世界が震撼「ランサムウェア」の背後で蠢く「米朝サイバー部隊」の実態--山田敏弘

ただ今回の攻撃が他と違うのは、背景に国家の存在があることだ。

2016年、筆者は国際刑事警察機構(ICPO=インターポール)のサイバー犯罪対策本部である「IGCI」を訪問した。

シンガポールの一等地にあるIGCIで取材を進めながら、筆者は捜査官らに決まって「いま世界的に最も警戒されているサイバー脅威にはどんなものがあるのか」と問うた。

すると、ほとんどが第1に挙げたのが、「ランサムウェア」だった。

ランサムウェアとは、マルウェア(不正なプログラム)を使って、「ランサム」――身代金という意味――を要求するサイバー攻撃である。

ランサムウェアに感染すると、パソコンやファイルが勝手に暗号化されたりアクセスできなくなり、元に戻すのに「身代金」の支払いを要求される、というものだ。

想像してみてほしい。会社や自宅のパソコン、もしくは自分のスマホが、ある日突然使えなくなり、身代金を支払わなければ元の状態に戻すことができなくなることを。

しかも身代金を支払っても、大事な写真や仕事のファイルなどが復活するかどうかの保証はない、ということを――。

世界150カ国以上で感染

5月12日、そんなランサムウェアが世界中で猛威を振るい、大きなニュースになったことは記憶に新しい。過去最大級とも言われるランサムウェアの感染は、世界150カ国以上、30万台を超えるコンピューターに及んだ。

その被害は、単にパソコンが使えなくなるだけではなかった。英国の病院では手術や診察が中止になったり、インドネシアでは国内最大のガン専門病院で患者のカルテにアクセスできなくなるなど、人命に影響しかねない被害も出た。

このランサムウェアの拡散が、世界に大きなインパクトを与えたことは間違いない。

現在、各国政府や世界のセキュリティ企業が、この攻撃を解明すべく検証を続けており、明らかになりつつあることも少なからずある。

その1つは、この攻撃の裏に北朝鮮と米国という国家の存在がちらつくことだ。

事件から数週間が経った今、改めてこの騒動と、その背後にいるとみられる北朝鮮と米国のサイバー部隊の実態について探ってみたい。

サイバー武器のオークション

冒頭でインターポールの捜査官たちが語っていたように、特に2016年以降、ランサムウェアによる攻撃は驚くほど急増している。

2016年だけでも、世界で6億3800万件が確認されており、前年比で167倍にもなる。また被害額は、2016年1~3月だけで2億ドルを超えており、2015年が2400万ドルだったことを考えると、その増加率の凄まじさが分かる。

こうした事実から、2016年は「ランサムウェアの年」と呼ばれたほどだ。今後、被害規模は年間10億ドルほどになるだろうとみられている。

この事実を踏まえると、今回の攻撃は過去最大級と規模は大きいが、攻撃自体は珍しいものではなく、予想できるものだったことが分かる。ただ今回の攻撃が他と違うのは、背景に国家の存在があることだ。

それを説明するには、時計の針を2016年8月まで戻す必要がある。

8月13日、「シャドウ・ブローカーズ」と名乗る謎の組織が、インターネット上に「サイバー武器にいくら支払う?」というメッセージをアップした。

米国のサイバー作戦を担う米NSA(国家安全保障局)が実際に使用している「サイバー武器」を手に入れ、これをオークションにかけると告知したのだ。

シャドウ・ブローカーズはロシアとの関与が指摘されている組織であり、この出来事は当時、サイバーセキュリティ業界で大変なニュースになった。

NSAは他国へのスパイ工作や破壊行為、妨害行為などサイバー攻撃を日常的に行い、その攻撃に使う数多くの武器――銃や爆弾などとは違い、コンピューター上で作られる不正なプログラム――を開発している。

一般には知られていないそれらの武器で、NSAはサイバー空間で縦横無尽に暗躍しているのである。

もちろん、そんな武器を表立って欲しいという人が現れるわけもなく、シャドウ・ブローカーズはその後も、保有するNSAのサイバー武器情報を小出しにしながら、購入者を探した。

しかし思うようにことが運ばず、結局、2017年4月にサイバー武器をいくつもオンライン上で暴露した。

公表されたものの中には、「EternalBlue(エターナルブルー)」と「DoublePulsar(ダブルパルサー)」というコードネームが付けられたサイバー武器が含まれていた。

NSAが悪用した「ゼロデイ」

エターナルブルーは、ファイル共有やプリンター接続に使われるシステムを悪用してパソコンを攻撃するツールであり、NSAはこのエターナルブルーで、まだ世の中には知られていないマイクロソフト製のOS「ウィンドウズ」にある脆弱性(セキュリティの穴または欠陥)を悪用していた。

