2018年6月中旬から7月中旬にかけての約1カ月の間、特に政治とスポーツの分野において、国際的に極めて重要なイベントが続いた。6月14日～7月15日にロシアで開催された2018 FIFA World Cup（以下、「W杯」）に加え、その前後に行われた2つの首脳会談――ひとつは6月11～12日にシンガポールで開催された米朝首脳会談、もうひとつは7月16日にヘルシンキ（フィンランド）で開催された米露首脳会談だ。これほど短期間に世界中の耳目が一斉に集まるイベントが立て続けに開催されるのも珍しいだろう。

一般に、大規模な国際イベントはサイバー攻撃の対象になりやすいと言われる。その意味では、サイバーセキュリティに携わる関係者にとって、この約1カ月間は正念場とも言える重要な局面だったに違いない。実際、今回のW杯は、実に世界の全人口の半分近くにも相当する34億人が視聴したと推計されている。本稿では、サイバーセキュリティ関連企業が公表しているデータを引用しながら、W杯期間中におけるサイバー攻撃や動向についてレポートしてみたいと思う。

W杯期間中のサイバー攻撃

注目度の高い国際イベントにはサイバー攻撃が仕掛けられやすいというのは経験的に分かっており、多数のセキュリティ専門家も早くからその危険性について警鐘を鳴らしてきた。やはりと言うべきか、6月の米朝首脳会談と7月の米露首脳会談も例に漏れず、それぞれの当日には大量のサイバー攻撃に見舞われた。複数の報道の内容を総合すると、前者はロシア由来の、後者は中国由来のサイバー攻撃が大勢を占めていたようだ。また、両者に共通することとして、VoIPで一般的に利用されるポートである「5060/UDP」を標的としたサイバー攻撃が多かったことが特徴だという。いずれにしても、W杯の会期の前後に開催された2つの首脳会談には、事前の予測通り、多数のサイバー攻撃が集中した。

しかし、その一方で、W杯期間中における特定の国を標的としたサイバー攻撃は平常時と比べて非常に少なかったことが分かっている。ここで、攻撃者も結局は生身の人間であり、W杯期間中は試合に熱中してサイバー攻撃の手を休めていたという仮説が立てられる。以下では、イスラエルのスタートアップ企業が公表しているデータを引用しながら、W杯期間中のサイバー攻撃の傾向を見ていきたい。

サイバー攻撃が減少した国・増加した国

行動バイオメトリクスを駆使したサイバーセキュリティ・ソリューションを提供するBioCatchは、非常に興味深いデータを公表している。そのデータとはW杯期間中のサイバー攻撃の傾向に関するもので、これを見ると国によって明らかな違いが出ている。

同社はW杯のグループリーグ参加国のうち、ブラジル、メキシコ、イングランドの3カ国の大手金融機関を顧客に持っており、1日当たり数百万件もの取引があるオンライン・バンキングのユーザーの行動パターンから顧客金融機関へのサイバー攻撃などの異変を検出するというソリューションを提供している。同社はこの環境を利用して、グループリーグの試合開催日とその前週の同じ曜日の状況を比較し、同3カ国におけるサイバー攻撃の傾向の違いを分析している。

BioCatchによれば、そもそも試合開催日におけるオンライン・バンキングでの取引量自体が急減していた。実際、同社のモニタリング対象だった金融機関の取引量が極端に少なかったためにシステムが異常を検知してアラートが発出されるほどだったそうだが、現地の金融機関の担当者からは「国全体が自国の代表チームの試合を観戦しているために取引量が少ないだけで、問題はない」という趣旨の返信が来たという。

表1～3のとおり、同3カ国におけるグループリーグの試合開催日とその前週の同じ曜日を比較したときのサイバー攻撃の増減率をまとめた。一見して分かるように、ブラジルとメキシコにおいてはサイバー攻撃が大幅に減少している一方、イングランドにおいては逆に増加している。この違いは何に起因しているのだろうか。

【表1】メキシコにおけるサイバー攻撃の状況
（出典：BioCatch のデータをもとに情報通信総合研究所作成）

【表２】ブラジルにおけるサイバー攻撃の状況
（出典：BioCatch のデータをもとに情報通信総合研究所作成）

【表３】イングランドにおけるサイバー攻撃の状況
（出典：BioCatch のデータをもとに情報通信総合研究所作成）

攻撃者の属性がカギ

考察の結果としてBioCatchが出した答えは、攻撃者の属性だ。メキシコやブラジルを含む中南米におけるサイバー攻撃のほとんどは、同じ地域に居住している攻撃者によるものだ。つまり、メキシコの金融機関を標的としているのはメキシコ人であり、同じことがブラジルにも当てはまるということだ。FIFAランキングが2位のブラジルは元より、メキシコにおいてもサッカーは国技に準ずる地位を得ており、ドイツ戦の勝利に歓喜したメキシコのサポーターが人工地震を引き起こしているくらいだ。これらのことから、攻撃者がサイバー攻撃を自粛したとは思えないものの、試合の観戦に忙しく、結果的にサイバー攻撃の手を緩めざるを得なかったと考えるのが妥当だろう。なお、メキシコとブラジルにおいては、試合中の時間だけでなく試合当日の1日を通してサイバー攻撃が激減していたという。

