PHOTO: JAMIE SQUIRE/GETTY IMAGES

ロシアのハッカーたちが何カ月にもわたり、平昌冬期オリンピックを標的としたサイバー攻撃を仕掛けていることに疑いの余地はない。組織ぐるみのドーピングを理由に自国の選手団が大会から締め出されたことへの報復で、五輪関係団体の電子メールなどの情報がリークされている。

そして今回、単なる嫌がらせではなく、開会式の妨害を狙ったより狡猾な攻撃が明らかになった。オリンピック組織委員会もサイバーセキュリティー企業もロシア政府の仕業だと断定したわけではないが、ハッカー集団は同国の関与をほのめかす痕跡を残したようだ。

『ガーディアン』紙によると、大会組織委員会は2月9日に行われた開会式の後、サイバー攻撃を巡る調査を進めていると明らかにした。開会式の直前にシステム障害が起こり、プレスセンターのインターネットテレビが一時的に視聴できなくなったほか、メディア向けのWi-Fiがつながらなくなったり、大会ウェブサイトがダウンして観客がチケットを印刷できなくなるなどのトラブルが発生したという。

また、半導体大手のインテルによるドローンの飛行ショーが予定されていたが、ライヴでの飛行が中止になった。組織委員会はこの原因について、悪意のあるソフトウェアやプログラムといったマルウェアではなく、「飛行を予定した場所に人が多すぎたため」と声明を出した。

なぜバックアップデータのみが狙われたのか

今回の問題を巡っては、シスコシステムズの脅威・脆弱性情報部門であるTalosが12日、分析結果を発表した。システムの機能を停止させたとみられるマルウェアの発見に成功したという。研究員のひとりであるウォーレン・マーサーは「DoS攻撃を実質的に引き起こしたのはネットワーク内に潜んでいたウイルスです」と話す。

このマルウェアは「Olympic Destroyer」といい、高度で非常に感染力が高い。ターゲットとなるネットワークにつながれたコンピューターに自動的に感染し、起動用のブートファイルを含む特定のデータを破壊する。

ウイルスはその後、コンピューターを強制的に再起動するが、起動に必要なファイルが破壊されているためシステムは立ち上がらない。Talos研究員のクレイグ・ウィリアムズは「マルウェアによってすべてのサーヴィスが停止します。ブートファイルが削除されるとコンピューターは動かなくなるからです」と言う。

Talosによると、Olympic Destroyerの破壊戦術と感染手法は、2017年に見つかった「NotPetya」および「BadRabbit」というマルウェアに似ているという。ウクライナへの攻撃で使われたコンピューターウイルスで、同国政府のほか米中央情報局（CIA）や複数のサイバーセキュリティー企業が、攻撃の背後にはロシアがいるとの見方を示している。

ただ、今回の攻撃がウクライナの事例と異なるのは、Olympic Destroyerが破壊するのは感染したコンピューターのバックアップデータのみで、ほかのデータには手をつけていないという点だ。Talosの専門家たちは、マルウェアの最終的な目的について、感染したコンピューターと接続するサーヴァーに置かれたデータだと考えている。

サーヴァー上なら見つかりにくく、しかもより素早くデータを破壊できる。さらにコンピューター側にマルウェアを残し、アクセスを維持するのだ。ウィリアムズは「マルウェアを最適化したのかもしれません。できるだけ素早く大きな損害を与えようとしているのです」と説明する。

しかし、平昌のシステムは24時間以内に復旧した。NotPetyaの被害に遭った数万台のコンピューターでデータが永久に失われ、完全復旧に何週間もかかったのとは対照的だ。

『WIRED』US版は国際オリンピック委員会（IOC）にコメントを求めたが、平昌の組織委員会に問い合わせるよう言われ、回答はまだない。主催者側は容疑者や動機についてコメントを控えているとの報道もある。Talosは自社のセキュリティーソフトでこのマルウェアを検知し、入手したとしているが、発信元の詳細は明らかにしていない。

認証情報は開会前から漏洩していた

この攻撃が確かにオリンピックを標的としている証拠としては、マルウェアのコードにユーザーネームとパスワード44個のリストが含まれていたという事実がある。すべてが平昌五輪のウェブサイト「pyeongchang2018.com」のアカウントだった。

マルウェアはこれを足がかりに、ウィンドウズを遠隔操作する機能「PSExec」や、プログラミング言語の一種「Query Language」などを利用して勢力を広げ、ブラウザーデータやシステムメモリーを探し回って認証情報を盗み出した。

ウィリアムズは「アカウント44個を使ってログインし、そこからさらなるユーザーデータを抜き取る仕組みです」と言う。サイバーセキュリティー企業Crowdstrikeも2月9日に初めてこのマルウェアを発見したことから、開会式に合わせて起動するよう設定してあったと考えられる。

ハッカー集団がどのようにしてOlympic Destroyerを仕掛けたのか、そして44件の認証情報はどこから漏洩したのかなどは不明だ。Talosによれば、犯人が複数の拡散手法を用い、前もって認証情報を入手していたことを考えると、高度な技術をもつハッカー集団なのは間違いないとしている。

マーサーは「特定のシステムを狙って事前に入手した情報を組み込むというのは、素人にできることではありません。具体的なタスクを実行するマルウェアを使った攻撃で、標的も絞っています」と指摘する。それでも、Talosはロシアを含む特定の国の関与を示唆するのを避けている。高度な技術やこれまでに発見されたマルウェアとの類似性はあるが、ほかのハッカー集団が過去の事例をまねた可能性も否定はできないというのだ。

北朝鮮より「ロシア犯人説」が濃厚な理由

これに対し、米戦略国際問題研究所（CSIS）でテクノロジー・公共政策プログラムを専門とするジェームス・ルイスは、攻撃の政治的背景を考えればロシアが犯人だろうと指摘する。また、ロシア連邦軍参謀本部情報総局（GRU）の傘下にあるとされるハッカー集団「ファンシーベア」が、16年9月から五輪関連機関へのハッキング行為を続けている事実も忘れてはならない。

ファンシーベアのハッキングの結果として、テニスのウィリアムズ姉妹や体操のシモーネ・バイルズといった米選手の医療記録が漏洩した。目的は、IOCのドーピング検査をイカサマだと証明することだったようだ。

ロシアはリオデジャネイロ五輪の際、自国のアスリートに組織ぐるみのドーピングを行なっていたとして、一部選手の出場資格を剥奪された。ルイスは「容疑者リストのトップはロシアでしょう」と話す。

一方で、開幕までの数週間にわたり、おそらくは北朝鮮の仕業と思われるハッキング攻撃が組織委員会や開催地である平昌郡の自治体に対して行われている兆候があった。Crowdstrikeは「複数の攻撃者」がマルウェアに感染したコンピューターに「近い」組織に不正なアクセスを試みたと指摘している。

しかし、北朝鮮は今回の冬季五輪を利用して、韓国との外交関係の修復や自らの国際イメージの改善を目論んでいるようだ。金正恩朝鮮労働党委員長が大会の邪魔をしようとする可能性は低いとルイスは指摘する。

ロシア政府はドーピングによる締め出しに「激怒」しており、この最悪の侮辱に対する報復としてハッキングすら辞さない決意をすでに示している。「ロシアのこれまでのやり口との一貫性があります。おそらくは彼らでしょう」とルイスは言う。「癇癪を起こしたときのロシアの行動の一例に過ぎません」

RELATED

史上最悪のサイバー攻撃にさらされる平昌五輪──ロシアの報復と北朝鮮の思惑