この未知の脆弱性は「ゼロデイ」と呼ばれ、NSAはその「欠陥」の存在を秘密にして武器化していたために、マイクロソフトは修正プログラムやセキュリティアップデートを配布していない状態にあった。

一方、ダブルパルサーというサイバー武器は、1度パソコンに感染すると、後にランサムウェアなどを送り込めるよう、侵入可能な「裏口」をパソコンに作るサイバーツールだ。

こうした攻撃ツールをターゲットに感染させることができれば、コンピューターそのものだけでなく、コンピューターによって管理される様々なネットワークや、工場やインフラ施設などの制御装置を不正操作したり、最悪の場合は破壊や爆破を起こすことも可能になる。事実2009年には、イランの核燃料施設がNSAによって、サイバー兵器を駆使して破壊されたケースも起きている。

そうした危険なNSAのサイバー武器が、シャドウ・ブローカーズの手によってネット上で公開されたのだから、世界中にいる"ならず者"たちがそれを悪用しないわけがない。

北朝鮮による犯行の可能性

5月12日から世界規模で広がったランサムウェアでは、シャドウ・ブローカーズが暴露したサイバー武器が悪用された。

つまり、NSAのサイバー武器が結果的に、世界150カ国以上にランサムウェアの被害を広げる原因になったということになる。

今回の犯行手口は、まずエターナルブルーやダブルパルサーをパソコンに感染させ、侵入口を確保したところで、「WannaCry(ワナクライ)」と呼ばれるランサムウェアが内部に送り込まれる、というものだった。

そしてビットコイン(仮想通貨)の指定口座に身代金として300~600ドルを支払うよう要求した。

では、それを悪用した"ならず者"とは誰だったのか。

北朝鮮である。もっと具体的に言うと、北朝鮮の「ラザルス」というサイバー集団だったとの見方が強い。

世界的なサイバーセキュリティ大手で、北朝鮮のサイバー攻撃を過去にも追及してきた実績のある米国のファイア・アイ社とシマンテック社は揃って、今回のランサムウェアを解析する中で、北朝鮮による犯行の可能性がかなり強いと指摘している。

今回のランサムウェアでは、外貨獲得のためにサイバー空間で"強盗行為"を繰り返している北朝鮮にしては、身代金の要求金額が少ないとの見方もあった。

それを根拠として北朝鮮犯行説に否定的な見方をする人もいたが、専門家らの間では、早い段階で北朝鮮の関与が取り沙汰されていた。

確かに、北朝鮮のサイバー部隊は最近、銀行などを狙った大口のサイバー攻撃を強化していた。

たとえば、2016年2月にはラザルスがバングラデシュ中央銀行から、8100万ドル(約88億円)をサイバー攻撃により不正送金して、強奪に成功している。この事件を捜査している当局者は、「東アジア系の出し子がフィリピンや香港のカジノなどで、現金を引き出した」と著者の取材に語っている。

金銭目的ではない攻撃も

この北朝鮮のラザルスという集団は、2009年から活動しており、2015年末から本格的に世界中の銀行を狙うようになった。

これまで、ポーランド、インド、ベトナム、タイ、インドネシア、マレーシア、イラク、ケニア、ナイジェリア、ガボン、ウルグアイ、コスタリカなどの金融機関を攻撃してきた実績がある。

だが、今回のランサムウェア攻撃の目的が金銭ではなく、世界の注意を逸らすものだったとしたらどうだろうか。

ある米国人セキュリティ関係者は取材に対し、「ちょうどミサイル発射実験を頻発させていた北朝鮮が、ランサムウェアで国際社会を撹乱しようと考えたとしてもおかしくない」と語ったが、その線である可能性は十分に考えられる。

というのは、北朝鮮は金銭目的ではないサイバー攻撃を大々的に実施してきた過去があるからだ。

2013年には「ダークソウル」という名のマルウェアを使って、韓国の主要放送局や金融機関などに大規模サイバー攻撃を仕掛け、大量のコンピューターのデータを消去している。

2014年には、北朝鮮の指導者を暗殺するというコメディ映画を上映予定だった米ソニー・ピクチャーズ・エンタテインメントに対して、抗議の意味でオフィスを大規模サイバー攻撃し、大きな損害を与えているのだ。

偵察総局第121局

今回のランサムウェアのおかげで日本でも知られるようになったのは、北朝鮮のサイバー部隊のレベルが思いのほか高く、世界中で暗躍しているという事実だ。では北朝鮮のサイバー部隊とはどんな組織なのか。

