米民主党の全国委員会(DNC)がサイバー攻撃を受け、メールなどの内部資料が大量に流出。ウィキリークスなどを通じてその内容が暴露され、波紋を広げている。
米大統領選の候補指名という山場のタイミング、サイバー攻撃の痕跡からロシア政府の関与が伺われる点、クリントン、トランプ両陣営とも、この事件をうまく選挙戦に取り込もうとしている点、さらにサイバー攻撃の主を名乗る"ハッカー"の存在など、少々構図が入り組んだ、わかりにくい事件だ。
大統領選、民主党全国委員会への"侵入"という点で、1972年に起きたウォーターゲート事件のサイバー版、との指摘も米メディアでは出ている。
●民主党全国委員会に侵入した2つのグループ
民主党全国委員会は、72年の事件当時は、事件名にもなったポトマック川近くのウォーターゲートビルにあったが、現在はそこから南東4.3キロ、連邦議会議事堂近くのビルにある。
民主党が内部ネットワークの異常に気付いたのは今年5月のことだったという。
早速、ネットセキュリティ会社「クラウドストライク」に調査を依頼。2つのグループの侵入の形跡を確認する。
1つのグループは4月下旬、全国委員会の対立候補調査チームによる、共和党の大統領選候補ドナルド・トランプ氏に関する調査資料のファイル2つを、盗み出していた、という。
このグループは「ファンシーベア(別名APT28)」と呼ばれており、ロシア軍参謀本部情報総局(GRU)の指揮下にある、と広く見られているようだ。
APTとは、「持続的標的型攻撃(Advanced Persistent Threats)」と呼ばれる、特定の組織などへの継続的攻撃をさす。
ちなみにAPT1は、中国人民解放軍61398部隊が関与したとされる米国企業などへのサイバー攻撃を指す。米セキュリティ会社「マンディアント」が2013年2月に報告書を公開し、話題になった。
「ファンシーベア/APT28」は、2000年代半ばから活動し、これまでに米航空宇宙局(NASA)や国防総省、エネルギー省などの米政府機関やメディア、さらに西ヨーロッパ、ブラジル、カナダ、中国、ジョージア、イラン、マレーシア、韓国、そして日本でもサイバー攻撃を行っているという。
民主党へのサイバー攻撃発覚前の今年5月にも、ドイツの情報機関、連邦憲法擁護庁(BfV)のハンス・ゲオルク・マーセン長官が、昨年のドイツ連邦議会への攻撃や、フランスのテレビ局「TV5モンド」への攻撃、ウクライナの電力網に障害を及ぼした攻撃「サンドストーム」などについて、「APT28」によるもの、として、ロシア政府を非難する声明を出している。
特に政府や軍、セキュリティ関連組織などから、ロシア政府に有用と見られる情報にフォーカスした攻撃が特徴。
典型的な手口は、標的とした組織のドメイン名と類似したドメイン名を取得し、偽ウェブサイト(フィッシングサイト)を立ち上げて、内部システム侵入のためのパスワードなどの情報を盗み出す、というもののようだ。
クラウドストライクは、調査の過程でもう1つの侵入グループに行き当たる。
このグループは2015年の6月から1年にわたり、全国委員会の内部システムにアクセスを続けていたのだという。
このグループは「コージーベア(別名APT29)」と呼ばれ、ファンシーベアよりもさらに高いスキルを持つとされている。ソ連国家保安委員会(KGB)の後継組織で、諜報活動を行うロシア連邦保安庁(FSB)との関係が指摘されているグループだ。
特定の組織や個人に向けてカスタマイズした内容の偽メールを送りつけ、侵入プログラムをダウンロードさせる「スピア型攻撃(スピアフィッシング)」を得意とし、パソコンのウイルス対策ソフトにもひっかからないのだという。
ただ、ロシア軍参謀本部情報総局とロシア連邦保安庁は、情報機関としては政府内で競争関係にあるようだ。ファンシーベア、コージーベアの2グループは、互いに連携していた形跡はなく、全く別個に同じ民主党全国委員会を攻撃のターゲットにしていた、とクラウドストライクは見ている。
そして、攻撃手法はいずれも「国家レベル」の高度なものである、としている。
●サイバー攻撃が明らかにされる
クラウドストライクがブログでこの調査内容を明らかにしたのが6月15日。
ただ、この内容はその前日、ワシントン・ポストがスクープしていた。
ニューヨーク・タイムズはこのスクープを、共和党候補のトランプ氏とロシアのプーチン大統領の近さを印象づけるため、民主党がサイバー攻撃事件を利用しようとして、リークしたのではないか、と見立てている。
確かに、プーチン大統領はトランプ氏を「疑いなく聡明で有能な人物」と述べたりしているし、トランプ氏もプーチン大統領をオバマ米大統領より「優れた指導者だ」などと述べている。
また、トランプ氏は会見の場で、「ロシアよ、(クリントン氏の)消えた3万通のメールを探してくれないか」などと発言したりするものだから、さらに臆測を呼ぶ。
●自称ハッカー「グシファー2.0」が現れる
事件の見立てを混乱させたのが、「グシファー2.0(Gussifer2.0)」と名乗る自称ハッカーの登場だ。
民主党全国委員会へのサイバー攻撃とロシア政府の関与にメディアの関心が集まった直後、「グシファー2.0」はブログを立ち上げ、自分が1人でそのサイバー攻撃を行った、と"犯行声明"を出したのだ。
「グシファー」とは、ルーマニア出身で米政府高官らに対する不正アクセス容疑で逮捕された被告が名乗っていた名前。民主党大統領候補のクリントン氏の国務長官時代のメールも盗み出した、と述べていたようだが、それはウソだったことが明らかにされている。
「グシファー2.0」は、「グシファー」と同じルーマニア出身だと名乗り、全国委員会から盗み出されたトランプ氏に関する調査資料を、「これのことかい?」と公開。
さらに、民主党への献金者リスト、国務長官時代のクリントン氏のパソコンにあったと称する文書なども合わせて公開した。
●ロシア流の陽動作戦?