一方、イングランドの金融機関を標的とするサイバー攻撃は東欧諸国に由来するものが大半だ。メキシコとブラジルとは対照的に、攻撃者にとってイングランド代表チームの試合の行方や結果は特に関心のないことだ。そのため、イングランドにおけるサイバー攻撃は減少せず、むしろW杯を好機と見た攻撃者が多かったことで平常時より増加したのかもしれない。

ちなみに、イングランドにおけるサイバー攻撃については、W杯の開幕前日である6月13日にサイバー攻撃の件数が急増していたことも分かっている。結果的に判明したことだが、イングランドの金融機関を標的としたサイバー攻撃の件数はこの日が6月で最多だった。これはあたかも攻撃者がW杯の開幕直前に駆け込みで攻撃を仕掛けたかのようにも見える。攻撃者のこのような行動が推察できることも興味を掻き立てられる点の一つだ。

徹底的にサイバー攻撃をかわしたロシア

BioCatchが公表しているデータを見ていくと、さらに興味深いものがある。それはロシアに関するデータだ。6月14日のW杯開幕戦では、開催国であるロシア代表チームがサウジアラビア代表を迎え撃ち、5-0の大勝を収めた。この日、サイバー攻撃の件数は平常時と比べて66%も減少している。その後も、ロシア代表チームが戦ったグループリーグのエジプト戦（6月19日）、ウルグアイ戦（6月25日）の2試合に続き、決勝トーナメントの2戦目でクロアチアに負けて敗退（7月7日）するまで同様の傾向が見られたという。

ロシアのプーチン大統領はW杯閉幕直後、会期中に約2,500万件ものサイバー攻撃を防ぐことができたとのコメントを残している。今回のW杯においては、グループリーグに参加する32カ国を中心として警備体制が構築され、次回の2022 FIFA World Cupの開催国となるカタールから派遣されたスタッフを含めたセキュリティ・チームが監視業務にあたっていた。これ以外にも、ロシアの官民が国家の威信をかけてサイバーセキュリティに貢献していたことは想像に難くない。

もっとも、ユーザーのレベルでは、W杯期間中に多数のサイバー攻撃が仕掛けられていた。実際、サポーターを標的とした悪意のあるアプリやフィッシングが仕掛けられていたことは多くのニュースで報じられており、警備側もハニーポットでサイバー攻撃の検知を試みるといった応酬が繰り広げられていた模様だ。それでも、W杯の運営に支障が出るような致命的な事態には至らなかった。7月16日にヘルシンキで開催された米露首脳会談におけるサイバー攻撃の状況を考慮すれば、プーチン大統領が言及した「2,500万件」のうち中国由来のサイバー攻撃が相当数あったと考えるのは自然だろう。なお、ロシア政府は「2,500万件」のサイバー攻撃の発生源の内訳などの詳細を明らかにしていない。

「2,500万件」というのは非常に大きな数字と言えるが、W杯期間中におけるロシア政府の振る舞いやロシアを標的とした攻撃者の挙動などについては、開示されているデータが限定的で、多くの謎が残されている。2020年東京オリンピック・パラリンピックの参考とするためにも把握したいところだが、入手可能なデータからはなかなか実態が見えにくい。

まとめ

筆者もレプリカの日本代表ユニフォームを着込み、睡眠不足を覚悟の上で試合の度に友人らと共に大型スクリーンに向けて声を張り上げていた。今回のW杯の開催国はロシアだったため、日本では全試合が深夜となったが、時差の少ない欧州各国では一般人だけでなく攻撃者も試合が気になって仕事に手がつかなかった人は多かっただろう。4年に1度という希少価値も相俟って、W杯はそれだけ人を引き付ける魅力に富んでいる。そして、そのW杯の試合の模様に釘付けになっていたのは一般のサポーターだけではなく、普段はサイバー攻撃に勤しむ攻撃者もまた然りだったわけだ。

本レポートを書いてみて改めて思ったことだが、サイバー攻撃は意外なほど人間味に溢れている。結局のところ、攻撃者も所詮は生身の人間に他ならない。サイバー攻撃は人間の手によるものである以上、人情の機微に左右されるということだ。特にデータで振り返ると様々なことが分かり、興味は尽きない。