2015年サイバーセキュリティ10大ニュース（前編）

December 30, 2015 16:30
by 西方望

2015年も残すところあと僅かとなった。昨年に引き続き、今年もサイバーセキュリティに関する10大ニュースを選んでみたい。

アメリカの安全保障を揺るがした人事管理局からの政府職員情報流出

昨年は「脆弱性の当たり年」だったと書いたが、今年は「情報漏洩の当たり年」と言えるかもしれない。情報漏洩事件というと何百万件、何千万件といった件数が話題になることが多い。だが今年相次いだのは、規模の大小よりむしろ漏洩内容やその影響が過去になかったほど重大といえる事件だ。まず何と言っても、6月に発覚したアメリカ連邦人事管理局（OPM）からの大規模流出。これは歴史に残る流出事件と言えるかもしれない。

6月4日にOPMは、政府職員の個人情報420万件が流出したと発表した。この数は発表を重ねるごとに増えていき、最後には2000万件以上となった。だが、過去には億を超える情報流出が何度もあり、数にさほどインパクトがあるわけではない。問題は、流出した内容だ。単に職員の名前や住所、社会保障番号といった個人情報が漏れただけではない。職員が機密を扱う際に提出する質問票「Standard Form 86（SF-86）」がごっそりと流出したのだ。これには本人の履歴はもちろん、海外渡航歴や仕事の経験、経済状況や薬物使用歴・病歴に至るまで記載され、さらに家族や同居人などの情報まで含まれている。FBIのコミー長官も「私や家族の情報もすべて漏れた」と憤った。

SF-86の情報は、単なるサイバー犯罪者にはさほど役に立つものではない。だが、国家ハッカーにとっては喉から手が出るほど欲しい情報だ。政府職員の秘密を握れば、脅迫したりスパイとしてリクルートするためにこの上ない役に立つ。さらに見逃せないのは、アメリカの医療保険大手からの情報流出も起きている点だ。2月にはAnthemから8000万件、3月にはPremera Blue Crossから1100万件が漏洩している。医療情報もまた、他人を操るためには貴重な手段となり得る。これらの事件とOPMの事件のつながりは明らかになっていないが、アメリカ政府はどちらも中国政府の支援を受けたハッカーの仕業と断定あるいは強く示唆している。

OPMの事件はアメリカのサイバー安全保障を大きく揺るがした。これは「サイバー真珠湾攻撃（cyber Pearl Harbor）」であるとまでいう意見もあちこちで見られたほどだ（重大ではあるが真珠湾攻撃を引き合いに出す性質のものではない、という見方の方が妥当だとは思うが）。いずれにせよ、この事件などを受けてアメリカのサイバーセキュリティに対する姿勢が今後より強硬になっていくのは間違いないだろう。

「合法マルウェア」企業からゼロデイ情報が流出、世界中のPCが危険に

政府や法執行機関が、テロや組織犯罪などに関して疑わしい人物やグループを監視するために使用するマルウェア、いわゆる「リーガル（合法）マルウェア」については当サイトでも取り上げてきた。7月、代表的なリーガルマルウェア企業の1つであるイタリアの「Hacking Team」から大量に情報が盗み出されるという事件が起きた。流出した情報は大量ではあるが、この事件もまた規模が問題というわけではない。

まず、以前から疑念を持たれていた、人権抑圧国家に対してのマルウェア販売が流出情報から明らかになった。Hacking Teamはかねてより「民主的」な国家にしか販売していないと表明していたが、サウジアラビア、モロッコ、カザフスタンなどへも販売していたのだ。当然ながらこういった国では、人権活動家や反体制派の監視にリーガルマルウェアが使用されたのだろう。

いわゆる「民主国家」であっても、リーガルマルウェアが合法的に使われるとは限らない。特に韓国では、Hacking Teamのツールが国民の違法な監視に用いられたのではないかという疑惑が噴出し、大きな騒動となった。情報機関である国家情報院は、北朝鮮やテロリストの監視のみに使っていたと釈明したが、矛盾する事実が次々と明らかになる。だが野党が事件を厳しく追及する中で、ツールの運用を担当していた職員がサーバーの情報を削除して自殺、結局事実は明らかにならないままうやむやになってしまった。今回取り上げたニュースの中で、間接的とはいえ人命が失われたことが明らかなのはこれだけなので、その意味では最も重い事件と言えるだろう。

