北朝鮮による犯行の可能性
5月12日から世界規模で広がったランサムウェアでは、シャドウ・ブローカーズが暴露したサイバー武器が悪用された。つまり、NSAのサイバー武器が結果的に、世界150カ国以上にランサムウェアの被害を広げる原因になったということになる。
今回の犯行手口は、まずエターナルブルーやダブルパルサーをパソコンに感染させ、侵入口を確保したところで、「WannaCry(ワナクライ)」と呼ばれるランサムウェアが内部に送り込まれる、というものだった。そしてビットコイン(仮想通貨)の指定口座に身代金として300~600ドルを支払うよう要求した。
では、それを悪用した“ならず者”とは誰だったのか。
北朝鮮である。もっと具体的に言うと、北朝鮮の「ラザルス」というサイバー集団だったとの見方が強い。
世界的なサイバーセキュリティ大手で、北朝鮮のサイバー攻撃を過去にも追及してきた実績のある米国のファイア・アイ社とシマンテック社は揃って、今回のランサムウェアを解析する中で、北朝鮮による犯行の可能性がかなり強いと指摘している。
今回のランサムウェアでは、外貨獲得のためにサイバー空間で“強盗行為”を繰り返している北朝鮮にしては、身代金の要求金額が少ないとの見方もあった。それを根拠として北朝鮮犯行説に否定的な見方をする人もいたが、専門家らの間では、早い段階で北朝鮮の関与が取り沙汰されていた。
確かに、北朝鮮のサイバー部隊は最近、銀行などを狙った大口のサイバー攻撃を強化していた。たとえば、2016年2月にはラザルスがバングラデシュ中央銀行から、8100万ドル(約88億円)をサイバー攻撃により不正送金して、強奪に成功している。この事件を捜査している当局者は、「東アジア系の出し子がフィリピンや香港のカジノなどで、現金を引き出した」と筆者の取材に語っている。
金銭目的ではない攻撃も
この北朝鮮のラザルスという集団は、2009年から活動しており、2015年末から本格的に世界中の銀行を狙うようになった。これまで、ポーランド、インド、ベトナム、タイ、インドネシア、マレーシア、イラク、ケニア、ナイジェリア、ガボン、ウルグアイ、コスタリカなどの金融機関を攻撃してきた実績がある。
だが、今回のランサムウェア攻撃の目的が金銭ではなく、世界の注意を逸らすものだったとしたらどうだろうか。ある米国人セキュリティ関係者は取材に対し、「ちょうどミサイル発射実験を頻発させていた北朝鮮が、ランサムウェアで国際社会を撹乱しようと考えたとしてもおかしくない」と語ったが、その線である可能性は十分に考えられる。
というのは、北朝鮮は金銭目的ではないサイバー攻撃を大々的に実施してきた過去があるからだ。2013年には「ダークソウル」という名のマルウェアを使って、韓国の主要放送局や金融機関などに大規模サイバー攻撃を仕掛け、大量のコンピューターのデータを消去している。2014年には、北朝鮮の指導者を暗殺するというコメディ映画を上映予定だった米ソニー・ピクチャーズ・エンタテインメントに対して、抗議の意味でオフィスを大規模サイバー攻撃し、大きな損害を与えているのだ。
偵察総局第121局
今回のランサムウェアのおかげで日本でも知られるようになったのは、北朝鮮のサイバー部隊のレベルが思いのほか高く、世界中で暗躍しているという事実だ。では北朝鮮のサイバー部隊とはどんな組織なのか。
北朝鮮では、朝鮮人民軍偵察総局がサイバー部隊を抱えている。偵察総局の第121局という組織が、優秀なハッカーなど6000人以上を抱えているが、彼らの多くは、中国などに拠点を置いているとされる。今回有名になったラザルスも、この第121局と関係しているとみられる。また偵察総局内には第91部隊という組織も置かれ、こちらはハッキングを専門としているようだ。
北朝鮮にとっては、サイバー攻撃はリスクもコストも低く済む。経済制裁が強化され、武器・麻薬の密売といった不法行為が簡単ではなくなっていることも、サイバー攻撃強化を後押ししていると言える。そうして得た金が、核・ミサイル開発の資金源となっているとの指摘もある。過去の攻撃などを見る限り、北朝鮮のサイバー攻撃能力は決して低くないのである。
NSAとサイバー軍
一方、今回の事件の元凶となった米国のサイバー兵力とは、一体どんなものなのか。
米国でサイバー攻撃を担うのは、米サイバー軍(USCYBERCOM)と、今回サイバー武器が盗まれたNSAだ。米サイバー軍は2009年に米戦略軍の下に創設された比較的新しい組織であり、それまでサイバー防衛と攻撃に分かれて存在していた2つの組織が統合された。NSAは1952年にハリー・トルーマン大統領によって設立され、長らく暗号解読やスパイ行為を実施してきた、言わずと知れた悪名高い情報機関である。NSAは冷戦終結後、旧ソ連の崩壊で下がりっぱなしの自分たちの存在価値を、サイバー分野に見出してきた。2013年6月、NSAが長年、日本など同盟国を含む世界中のネット通信などを傍受、監視していた実態を元職員エドワード・スノーデンが告発した事件は、後に映画化もされたことで有名だ。
米国のサイバー戦略の歴史は、NSAが引っ張ってきたサイバー作戦を、体系的にまとめる役割としてサイバー軍が設立されたという流れである。だからサイバー戦において、両組織は一蓮托生であり、どちらも米メリーランド州フォート・ミード陸軍基地の中に本部を置いている。また両組織ともトップは同じ人物が兼務することになっており、現在はマイケル・ロジャース海軍中将が、NSA局長とサイバー軍司令官を務める。
役割分担としては、実行部隊はNSA、指揮系統はサイバー軍という区分けはあるが、作戦実行の段ではNSAが主導権をもつことも少なくない。シャドウ・ブローカーズに盗まれたように、NSAは様々なサイバー武器を開発・所有している。パソコンのシステムやアプリケーションの未知の欠陥であるゼロデイを大量に地下市場で購入し、他国のコンピューターネットワークなどにも潜伏し、大規模監視活動からサイバー攻撃までを繰り広げている。
それ以外にも米国では、CIA(中央情報局)やFBI(連邦捜査局)がそれぞれの役割に応じたサイバー武器を使っている。米国のサイバー戦略と実態については、最近出版した拙著『ゼロデイ 米中露サイバー戦争が世界を破壊する』で詳述しているので、そちらに譲りたい。
「BEC」という新しい脅威
最後に、インターポールでの取材に話を戻そう。
捜査官によれば、ランサムウェアに並んで現在世界的に脅威になっているサイバー攻撃があるという。それは「ビジネス電子メール・コンプロマイズ(BEC)」という攻撃だ。
BECは、組織の上司などからのメールを装って不正プログラムをコンピューターに感染させる攻撃を指す。そしてランサムウェアと同様、コンピューターから情報が盗み出されたり、乗っ取られて踏み台にされたり、最悪の場合はデータを消し去られてしまう場合もある。
BECは、今のところ日本ではあまり知られていないが、これから爆発的な被害をもたらす可能性があるという。もちろん今回のランサムウェアのように、BECを悪用した、国家がからんだ大規模なサイバー攻撃も出てくるかもしれない。引き続き、サイバー空間の動向からは目が離せない。
