ホーム > Global Perspective 2012 >
Global Perspective 2012
2012年12月14日掲載

ロシア・グルジアのサイバー戦争:サイバー反撃による秘匿性の崩壊

(株)情報通信総合研究所
グローバル研究グループ
佐藤 仁
このエントリーをはてなブックマークに追加

2008年8月、グルジアでロシア軍とグルジア軍が砲撃戦を繰り広げた。それと並行してグルジアの政府機関のサイトと重要インフラはDDoS攻撃を受けてアクセス不能状態に陥った。ロシアからグルジアに対してサイバー攻撃が多く報じられていた(※1)。2012年11月、ロシアとグルジアでのサイバー戦争が新たな局面を迎えた。

グルジア側のサイバートラップ

2008年以降もロシアとグルジア間ではサイバー攻撃がたびたび問題になっていた。そして2011年初めにグルジアのニュースサイトがサイバー攻撃を受け、重要情報が窃取されるマルウェアがグルジア国内の約390のコンピュータに拡散された。このマルウェアは感染したPCのWebカメラを使って盗聴する機能も持っていた。政府機関や銀行、重要インフラなどが標的にされていた。グルジアCERT(Computer Emergency Response Team)はこのサイバー攻撃に対して以下のような反撃に出た。

  1. 意図的に自国のPCをマルウェアに感染させて「Georgian-Nato Agreement」という名称のZIPファイルを置き、攻撃側が窃取するように仕向けた。「グルジア・NATOでの合意」という、攻撃側が欲しがりそうな名前のファイルである。
  2. 攻撃側はグルジアCERTの罠に嵌り、このファイルを盗んだ。そしてグルジアCERTはZIPファイルに仕込んでおいたマルウェアを実行した。
  3. グルジアCERTは攻撃側のPCを乗っ取ることに成功した。攻撃側のPC内の情報を入手したり、Webカメラを使ってPCの前にいた男性の写真を撮影した。

グルジア側によって、撮影された男性の顔写真はグルジアCERTの報告書で公表された(※2)。他にもマルウェアの使用方法に関するロシア語の電子メール、男性の住所、ISP、メールアドレス男性のコンピュータから入手した。男性が使っていたドメインは、モスクワのロシア内務省の関連施設の住所で登録されていて、ロシアの情報機関、ロシア連邦保安庁(FSB)の所在地の近くであることが判明し、報告書内では地図も公表している。

サイバー攻撃の2つの特徴

サイバー攻撃の大きな特徴は「秘匿性」と「非対称性」の2点だった。

(1)秘匿性の特徴は、誰がいつサイバー攻撃を仕掛けてくるかわからない。攻撃を受けた後も、相手の特定は難しい。そのため、ゲリラ的に政府や重要インフラ、民間企業を標的にした攻撃が「どこから」・「誰から」攻撃を受けているのか不明瞭である。

(2)サイバー攻撃は非対称性のため、個人や非国家アクターが国や企業に対してサイバー攻撃を行い、ダメージを与えることができる。

秘匿性の崩壊とサイバー反撃

今回のグルジアCERTのサイバートラップは、攻撃側が罠に引っ掛かるようなファイルを仕掛けて、攻撃側のPCに入り込み、WebカメラでPCの前の攻撃者の写真撮影まで行い、相手の住所まで判明することに成功した。
従来のサイバー攻撃のように、攻撃側に優位であったサイバースペースの特徴の秘匿性は通用しなくなるかもしれない。グルジアCERTによる反撃はサイバー攻撃の特徴の1つであった秘匿性を崩壊させることに成功した。また、今まではサイバー攻撃は攻撃者側が一方的に攻撃を仕掛けてくることが多かったが、これからは攻撃者側もサイバー反撃に対して慎重にならざるを得ない。

セキュリティ・ソフトウェア会社カスペルスキーは2012年12月12日に、2013年は国家が関与したサイバー攻撃が増えると予測している(※3)。しかし国家としてサイバー攻撃に関与し、公式にそれを認めた国はない。それがサイバースペースの秘匿性を活用した攻撃だからだ。
今回のグルジアのサイバー反撃はサイバー攻撃を検討している国家に再考を促すだろう。サイバー攻撃を仕掛けた後に相手国からトラップをかけられてPCや住所まで突き止められてしまい、Webカメラで写真撮影されて公開されてしまう恐れがある。
 サイバー攻撃は攻撃側と防衛側の「いたちごっこ」の繰り返しであり、攻撃側もサイバートラップに嵌らないような策を講じてくる可能性が高い。他方、新たなサイバー反撃が登場したことによって、従来のサイバー攻撃はスタイルを変えてくる可能性はある。

※1 Richard A.Clark, ”Cyber War: The Next Threat to National Security and What to Do About It”(Ecco, 2010) によると、グルジアのインターネット接続はロシアとトルコ経由で行われており、グルジア向けトラヒックを確保するロシア、トルコのルータのほとんどがサイバー攻撃を受け、ルータから先に進めなかったため、グルジアでは情報も入らないし、情報発信もできなかった、と述べている。
また、2008年8月10日のデータ分析会社Renesysの分析によるとネットワークプレフィックスのうち最大35%が長期間に渡ってインターネットから消えたと指摘している。
http://www.renesys.com/blog/2008/08/georgia_clings_to_the_net.shtml

※2 CYBER ESPIONAGE Against Georgian Government(CERT.GOV.GE LEPL Data Exchange Agency Ministry of Justice of Georgia)攻撃者の地図、写真も公開されている。
http://dea.gov.ge/uploads/CERT%20DOCS/Cyber%20Espionage.pdf

※3 “Kaspersky Security Bulletin 2012. Malware Evolution”(2012年12月12日カスペルスキー) 国家の関与に関するサイバーセキュリティ増加予測の原文は以下の通り。
” 3. Nation-state-sponsored cyber-attacks Stuxnet pioneered the use of highly sophisticated malware for targeted attacks on key production facilities. However, while such attacks are not commonplace, it's now clear that Stuxnet was not an isolated incident. We are now entering an era of cold ‘cyber-war', where nations have the ability to fight each other unconstrained by the limitations of conventional real-world warfare. Looking ahead we can expect more countries to develop cyber weapons − designed to steal information or sabotage systems − not least because the entry-level for developing such weapons is much lower than is the case with real-world weapons. It's also possible that we may see ‘copy-cat’ attacks by non-nation-states, with an increased risk of ‘collateral damage’ beyond the intended victim of the attack. The targets for such cyber-attacks could include energy supply and transportation control facilities, financial and telecommunications systems and other ‘critical infrastructure’ facilities.”
http://www.securelist.com/en/analysis/204792254/Kaspersky_Security_Bulletin_2012_Malware_Evolution

※本情報は2012年12月13日時点のものである。

このエントリーをはてなブックマークに追加
▲このページのトップへ
InfoComニューズレター
Copyright© 情報通信総合研究所. 当サイト内に掲載されたすべての内容について、無断転載、複製、複写、盗用を禁じます。
InfoComニューズレターを書籍・雑誌等でご紹介いただく場合は、あらかじめ編集室へご連絡ください。