だがサイバーセキュリティの観点では、Hacking Teamの事件における最も重大な点は、ゼロデイ脆弱性の流出だ。先日もゼロデイ脆弱性の取り引きに関するSecurity Affairsの記事を紹介したが、リーガルマルウェア企業は、顧客の要望に応えさまざまなシステムに侵入するために、ゼロデイ脆弱性を自ら発見したり購入したりして隠し持っている。今回、それが流出した。それも広く使われているFlash Playerの極めて深刻なゼロデイであり、たちどころに悪用されたのは言うまでもない。一企業からの情報流出により、世界中のPCが危険にさらされることとなってしまったのだ。

標的型攻撃の「お手本」、日本年金機構からの情報流出

今年日本で最も話題となったセキュリティインシデントと言えば、日本年金機構からの加入者個人情報の流出だろう。ただ、もちろん重大な事件ではあるのだが、過去に起きたさまざまな流出と比べれば（あくまで比較して、の話）125万件と規模は小さい。そして事件の過程や結果についても上記2件のような特筆すべき点はないのだが、これを逆に言えば、典型的な事件ということだ。いわば標的型攻撃の「お手本」であり、今後同様の被害を防ぐためにも反面教師としてしっかり学んでおくべき事案だと言えるだろう。

標的型攻撃のよくある発端は、つい開いてしまいそうなリンクや添付ファイルがあるフィッシングメールだ。年金機構の事件もまさにそのパターンで、オンラインストレージへのリンクが載っていたり、医療費通知を偽装したファイルが添付されたメールが職員に送られ、そこに接続したりファイルを開いた結果マルウェアに感染し、侵入を許してしまった。

そして、組織内部のセキュリティ意識の低さや運用のまずさが状況を悪化させることもよくある話だが、これまた当てはまる。そもそも年金加入者の情報は、インターネットと接続している業務用LANから切り離されたシステム上に保存されていた。いわゆる「エアギャップ」で守られていたわけだ。Stuxnetの例を見るまでもなく、攻撃者がエアギャップを超えるのは不可能ではないが、年金機構の侵入者にはそんな苦労は必要なかった。切り離されたシステム上にデータがあるのは不便だったので、職員がCD-Rにデータをコピーし、それを業務用LAN上のファイルサーバーに置いていたのだ。こうして、大量の加入者情報が窃取されることとなってしまった。

この事件については、添付ファイルをつい開いてしまったことや、本来置くべきではないデータをサーバーに置いていたということから、職員のセキュリティ意識の低さを問題視する論調が多く見られた。だが、どれほど注意していても「うっかり」はあり得るのだ。むろんセキュリティ意識は重要だが、それのみに頼らずシステム的に「うっかり」を防ぐ、あるいは「うっかり」をやっても大丈夫というフールプルーフを整備する必要がある。一方、セキュリティを固めた結果使いづらくなってしまい、結局ユーザーがそれを回避するようになっては意味がない。加入者情報コピーの件はまさにそれだ。しかし、よく「利便性とセキュリティはトレードオフ」と言われるようにこの両立は難しい課題だ。

この事件の詳しい調査レポートが、日本年金機構と内閣サイバーセキュリティセンター（NISC）で公開されている。セキュリティに興味を持っている人にとってはさほど目新しい内容はないと思うが、よくまとまっているので一度目を通すことをお勧めする。

史上初、サイバー攻撃を理由に経済制裁が行われる

これも大規模情報流出の話題だが、ただ流出事件自体は2014年のことだ。昨年の10大ニュースに挙げたソニー・ピクチャーズからの流出事件で、「経済制裁の拡大は十分あり得る。サイバー攻撃に対する報復としては（明らかになっている範囲で）史上初となるだろう」と書いた（一部文脈に合わせ文章変更）。その「史上初」が今年になって発動されたのだ。

