懸念国に取材で行く場合、個人のスマホ・PCの持ち込みはNG=大澤淳・中曽根平和研究所主任研究員
大澤淳氏
ゲスト:大澤淳・中曽根平和研究所主任研究員
テーマ:「サイバー社会」
2021年9月10日@日本記者クラブ
サイバー安全保障に詳しい大澤淳・中曽根平和研究所主任研究員が、ランサムウェアウエアなどのサイバー攻撃の現状について話した。司会は日本記者クラブ企画委員の杉田弘毅氏(共同通信)
■最近増えてきたランサムウエア攻撃
・従来型のサイバー攻撃は添付ファイルを送り届けてくる標的型メールが長年主流だったが、ここ数年の傾向としてテレワークが進展してきたがゆえにwifi装置や会社と接続するvpn(バーチャルプライベートネットワーク)を使った装置を狙った攻撃が増えてきている。
・加えてサプライチェーン型攻撃も新登場。Ipシステムなどの納入業者が対象。1社が陥落すると管理者権限を乗っ取られて攻撃を許す。攻撃側から言うと、効率の良い攻撃が増えている。
・国家が関与する2007年のエストニア以降サイバー攻撃が増えている。ロシアや北朝鮮、中国のほか、イランも懸念国として挙げられている。金銭を窃取するサイバー犯罪が増えている。電力システムや石油パイプラインなどの重要インフラが多い。
・2016年の米大統領選挙以来、国家の意思決定への攻撃、民主主義プロセスへの攻撃が目立ってきている。民主主義国家には非常にインパクトが大きい。どう防ぐかは国家安全保障上の課題になっている。
・金銭目的型だと北朝鮮が筆頭に挙げられる。外貨を稼ぐため。従来だとミサイルや核兵器、麻薬で稼いでいたが、最近は特に仮想通貨を狙ったサイバー攻撃、取引所や個人を狙って金銭を奪取する。企業を標的として情報を暗号化して使えなくするランサム攻撃。それを元に戻すために身代金を要求する。
・情報窃取型攻撃、重要インフラ等の機能を破壊する攻撃も行われるようになってきている。国際世論を変えていくのが近年の特徴だ。
■犯罪者側も分業化が進展
・IT機器内にサイバー攻撃でIT機器内のデータを暗号化をして本来企業が使おうとしたら使えない、見えなくなる。使用不能にする。元に戻したかったら身代金を支払えという要求をしてくる。最近多いのはVPNの脆弱性を突いて会社内に入ってくるのが多い。
・いったん侵入すると悪意のあるプログラムが犯罪者側と通信してさらなるマルウエアをダウンロードしてくる。暗号化をするマルウエア、外部にデータを送信するマルウエアが入っている。
・歴史は古くコンピューターのできた1989年からランサムウェアは登場している。暗号化して使えなくする方法は30年以上続いている。近年になって分業化も進んできており、「悪のエコシステム」が成立しつつある。過去2年間で加速度的に増えている。
・今年に入ってサプライチェーンを狙うランサムウェアが出てきており、犯罪者側も分業化が進んでいる。米FBIによると、申立件数が1500件から2000年。被害額も4億円ちょっとから20億円強になるまで増えてきている。
・公的機関が把握しているランサムウエアは氷山の一角といわれており、調査企業の6割は被害を受けた経験があると答えており、3割は身代金を払ったと回答。平均額は成果標準で約1億円。
・日本でも去年5位だったランサムウェアが今年は1位に上がってきている。コロナ時代を狙った攻撃が増えてきている。
・米パイプライン運営企業のコロニアル・パイプラインへの攻撃。ロシア系犯罪企業ダークサイドによる攻撃だった。企業の対応時間を短くするため金曜の午後攻撃を開始するケースが多い。全線を止めたので結果的に石油製品の供給が止まり供給混乱を生じた。
・ダークサイドは2020年8月から活動開始。ロシア語圏ではランサムウエアは活動しないように作り込みがされていて医療・教育機関は対象外とした特徴的な攻撃グループだった。
