「ランサムウェア」 攻撃、犯人特定の手掛かり

ゴードン・コレラ安全保障担当編集委員、BBCニュース

先週のサイバー攻撃を仕掛けた人物を見つけ出すための捜査は始まっており、最初の手掛かりが浮かび上っている。しかし決定的と言うにはほど遠い。

当初の推測は、攻撃の背後には犯罪組織がいるというものだった。なぜなら、ランサムウェアはそのような組織の金儲けの手口として典型的だからだ（国家の場合はむしろ、スパイ行為や妨害行為に関与する傾向にある）。

しかし当局者らは今、北朝鮮が関与した可能性も排除していないと話す。ただし、証拠は今のところ断片的だ。

攻撃の背後にあるコードは有害だったかもしれないが、実際にそこまで複雑ではなかった。例えば、何年もかけて開発しイランの核施設を狙ったスタックスネット （米国とイスラエルが開発 ）の規模には及ばない。

「洗練されているというよりずる賢い」とは、ある人が今回のランサムウェアを描写した言葉だ。特に、端末から端末へと自己増殖するワームの使い方が狡猾だ。

しかしそもそも最初にどうやって攻撃が始まったのかは、一部、謎のままだ。専門家は、ランサムウェアがどう入り込んだかを理解するため、最初に感染したコンピューター「患者第1号」を探している。

そこから、このランサムウェア （マルウェアの一種）は猛烈に広がった。組織内のコンピューターを探すだけでなく、接続して感染できるほかのコンピューターをインターネット上で探したのだ。

今回のランサムウェアには、変わった要素がいくつかあった。要求金額が比較的少なく、支払い先の仮想通貨ビットコインのウォレット数もまた少なかった。

そのような支払いを追跡すべく警察と連携する英国企業エリプティックの専門家は、今のところ、ビットコインのアカウントから金が引き出された様子はないと話す。ビットコインのアカウントは、捜査員が時に金の流れの追跡を試みる場所だ。

サイバーセキュリティのコンサルタント企業もまた、支払ったもののデータ回復には至っていない人がいると把握していると言う。

こうした兆候の一部を受け、攻撃を仕掛けた人物が比較的素人で、自分たちが何を拡散してどんな結果になり得るのかをきちんと理解していなかったのではないかとの疑問を持つ人が出てくるようになった。

国家が絡んでいるのではないかと指摘する調査員もいる。国家とは具体的には、北朝鮮だ。

ランサムウェアの初期のバージョン（その後、取り除かれている）で使用されたマルウェアが、それまではもっぱら「ラザルス」 として知られる北朝鮮のグループしか使っていなかったツールと重なることから、北朝鮮の可能性が浮上しているのだ。

サイバーセキュリティのあるアナリストはまた、「ラザルス」グループを観察している人たちが先月、同グループがビットコインを使用すべく研究しているのを把握したと話していた。攻撃に向けて準備していたとみることもできる。これが動かぬ証拠だというふりをする者はいない。

北朝鮮のサイバー攻撃はこれまで、今回のようにランサムウェアを世界的に爆発させるより、もっと狙いを定めたものだった。

北朝鮮の指導者をからかった映画を公開しようとしていたため、ソニーが攻撃されたこともあったが（データが盗まれたり消去されたりした）、ラザルス・グループの仕業とみられていた。

北朝鮮はまた、国際銀行間通信協会（SWIFT）が攻撃され、バングラデシュ中央銀行から不正送金された事件にも関与していた可能性があり、一部専門家はラザルス・グループの分派の仕業と考えている。

北朝鮮政府にとってランサムウェアの使用は今までとは違う別のやり方を意味する。ただその北朝鮮は金銭目当てに過去にサイバー攻撃を行ったと考えられているのだが。

北朝鮮の関与がもっともらしいと考えられる理由の1つに、タイミングがある。ミサイルや核実験をめぐり北朝鮮に圧力がかけられた直後にサイバー攻撃が起こったためだ（米国のサイバー攻撃も実験の成功を妨害するため、北朝鮮のミサイルや核実験を標的にした可能性がある）。

また北朝鮮が何らかの仕返しの方法を模索していた可能性がある（イランの核開発計画がサイバー攻撃を受けた後に、イランが複数の米国の銀行や中東のエネルギー会社に仕返ししたのと類似の方法で）。とはいえ、北朝鮮の関与を高い確信を持って断定するのは時期尚早だ。

北朝鮮による妨害、あるいは金銭目的の可能性に加え、別の集団が北朝鮮のコードを利用した、あるいは北朝鮮の人物だと見せかけようとした可能性もある。捜査員を欺くため第三者になりすます偽旗作戦はオンラインではかなり容易だ。

何らかの証拠が出てくるには時間がかかるかもしれない。コードを分析する研究者が発見する証拠もあれば、世界中の通信を見張る米国家安全保障局（NSA）やGCHQから収集する機密信号情報からくる証拠もあるだろう。後者のやり方でソニーへのサイバー攻撃を北朝鮮の仕業だと特定したようだ。

しかし、今回の攻撃が誰の仕業であるにせよ、犯人たちは大勢が自分たちを探していることを知るだろう。

（英語記事　Hunting the cyber-attackers）