北朝鮮では、朝鮮人民軍偵察総局がサイバー部隊を抱えている。

偵察総局の第121局という組織が、優秀なハッカーなど6000人以上を抱えているが、彼らの多くは、中国などに拠点を置いているとされる。

今回有名になったラザルスも、この第121局と関係しているとみられる。また偵察総局内には第91部隊という組織も置かれ、こちらはハッキングを専門としているようだ。

北朝鮮にとっては、サイバー攻撃はリスクもコストも低く済む。

経済制裁が強化され、武器・麻薬の密売といった不法行為が簡単ではなくなっていることも、サイバー攻撃強化を後押ししていると言える。

そうして得た金が、核・ミサイル開発の資金源となっているとの指摘もある。過去の攻撃などを見る限り、北朝鮮のサイバー攻撃能力は決して低くないのである。

NSAとサイバー軍

一方、今回の事件の元凶となった米国のサイバー兵力とは、一体どんなものなのか。

米国でサイバー攻撃を担うのは、米サイバー軍(USCYBERCOM)と、今回サイバー武器が盗まれたNSAだ。

米サイバー軍は2009年に米戦略軍の下に創設された比較的新しい組織であり、それまでサイバー防衛と攻撃に分かれて存在していた2つの組織が統合された。

NSAは1952年にハリー・トルーマン大統領によって設立され、長らく暗号解読やスパイ行為を実施してきた、言わずと知れた悪名高い情報機関である。NSAは冷戦終結後、旧ソ連の崩壊で下がりっぱなしの自分たちの存在価値を、サイバー分野に見出してきた。

2013年6月、NSAが長年、日本など同盟国を含む世界中のネット通信などを傍受、監視していた実態を元職員エドワード・スノーデンが告発した事件は、後に映画化もされたことで有名だ。

米国のサイバー戦略の歴史は、NSAが引っ張ってきたサイバー作戦を、体系的にまとめる役割としてサイバー軍が設立されたという流れである。

だからサイバー戦において、両組織は一蓮托生であり、どちらも米メリーランド州フォート・ミード陸軍基地の中に本部を置いている。

また両組織ともトップは同じ人物が兼務することになっており、現在はマイケル・ロジャース海軍中将が、NSA局長とサイバー軍司令官を務める。

役割分担としては、実行部隊はNSA、指揮系統はサイバー軍という区分けはあるが、作戦実行の段ではNSAが主導権をもつことも少なくない。

シャドウ・ブローカーズに盗まれたように、NSAは様々なサイバー兵器を開発・所有している。

パソコンのシステムやアプリケーションの未知の欠陥であるゼロデイを大量に地下市場で購入し、他国のコンピューターネットワークなどにも潜伏し、大規模監視活動からサイバー攻撃までを繰り広げている。

それ以外にも米国では、CIA(中央情報局)やFBI(連邦捜査局)がそれぞれの役割に応じたサイバー武器を使っている。

米国のサイバー戦略と実態については、最近出版した拙著『ゼロデイ 米中露サイバー戦争が世界を破壊する』で詳述しているので、そちらに譲りたい。

「BEC」という新しい脅威

最後に、インターポールでの取材に話を戻そう。

捜査官によれば、ランサムウェアに並んで現在世界的に脅威になっているサイバー攻撃があるという。

それは「ビジネス電子メール・コンプロマイズ(BEC)」という攻撃だ。

BECは、組織の上司などからのメールを装って不正プログラムをコンピューターに感染させる攻撃を指す。

そしてランサムウェアと同様、コンピューターから情報が盗み出されたり、乗っ取られて踏み台にされたり、最悪の場合はデータを消し去られてしまう場合もある。

BECは、今のところ日本ではあまり知られていないが、これから爆発的な被害をもたらす可能性があるという。

もちろん今回のランサムウェアのように、BECを悪用した、国家がからんだ大規模なサイバー攻撃も出てくるかもしれない。引き続き、サイバー空間の動向からは目が離せない。


山田敏弘

ジャーナリスト、ノンフィクション作家、翻訳家。講談社、ロイター通信社、ニューズウィーク日本版などを経て、米マサチューセッツ工科大学(MIT)のフルブライト研究員として国際情勢やサイバー安全保障の研究・取材活動に従事。帰国後の2016年からフリーとして、国際情勢全般、サイバー安全保障、テロリズム、米政治・外交・カルチャーなどについて取材し、連載など多数。テレビやラジオでも解説を行う。訳書に『黒いワールドカップ』(講談社)など、著書に『モンスター 暗躍する次のアルカイダ』(中央公論新社)、『ハリウッド検視ファイル トーマス野口の遺言』(新潮社)、『ゼロデイ 米中露サイバー戦争が世界を破壊する』(文芸春秋)など多数ある。

関連記事

(2017年6月7日フォーサイトより転載)