・元締めのKaseyaサプライチェーン型の攻撃。70億円。顧客企業にも被害が生じており、スウェーデンの生協では800店舗が営業停止追い込まれた。ニュージーランドやオランダ企業でも被害が発生している。サプライチェーンのリスクが狙われている。
■自治体や医療機関にも攻撃
・自治体や医療機関への攻撃も登場している。2019年から今年にかけて特に米国の地方自治体ではランサムウェア型の攻撃が発生している。ボルチモア市(メリーランド州)、スチュアート市(フロリダ州)が攻撃を受けたほか、裁判所のコンピューターも止まるなど市民生活にも影響が出始めている。2019年106件、20年76件。
・日本ではまだ自治体がサービス停止に追い込まれてはいないが、今後デジタル化の進展を受けて市民生活に不可欠なITサービスが止まるといったことが懸念される。
・欧米とも増えており、昨年の全米最大のユニバーサル医療サービスが攻撃を受け、400病院が3週間止まった。電子カルテが進んでおり、手術や外来患者の受付が止まる。欧州では2017年に英国ではNHSがITシステムが停止。今年5月にはアイルランドで同国医療制度が被害に遭った。一国の医療システムが停止した。
・ドイツやフランスの病院でも発生し、患者の死亡例も起こっている。日本では同様に被害はほとんど報道されていない。ここ5年間で長崎、奈良、福島の約3件。もう少しあるのではないか。今後増えてくる。警戒を要する。
・上場企業で被害が起きている。本社が狙われてシステムが落ちることはないが、海外の子会社や支店などターゲット企業の一番弱いところを狙っている。
■北朝鮮は外貨稼ぎが目的
・北朝鮮からの攻撃も増えてきている。サイバー部隊を育成し外貨を稼ぐ部隊の育成に力を入れている。途上国の中でピカイチの国。金銭を目的に行使、中銀や仮想通貨取引所を対象に頻繁に攻撃を行っている。
・北朝鮮のサイバーテロ部隊は、朝鮮人民軍総参謀部(統合参謀本部)の情報統制センターの傘下に、第121偵察総局(600~3000人)、対敵情報戦を担当する第204偵察総局(100人)、朝鮮労働党中央委員会調査部傘下の第35部隊などからなるとみられる。
・韓国国防部によると、北朝鮮のサイバー部隊は6000名以上と推計。サイバー戦闘部隊の一部は中国国内、マレーシアなどに合法的労働者として潜伏。丹東市や瀋陽市に拠点を設けており、600人から1000人のサイバー戦闘員が中国国内にいるとされる。
・これら部隊のハッカーは、小学校の頃から選抜され、特別な教育を受け、軍指揮自動化大学(旧美林大学)で攻撃手法などを学ぶとされる。同大学の学生数は約700名で、毎年100名以上を要請している。
・我が国における金銭目的による犯行は北朝鮮によるものと考えている。個人もターゲットになり得るので要警戒。北朝鮮はワールドワイドにランサムウェアをばらまいたことが2017年にあり、「サイバー空間でパンデミックが起こりうる」と警戒している。
・米国は犯罪者に対して反撃を行っている。ダークサイドも活動を停止している。犯罪グループの抑止ができない。
・国際協力で犯罪者のインフラを止めに行く。特定して訴追した。EMOTETを差し押さえた。アクティブに犯罪を抑える。
■日本、JAXA狙ったTickを摘発
・ 加藤勝信官房長官は4月20日午後の会見で、2016年から17年にかけて宇宙航空研究開発機構(JAXA)がサイバー攻撃を受けた事件で、警視庁が中国籍の男性を書類送検したと公表した。「Tick」と呼ばれる中国人民解放軍の指示を受けたハッカー集団が関与した可能性が高く、背後には中国人民解放軍のサイバー攻撃専門組織「61419部隊」の関与もあるとみている。
・注目されるのは青島にある「61419部隊」の関係者であることを日本の警察当局によって判明したことで、日本の「大金星」だとセキュリティー業界では言われている。攻撃者まで特定した事例は数少ないが「Tick」はそのうちの1つだった。
