スピアフィッシングによるデジタル詐欺行為の特徴は、コナル・ワトソン氏名義でSFTのメンバーに送信された謎の電子メールに明瞭に表れている。ワトソン氏を発信者に見せかけるだけでなく、活動から退いたことを心苦しく思っていると、読み手の同士的心情に訴える内容に仕立てられていた。メールには「活動をやめてからも、この数カ月間、チベット解放のために行った様々な有意義な活動を思い出している」と書かれていた。さらに「チベット人の友人」から預かった履歴書をすぐに送ると知らせ、受信者を信用させようとしていた。

　米サイバーセキュリティー会社トータル・インテリジェンス・ソリューションズ（TIS）のマシュー・ディボスト社長はこれを「心理戦術の一環だ」と語る。悪質メールの受信者に狙い通り、添付ファイルを開封させたりリンクをクリックさせたりするための手段だ。成功すればファイアウォールやウイルス対策ソフトの防御をくぐり抜けられる。

　元米国家安全保障会議担当（NSC）大統領補佐官のポール・カーツ氏は、こうした電子メールは「サイバースペースにおける精密誘導ミサイルのようなものだ」と指摘する。「標的まで誘導して爆撃する代わりにデータを奪い取っているのだ」。

▼中国政府は関与を否定

　SFTの幹部は、ワトソン氏になりすました攻撃の犯人は中国にいると主張している。問題の電子メールを調査したサイバーセキュリティーの専門家の報告によれば、偽の履歴書に含まれていた悪質プログラムは、「scfzf.xicp.net」というサーバーに連絡を取るものだったという。そのサーバーのIPアドレスは、中国の大手国営インターネット接続サービス事業者（ISP）が中国江蘇省地域に割り当てたものだ。

　専門家によれば、実際にはそのサーバーは中国国内に限らず世界中のどこにあってもおかしくない。中国のISP経由でインターネットに接続している中国内のコンピューター自体が、悪質なプログラムに感染している可能性もあるからだ。この場合、ハッカーは、別の国から中国内のコンピューターを踏み台にして攻撃を仕掛けることができる。ビジネスウィーク独自の調査では「scfzf.xicp.net」サーバーの所在地を確認できなかった。

　中国はこうしたハッカー攻撃への関与も支援も完全に否定している。ビジネスウィークがメールで行った質問に対して、在米中国大使館の王保東（ワン・バオドン）参事官（報道担当）は、「コンピューターネットワークのセキュリティーを脅かすハッカー行為などのサイバー犯罪については、中国政府は一貫して反対し、禁じてきた」と回答（資料）。中国政府が民間のハッカーを雇って情報収集や諜報活動を行うことはないと述べた。

▼周到に準備されたハッカー攻撃

　セキュリティーの専門家の分析によれば、SFT英国支部に送られた偽履歴書に仕込まれていたのは「Revzin.doc」と呼ばれる悪質プログラムで、米マイクロソフトの文書作成ソフト「Word（ワード）」の旧バージョンの持つ脆弱性を突くものだ。これがコンピューターの内部に侵入すると、まず中国語のウェブサイト「www.windowsupdata.net」のサーバーに接触。そして新たなプログラムが感染したコンピューターに書き込まれる。専門家の検証では、市販のウイルス対策ソフト32製品のうち、3月半ば時点でこの悪質プログラムを検知できたのはわずか4製品だけだった。

　スピアフィッシングをはじめとする2月以降のサイバー攻撃に、SFTの活動家たちは不安を募らせている。一連の攻撃が始まった時期に、中国政府との緊張はかつてなく高まった。先頃チベット自治区の首都ラサでの騒乱を中国が武力鎮圧したことに加え、8月から中国で開催されるオリンピックに先立って世界各地を巡って北京に向かう聖火リレーで、毎日のように妨害行動が起きているためだ。

　「一番残念なことは、こうした攻撃は皆、（中国ハッカーが）かなり以前から周到に準備してきたということです。事態はきわめて深刻です」と、SFTのテトン代表は憂慮する。「まともじゃありません。心を病んでいると言うほかない」。

▼スーダン・ダルフール支援団体も標的に

　中国政府や中国の政策に批判的なほかの団体も、謎のサイバー攻撃にさらされている。3月下旬、TISのアナリストは国際団体「ダルフール救援連合」から依頼を受け、コンピューターネットワークへの不正侵入を排除した。同団体はワシントンに本拠を置く非営利団体で、内戦で戦火に引き裂かれたアフリカのスーダン南部地域の支援のため、中国政府の対スーダン政策を批判する急先鋒となっている。ビジネスウィークは同団体の了解を得て、ハッキング攻撃の詳細についてTISから取材した。

　以前米国防総省でセキュリティーシステムの検証を行っていたTISのディボスト氏によれば、ハッカーは悪質プログラムを組み込んだ電子メールを送信して、同団体のコンピューターシステムに入り込んだという。

　「ネットワーク上のデータがそっくり盗まれた可能性もある」（同氏）。内部に入り込むと、サーバー内の電子メールアドレスを利用して、さらに別の団体への電子メール攻撃を仕掛ける。仕込まれた悪質プログラムは米国内のドメインサービスに登録された、あるコンピューターにアクセスしていた。TISのアナリストはこのアクセス先の会社（取材で詳細は明らかにされなかった）に連絡し、サーバー機の稼働を停止してもらった。

　「すると、戦闘開始と言わんばかりに、凄腕のハッカーたちが次々と侵入してきた」とディボスト氏は語る。翌日、ダルフール救援連合のネットワークを経由してさらに過激なスピアフィッシング攻撃が始まり、今度は数日前に発売されたばかりのコンピューターソフトの脆弱性を盛んに突いた。ハッカーたちはもう米国内の登録ドメインを使って侵入の痕跡を消そうとしなかった。ディボスト氏によれば、この悪質プログラムの発信源をたどったところ、「間違いなく中国国内のIPアドレス」であることが判明したという。

　3月27日、TISのアナリストは、この事件について調べている米連邦捜査局（FBI）に詳細な報告を行ったとディボスト氏は語る。

▼終わりの見えない攻撃

　一方、SFTに対するサイバー攻撃もやみそうにない。テトン代表は、何者かが3月26日頃に中国マカオ特別区のIPアドレスを使ってSFTのメインメールサーバーに侵入した痕跡があると、サイバーセキュリティーのコンサルタントから報告を受けた。サーバー内部のデータがすべてダウンロードされた可能性もあるという。

　一体どうやって侵入されたのか分からないとテトン代表は語る。しかし、同代表の電子メールが傍受されている可能性や、暗号化されていないSFTのメッセージが見られている可能性もあるとの警告は受けていた。

　「あまりにいろいろなことが起こりすぎて、我々には把握しきれなくなっている」と同代表は嘆く。

c 2008 by The McGraw-Hill Companies, Inc. All rights reserved.