ランサムウェアWannaCryの犯人は「北朝鮮」なのか

May 22, 2017 11:00
by 江添 佳代子

世界を恐怖に陥れたランサムウェアWannaCry（WannaCrypt）の事件は、日本でもすっかりお馴染みとなった。被害の広がりや攻撃手法だけではなく、そのランサムウェアの使い手についても関心がもたれている。一部のメディアでは「この攻撃に北朝鮮が関与したとセキュリティ専門家たちは主張している」と報じた。しかし、その根拠や信憑性まで詳細に説明している報道はあまり多くない。

サイバー攻撃のアトリビューション（攻撃者の帰属・特定）は、その攻撃が高度であればあるほど不可能に近くなる。世界で報じられる規模のインシデントの多くには、攻撃元を偽装するための工夫が凝らされているので、「実際に攻撃したのは誰だったのか」を明確には辿ることは難しい。それでも今回の事件で「北朝鮮の犯行説」が囁かれたのはなぜなのか、それはどのような主張なのかを紹介していきたい。

ソニー・ピクチャーズ エンタテインメント事件との関係

日本の一部の報道では、今回のランサムウェア事件を「金銭目的の犯行」と断定していたが、それはまだ分からないだろう。たしかにランサムウェアは、多くの標的から少しずつ身代金を稼ごうとするクライムウェアだ。それは攻撃先のマシンから機密情報を盗み出したり、長期に渡って諜報活動を行ったりするためのマルウェアではない。そして今回のWannaCryの感染経路に関しては、当初に疑われていた「フィッシング攻撃」ではなく「世界中の脆弱なSMBを狙った攻撃による感染」だったと考えられている。したがって、それは諜報目的ではなく金銭目的だった……と見なすのは自然な判断だろう。

しかし、これほどの規模で一斉に行われた攻撃であるという点を考慮するなら、「ランサムウェアを装った、別の大きな目的のための犯行」という可能性も考えられる。たとえば米国およびNSA（国家安全保障局）に対するネガティブキャンペーン、世界に混乱をもたらそうとしたハッカー集団の活動、国家による軍事的サイバー攻撃の予行演習など、様々な動機を想像できるため、攻撃を行なった人物（組織）の推測も広範囲にわたる。

Googleの著名なセキュリティ研究者ニール・メータ（Neel Mehta）は5月15日、ひとつの謎めいたツイートで、「有名なハッカー集団とWannaCryの関係」を示した。

9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution

— Neel Mehta (@neelmehta) 2017年5月15日

この難解なツイートを解説したのがカスペルスキーのブログだ。同社の説明によれば、メータの示した文字列は「初期のWannaCryのサンプル（2017年2月に取得されたもの）」と、「ハッカー集団Lazarus Groupが利用したマルウェア『Cantope』のサンプル（2015年2月に取得されたもの）」に共通点が多いことを示唆している。

初期のWannaCryとCantopeには共通点が多かったとカスペルスキーが指摘
画像はWannaCry and Lazarus Group – the missing link?より引用

Lazarus Group（ラザルスグループ／ラザログループ）とは、高度なサイバー攻撃を行う悪名高きハッカー集団で、過去には韓国政府を標的とした攻撃作戦や、バングラデシュ中央銀行を襲った約95億円の不正送金事件など、複数の深刻な規模のサイバー犯罪に関与したと考えられてきた。中でもとりわけ有名なインシデントといえば、あの2014年のソニー・ピクチャーズ エンタテインメント（SPE）侵入事件だ。つまり彼らは、北朝鮮政府との繋がりを疑われているハッカー集団だということになる。
（註：米国政府や一部の関係者は、SPE侵害事件が「北朝鮮の犯行」だったと公に断定している。ただし一部の専門家やメディアは、そのアトリビューションの根拠を疑問視しており、「北朝鮮を装った他国による犯行」「内部犯行」などの説も囁かれている。ともあれ同国が「SPE事件で最も強く疑われている容疑者」であることは間違いない）

信憑性は高いのか？

Googleのメータが指摘した2つのサンプルには、とても偶然の一致とは思われないような共通点があった。それならば世界中の組織をWannaCryの毒牙にかけたのは間違いなくLazarus Groupであり、したがって「犯人が北朝鮮」である可能性が高い、ということになるのだろうか？