2014年11月、ソニー・ピクチャーズ社内のネットワークから大量の情報が盗み出され、さまざまな場所で大量の社内機密・個人情報・未公開映画などが晒された。この事件に対しアメリカ政府は北朝鮮の仕業であると断定し、制裁もあり得るという姿勢を取ったが、北朝鮮側は一貫して否定。この後の展開はどうなるだろうか、というのが2014年10大ニュース執筆時の状況だった。

そして年が明けてすぐの2015年1月2日、オバマ大統領はソニー・ピクチャーズに対するサイバー攻撃を理由として、北朝鮮への新たな経済制裁を行うことを認める大統領令に署名したのだ。ただその内容は、北朝鮮の諜報機関である偵察総局や関連企業・個人に対するアメリカへの入国禁止や資産凍結といったもので、正直言って今さら特段の効果が期待できるようなものではない。アメリカのサイバー攻撃に対する姿勢をアピールするパフォーマンスと見るべきだろう。

一方、そもそもソニー・ピクチャーズへの攻撃を北朝鮮の仕業とする根拠が薄い、という意見も多くのセキュリティ関係者から噴出した。これを受けるような形で1月7日にはFBIから追加の発表があったが、「何の説明にもなっていない」という批判も多い。

現在、コンピューターやインターネットが極めて重要なものとなっている以上、それに対する攻撃に経済制裁で対抗、というのは当然あり得る戦略だろう。だが、確固たる証拠もなしに経済制裁というのにはやはり疑問がある（とはいえサイバー攻撃犯を特定する「確固たる証拠」はたいてい得られない）。ましてアメリカは、イラクの大量破壊兵器保有という「前科」がある。今後またサイバー攻撃を理由に制裁を行ったり、（ないとは思うが）軍事行動に出る場合には、もう少し国際社会を納得させられる証拠を用意してほしいものだ。

フランスの国際TV局がイスラム国支持ハッカーに乗っ取られる

今年は（今年も）世界各地でテロが相次いだが、特に多くの人が衝撃を受けたのはフランスでの事件だろう。1月のシャルリー・エブド襲撃事件、11月のパリ同時多発テロと、フランスにとっては「テロに始まりテロに終わる」という印象の悲しい年になってしまった。だが今年はもう1つ、人死にこそ出ていないものの極めて重大なサイバーテロがフランスで起きていたのだ。

4月8日、フランスの国際放送大手TV5MONDEのWebサイトやFacebookページなどが、イスラム国の関連のメッセージに書き換えられた。イスラム国を支持するハッカーグループであるサイバーカリフ国の仕業だ。サイバーカリフ国は今までもたびたび欧米のマスコミを攻撃しており、これだけならある意味「いつものこと」だったが、異常なのは時を同じくしてTV5MONDEの放送が突然世界中で停止したことだ。

実はそのころTV5MONDE社内のネットワークは、放送系も含めて完全に制御できなくなっていたのだ。これも発端はフィッシングメールによる感染で、そこから社内に侵入されていた。だが侵入者の意図は情報の窃取でも破壊でもなかったと思われる。自らの望む映像を世界中のTVに流すこと、おそらくそれが目的だったのだろう。そして、もう少しで成功していたのかもしれないのだ。

TV5MONDE社内ネットワークを乗っ取ったのも当然サイバーカリフ国だと思われる。つまり、イスラム国のプロパガンダや処刑映像が世界中に流されたのかもしれないのだ。自らの意思で見るネットの映像と、勝手に流れるTVの映像では、重みが全く違う。その可能性を危惧したTV5MONDEのスタッフは、すべての放送を遮断するという最終手段を執らざるを得なかった。前代未聞のサイバー攻撃だ。

サイバーカリフ国の変化も注目すべき点だ。今まで彼らが行ってきたのは、Webサイトの書き換えとかTwitterアカウント乗っ取りとか大したことのない情報の暴露とか、「サイバーテロ」と呼ぶほどでもない牧歌的なハックがほとんどだった。それが突然、TV放送を乗っ取るまであと一歩という、前代未聞の攻撃を実現させたのだ。2つの意味で、現代におけるサイバー攻撃のパラダイムを変えた事件だったと言えるだろう。

（後編に続く）