・Tickは2016年から日本と韓国を標的として攻撃しており、資金力が豊富で活動が活発なグループ。侵入の手口も最新のものを使うのが特徴。マスメディアも含めて幅広く活動している。
・16グループが活動しており、先端技術やバイオ、化学、素材、通信、電気など日本が所有しているハイテク技術を狙った攻撃が頻繁に行われてきている。「中国製造2025」との関わりが深い。
・米国の事例。中国によるサイバー攻撃で35技術が流出している。ステルス技術の根幹部分が盗まれている。産業競争力を奪う。
・米国はまず外交的手段で対応し、米中首脳会談で情報窃取型サーバー攻撃は行わないことで合意した。攻撃を行ってきたグループは攻撃対象を変えて、日本も攻撃している。効果は1年半くらい。
■増えたフェイクニュース
・情報操作型のフェイクニュースが増えている。disinformation(偽情報、デマ)を用いた情報操作が増えている。ディープフェイク。ロシアの「情報戦」。相手国の矛盾を見極めてその矛盾を拡大する社会を弱体化する。
・民主主義の矛盾を突くような情報戦も広がっている。
・中国による認知領域の戦い。
・民主主義の選挙を狙ったサイバー攻撃の動機。
・積極的サイバー防衛。早めに相手の攻撃を察知して分析をして技術系手段で対応していく。サイバー攻撃グループを特定し、誰が攻撃を行っているか。攻撃者に対して技術的、政策的な対応をしていくのか。技術者を止めていく。より踏み込んだ措置が必要だ。
■質疑応答
・(西側からの攻撃はどうなっているのか、国家ぐるみなのか)サイバー攻撃は中継サーバーを経由してやってくる。ロシアや中国からは統計で見ると「米国から発信されている」。よってプーチン大統領が「米国からも攻撃がある」と発言するのも頷ける。
・米国はインテリジェンス活動の一環として行っている。連邦政府に対して行われたものについては訴追も非難も行っていない。防衛は国の責務だから。国が開発したサイバー能力を使って民間を攻撃する場合。これは明らかに不公平だ。だから怒る。
・(企業情報は本当に流出していないのか)誰が何時何分にどのファイルを開けたのかはログで取られている。ログを分析すればどのファイルが流出したのか把握できる。しかしログが消されている場合もある。難しい。
・(コロニアル・パイプラインは現実にいくら支払ったのか)75ビットコイン(約5億円)を支払った。犯人グループは実際に受け取っている。最終的には15%程度しか手にはいっていないのではないか。「システム停止は国民生活に重大な支障が出る。そのバランスを考えて決断した」とコロニアルCEOは議会で述べている。
・(ロシアのスプートニクは英アストロゼネカのワクチンと類似していると言われているがどうか)コロナ・ウイルス感染が発生して以来、バイオ技術企業への攻撃は猛烈に増えた。確たる証拠は持っていないが、技術情報を盗めば製造自体はある程度の技術力があれば可能。サイバーを盗まれてコピーをされて、それがロシア製のスプートニクになった可能性は十分ある。「ロシア製のスプートニクは安心して注射できるよ」というジョークが拡散している。元々英国製だから。
・(積極的サイバー防衛の日本の実力は)体制は全く整っていないのが現状だ。縦割り行政。日本の法律では禁じられている。警察を中心に対応していく。サイバーは見えない。日本はお金が投じられない。事前に見えないものに
・(個人がサイバー攻撃社会で生きて行くには)メディアに外国に取材に行く際は個人のスマホなどは特定の懸念国においては持ち込まない方がよい。通信を以後追跡されることが生じ得る。
・技術には賞味期限がある。アップデートを提供される期間は長くて7~8年。アップデートが行われないのは脆弱性が放棄されるのも同然でそこから入られることがあり得る。生鮮食料品よりは長持ちするが、5~6年で技術的アップデートがされなくなれば買い換える必要がある。
・安い製品は正規品に比べ信用がおけないのが現状だ。正規品、あるいは大手メーカー品を使っていただきたい。
