米露サイバー戦争 2017 (3) 暗躍するグリズリー・ステップ

January 23, 2017 08:00
by 江添 佳代子

ロシアのサイバー活動に関する技術的な機密情報として、DHSとFBIが共同分析したレポート「GRIZZLY STEPPE Russian Malicious Cyber Activity／グリズリー・ステップ──ロシアの悪意あるサイバー活動」（PDF）は、あくまでも「世界のネットワーク管理者の皆さんがロシアの脅威に対抗できるようにするために」公表したものだと説明している。

しかし、「私もロシア政府の高度なサイバー攻撃に狙われるかもしれない」という不安を抱いて、この報告書を読む人はほとんどいないだろう。注目すべき点は、なぜ米国が「この一連の攻撃はロシア発だ」と断定できたのか、その根拠に説得力はあるのか、という部分だ。

グリズリー・ステップは何者か？

まずは報告書のタイトルについて確認しよう。序文の説明によれば、表題の「グリズリー・ステップ（GRIZZLY STEPPE）」とは、米国の当局者たちが利用していた「ロシアによる一連の攻撃の通称」であるという。筆者が気になるのは、「いったい彼らはいつから、その攻撃活動を『ロシアに結びつけた通称』で呼んでいたのか」という点だが（場合によっては先入観ありきの研究だった可能性が疑われるからだ）、その点に関する説明は特にない（※1）。

この報告書は、RIS（Russian Military and Civilian Intelligence Services／ロシアの軍、および民間の諜報機関）の脅威について解説したものだと述べている。主な内容は、DNCへの侵入行為に関与した「2つの異なるRIS」に関するレポートであり、その2つとは「ロシア軍参謀本部情報総局（GRU）と繋がりのあるAPT28」、および「ロシア連邦保安局（FSB）と繋がりのあるAPT29」だったと説明されている。このAPT28とAPT29は、過去にDNCから協力を要請されたセキュリティ企業CrowdStrikeが、「攻撃の実行グループ」として昨年夏に名前を挙げていた「Fancy Bear」、および「Cozy Bear」と同一のグループだ。
　
参照
・米民主党全国委員会をハッキングした「ロシアハッカー」の手口
・ロシアの諜報活動？ 米国の陰謀論？ 謎が謎を呼ぶ「米民主党全国委員会」侵入事件（前編）

グリズリー・ステップの戦術と成果

今回の報告によれば、APT29（Cozy Bear）は2015年夏、米国当局者を含めた1000以上のメールアカウントに「悪質なリンクを含んだメール」を送りつけた。彼らはマルウェアのホスティングやメールの送信に「米国の教育機関、その他の米国組織」を含めた、数多くの組織の正当なドメインを利用していたという。余談だが、APT29にドメインを悪用された業種が、以前に紹介した「イクエーショングループに悪用された被害者」の傾向と似通っているのは面白いポイントだ。

このフィッシングメールの活動により、APT29はDNCのサーバーの攻撃に成功した。DNCのシステムにマルウェアを送り込んだ彼らは、持続的でステルス性の高い活動の場を確立し、特権を昇格し、民主党（※2）内のメールを次々と盗み出した。彼らのマルウェアは「内部データを見つけ出しては、独自の暗号キーを利用し、暗号化されたチャネルを介してデータを送り出す」という戦術だった。

一方のAPT28（Fancy Bear）は2016年春、同じくDNCのサーバーを攻撃する際、自身が運用しているインフラにホストした「偽のウェブメールのドメイン」を利用し、受信者にパスワード変更を依頼するスピアフィッシングメールを送信して、受信者の認証情報を盗み出した。彼らが送り込んだマルウェアはAPT29の手口とは異なり、「外部にあるAPT28のシステムから送られる指示を待ち、遠隔操作でデータを盗む（キーロガーも利用する）」というものだった。こちらのほうが、狙った獲物を確実に落とすには有利だろう。このようにしてAPT28が2016年に党員から盗み出した情報は、プレスに漏洩し、一般に公開されたと記されている。

ここまでの説明は、かなり分かりやすくまとまっている。だが昨年夏にCrowdStrikeがブログで発表したレポートや、同年秋にESETが発表したレポート、そして DHSとODNIが10月に発表していた共同声明と比較すると、それほど目新しくもない。Fancy BearとCozy Bearによる戦術の相違点などは、セキュリティニュース界では半年前にも取りざたされていた話題だ。

とはいえ、今回の報告は決して無駄ではないだろう。なにしろ、過去にCrowdstrikeが行ったDNCハッキングのアトリビューション（攻撃の帰属）には、それなりの説得力があった。一部には「状況証拠に頼りすぎている」「他者がロシアになりすましている可能性を充分に検討していない」といった批判があり、またDNCハッキングの実行犯を名乗るGUCCIFER 2.0も複数の誤りを指摘していたものの、長年にわたって2つのグループを研究してきた同社の研究者が示す数々のヒントを見れば、「ほぼ間違いなくロシアの仕業ではないか」と疑われるのは自然な流れにも思われた。

しかし多くの人々にとって、彼らのレポートは難解すぎた。「なんだかよく分からないけれど、要するにロシアっぽいんでしょ？　ぜんぜん不思議ではないから、それでいいんじゃないの」という程度の印象で語られる可能性もあった。いま、このタイミングでAPT28とAPT29の攻撃を分かりやすく説明し、「この特定的な脅威に対して制裁措置を加えるため、オバマ大統領は緊急に大統領令を出したのだ」と伝えるのは、米国政府にとって大いに意味のあることだろう。
　
（その４につづく）
　
※1　ちなみにグリズリー・ステップの「ステップ（Steppe）」は歩みを示すStepではなく、平坦な草原を表す「ステップ地方」のステップであり、ロシアやシベリアと関連づけられている言葉だ。また「Fancy Bear」「Cozy Bear」の例からも分かるとおり、ロシアが熊に喩えられるのは一般的で、過去にはロシアの開発したミサイルが「グリズリー」の通称で呼ばれたこともある。
　
※2　この報告書は、なるべく具体的な表現を避けているようだ。たとえばサーバーを攻撃された被害者は「米国の一政党」と記されている（もちろん民主党のことだ）。また文中にはRIS（Russian Military and Civilian Intelligence Services／ロシアの軍、および民間の諜報機関）という略称が何度も使われているが、「ロシア」という単語そのものはほとんど出てこない。また盗まれた情報は「一般に公開された」と記されているものの、「Wikileaks」や「GUCCIFER 2.0」などに関する言及は何もない。