「ランサムウェア」攻撃に北朝鮮関与の疑いも

デイブ・リー北米テクノロジー担当記者

Encrypted tweet message from Neel Mehta

画像提供, @neelmehta

画像説明, グーグルの研究者が最初に暗号コードをツイートし、北朝鮮系グループの関与の可能性を示唆した

12日から世界中に広がったサイバー攻撃は、誰が関与しているのか。現時点での推理は北朝鮮の可能性を示唆しているが、決定的な情報を得ているとはまったく言い難い。

「ラザラス・グループ」の名前は聞いたことがないかもしれない。けれども、その仕事ぶりは耳にしているかもしれない。2014年にソニー・ピクチャーズ・エンタテインメント、2016年にはバングラデシュの銀行に、それぞれ深刻なハッキング被害を与えたのが、高度な技術をもつこの「ラザルス・グループ」だと言われている。

そしてラザラス・グループは、中国国内で活動するものの、指示しているのは北朝鮮だと広く考えられているのだ。

コンピューター・セキュリティーの専門家たちは現在、12日からの世界的サイバー攻撃にもしかするとラザルス・グループが関わっているかもしれないと、慎重ながら可能性を検討し始めている。グーグル社のセキュリティー研究者、ニール・メータ氏が、今回の攻撃に使われた「WannaCry」というマルウェア(悪意あるソフトウェア)のコンピューター・コードと、ラザラス・グループが過去に作りだしたとされる他のツールのコードとの間に、類似性を見つけたのがきっかけだった。

証拠としてはわずかな断片にすぎない。しかしほかにも検討すべき手がかりはある。

英サリー大学のセキュリティー専門家、アラン・ウッドワード教授は私にメールで、最初のWannaCryのコードはタイムスタンプが「UTC +9」、つまり協定世界時より9時間早い中国の時間帯に設定されていたと指摘した。また、ウィルスに感染したコンピューターのロックを解除してもらいたければ「身代金」を払えと要求する文言が、英語は機械翻訳した英語のようだが、中国語の部分は明らかに中国語を母語とする人間が書いたものに見えるという。

「つまり、かなり覚束ないし、いずれも状況証拠だが、引き続き調べる価値はある」と教授は書いた。

コードを分析

調査はすでに始まっている。

An infected computer

画像提供, EPA

画像説明, マルウェア「WannaCry」は、「身代金」を払わなければユーザーのデータを消去すると脅す

「WannaCryの出所について、ニール・メータの発見は今のところ最も重要な手がかりだ」と、ロシアのセキュリティー企業カスペルスキーは評価する。ただし、結論を出すまでには、WannaCryの初期バージョンについてさらに情報が必要だという。

「世界中の研究者が、コードの類似性を調べて、WannaCryの出所に関する情報をもっと探り当てるのが大事だ」と同社は付け足した。

「バングラデシュの攻撃を振り返ると、最初の間はラザルス・グループとのつながりを示す情報はほとんどなかった。次第に証拠が増えて、関係していると自信を持って言えるようになった。点と点をつなぐには、調査継続が何より大事だということもある」

動画説明, サイバー攻撃から防御する3つの方法

サイバー攻撃の発信元を特定するのは、非常に困難なことで有名だ。確認が取れるというより、大勢がそうに違いないと合意したから、おそらくそうなのだろう――という結論で落ち着く場合が多い。

たとえば、ソニー・ピクチャーズのハッキングについて、北朝鮮は一切関与を認めていない。米政府やセキュリティー研究者は、北朝鮮犯人説に自信を持っているが、間違いだった可能性は排除できない。

有能なハッカーが似たようなテクニックを使って、北朝鮮を発信元のようにみせかけただけということもあり得るのだ。

「現状では証拠として不十分」

WannaCryの場合、ラザラス・グループが攻撃に使ったコードをハッカーたちがコピーしただけという可能性もある。

しかしカスペルスキー社は、WannaCryの中にわざと偽装情報を埋め込んでいたという説は「可能」だが、「あり得ない」とみている。共通する問題のコードは、WannaCryの修正版からは削除されていたからだ。

「もしも、という仮説要素が非常に多い」とウッドワード教授は言う。「現状では証拠として不十分だ。しかしさらに深掘りしていく価値はある。北朝鮮の可能性が指摘されるなか、北朝鮮だと思いたい確証バイアスが働く危険を意識しつつだが」

現時点ではWannaCryの出所に関する最強の仮説だが、その一方で、北朝鮮ではないと示唆する詳細データもある。

第一に、中国も大打撃を受けた国のひとつだったことが挙げられる。しかも偶然にではない。ハッカーたちは身代金要求の中国語版を着実に用意していたのだ。北朝鮮が最大支援国の中国をわざわざ怒らせようとするとは考えにくい。ロシアも、ひどい被害を受けた。

Poster for The Interview

画像提供, Getty Images

画像説明, セス・ローゲン監督の映画がこれほど世界政治に大影響を与えるとは、なかなか予想できなかった

第二に、北朝鮮のサイバー攻撃は従来、政治的意図をもって特定の標的を攻撃してきた。

ソニー・ピクチャーズの場合、金正恩氏を笑い者にした米映画「ザ・インタビュー」の公開阻止が攻撃のねらいだった。対照的にWannaCryの攻撃はとてつもなく無差別で、感染できるものはなんでも感染させた。

最後に、もしサイバー攻撃が単に身代金目当てのものだったなら、その点でも実に不首尾に終わっている。支払方法として指定された仮想通貨ビットコインのアカウントを分析すると、身代金として支払われた金額は約6万ドル(約680万円)にとどまっている。

20万台以上のコンピューターが感染したことを思うと、かなりひどい利益率だ。とはいえもちろん、身代金要求というのは目くらましで、まだ明らかになっていない別の政治的な目的があるのかもしれない。

ラザラス・グループは北朝鮮から別に指示を受けていない、単独犯だという可能性もある。ラザラス・グループは北朝鮮と何の関係もないという可能性さえ、あり得る。

答えよりも疑問の方が多い。そしてサイバー戦争において、事実は非常に手に入りにくいものなのだ。

(英語記事 WannaCry ransomware cyber-attack 'may have N Korea link')