残念ながら、これだけではまだ「WannaCry＝Lazarus Groupの犯行」とは言い切れない。なぜなら冒頭でお伝えしたとおり、国家レベルの関与が疑われるほど大規模なインシデントで、攻撃者が自身を偽装して身元を隠そうとするのは一般的なことだからだ。2つのサンプルの類似性について解説したカスペルスキーも「現段階でLazarus Groupの犯行と断定することはできないので、今後の調査が必要だ」と語っている。またシマンテックも、ウェブメディア『MOTHERBOARD』の取材に対して、「その2つに繋がりがあること」は確認していると述べたものの、「現在のところ、それは弱い繋がりである」と表現するに留めた。

ただし2つのサンプルの共通点に関しては、カスペルスキーが興味深い点を指摘している。

それは「最新のWannaCryからは重複部分が消えていた」という点だ。繰り返しになるが、メータが比較に用いたWannaCryのサンプルは今年2月の「初期バージョン」である。一方、2017年5月に世界を襲った新しいバージョンのWannaCryからは、Lazarus Groupとの関連を匂わせる部分がなくなっていた。

もしも犯人がLazarus Group（あるいは北朝鮮）に罪を着せようとしていたのなら、その部分を故意に消すのは不自然なので、「第三者が追跡を逃れるために北朝鮮のふりをした」とは考えにくい。しかし、それも作戦のひとつかもしれない。あるいは、たまたまLazarus Groupのコードを拝借してランサムウェア攻撃に用いたハッカーが、バージョンアップを行う際に消しただけという可能性もある。

ともあれ現在のところは、「北朝鮮が怪しいのではないか」という説があり、また「あの国ならやりかねない」といった声もある。なぜなら北朝鮮が抱えているサイバー部隊の攻撃能力は高く、また北朝鮮が資金調達のために悪質なサイバー攻撃を仕掛けたとしても不自然ではなく、さらに北朝鮮国内の組織は一斉攻撃の被害を受けづらい（一般人がインターネットに接続できない）など、複数の理由が挙げられるからだ。

しかし、それらを根拠にしてWannaCryと北朝鮮を結びつけるのは、あくまで憶測の域を出ない話となる。場合によっては「犯人の思惑通り」となる可能性もあるだろう。確固とした技術的な証拠が示されるには、まだ程遠い状況だ。

パレスチナのハッカー集団が犯人？

実はLazarus Group以外にも、「（北朝鮮ほどではないにせよ）帰属において名前を挙げられたハッキンググループ」がある。セキュリティ企業のフォーティネットは5月15日のブログの中で、WannaCryの構成ファイル内に「KDMS/bitu.skaria」という文字列があることを指摘した。KDMSは複数のセキュリティ企業のウェブサイトを乗っ取ったことで知られている、悪名高いパレスチナのハッカー集団の名前だ。

しかしフォーティネットはKDMSとWannaCryの関連性を見出したと主張しているのではなく、むしろ「犯人が『無関係の情報』を故意に埋め込もうとした事実」として、それを報告している。つまり同社は、その文字列が「偽旗作戦として仕込まれたもの」だろうと推理した。さらに同社は、WannaCryがホストに関連する情報のデータを削除しようとしていたことなども指摘している。

政治的な思惑が混入する

このように研究者たちは、コードそのものや設定ファイル、時にはタイムスタンプ、利用されている言語などの様々なデータも含めて、膨大な情報の中からわずかなヒントを見出そうと懸命に調査している。しかし高度なサイバー攻撃の帰属で「確実な証拠」を示し、犯人を炙り出すことは非常に困難だ。

それでも国の政府機関が犯人を断定してしまうことは多いのだが（たとえば米国が中国の犯行だと発表し、逆に中国が米国を犯人だと発表するなど）、そこには政治的な思惑が絡んでいるのではないかという疑念が常に付きまとう。誰が本当のことを言っているのか分らない国際的なインシデントは、星の数ほど存在している。事件発生から一週間程度で、専門家たちが納得できるような証拠を見出し、簡単に犯人を断定できるのであれば誰も苦労はしない。

しかし今回のWannaCryの事件は、これまでランサムウェアに関心を示さなかった一般ユーザーの注目をも集めるニュースとなったためか、様々なタイプの「セキュリティの識者」を名乗る人々が、それぞれの視点から自由にコメントしている。メディアによっては、そのコメントを非常に大雑把な表現で（誰にでもわかるシンプルさを優先して）伝えてしまう傾向もある。それらの中には正解もあるのかもしれないが、現在のところは、どのような説も「可能性のひとつ」として聞くほうが賢明なのではないだろうか。
　
関連記事
・Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か？