「グシファー2.0」が公開した文書は本物のようだが、この人物がルーマニア人で、全国委員会へのサイバー攻撃を1人で行った、という点については、専門家らから疑問の声が上がった。
テックメディアの「アルステクニカ」によると、「グシファー2.0」が公開した文書の履歴データを見ると、最終閲覧履歴がロシア語のコンピューター名で、"ソ連の秘密警察の父"と言われたフェリックス・ジェルジンスキーの名前になっていた、という。
ネットセキュリティ会社「スレットコネクト」は、「グシファー2.0」が行う技術的な説明が、"ハッカー"というレベルにはなく、その内容も一環していない、と指摘。
ロシアの情報機関などがよく使う陽動作戦「否定と欺瞞(D&D)」の一環ではないか、と見立てている。
また、「グシファー2.0」がメディア宛てに送ったメールを同社が解析したところ、ロシアのVPNサービスを使っていることがわかった、という。このVPNは、「ファンシーベア/ATP28」も使っているようだ。
●ウィキリークスが2万通のメールを暴露する
そして、民主党の大統領候補を指名する全国大会が開かれる直前というタイミングの7月22日、告発サイト「ウィキリークス」が1万9000通を超す民主党全国委員会の内部メールを公開する。
このメール公開の余波の一つが、全国委員会のデビー・ワッサーマン・シュルツ委員長の、全国大会開幕前日、24日の異例の辞任だ。
公開された中には、シュルツ委員長のメールもあり、クリントン氏と民主党大統領候補を争ったバーニー・サンダース氏について、「大統領にはならない」などと否定的な内容や、選挙運動の妨害を伺わせる内容が含まれていたため、批判が高まっていた。
ウィキリークスと「グシファー2.0」、「ファンシーベア/APT28」「コージーベア/APT29」との関係は明らかになってはいない。
ウィキリークスの創設者、ジュリアン・アサンジュさんは、暴露したメールの出元については明言を避けている。さらに、ロシアが出元かどうかについては、「そのような証拠は一切ない」と述べている。
またロシアのセルゲイ・ラブロフ外相は26日、東南アジア諸国連合(ASEAN)の外相会議で米国のジョン・ケリー国務長官と会談した際、サイバー攻撃についてのロシアへの批判に対し、「汚い言葉は使いたくない」との表現で否定したようだ。
●サイバー攻撃は、一方向だけではない
民主党へのサイバー攻撃は、まだ続いている
ロイターは29日、民主党全国委員会と同じビルにある同党議会選挙対策委員会(DCCC)がサイバー攻撃を受け、米連邦捜査局(FBI)が捜査に動いている、と報じた。
また同日夜には、民主党のクリントン選対陣営が使用する選挙分析システムにも、不正アクセスがあった、と声明を出している。全国委員会が管理しているシステムで、一連のサイバー攻撃の中で、アクセスが行われた、としている。
「ファンシーベア」「コージーベア」などの具体的な名前は、まだあがっていない。
ただ、サイバー攻撃は、当然のことながら、一方向だけではないようだ。
「コージーベア/APT29」との関係が指摘されるロシア連邦保安庁は30日、20を超すロシアの政府・軍関係機関が、計画的なサイバー攻撃を受けた、と発表した。
情報盗み出そうとするウイルスプログラムが発見された、という。
-----------------------------------
■ダン・ギルモア著『あなたがメディア ソーシャル新時代の情報術』全文公開中
(2016年7月30日「新聞紙学的」より転載)