ワシントン・ポストなどの報道によれば、米連邦捜査局(FBI)は、5月10日、「5月7日のコロニアル・パイプライン社に対するランサムウェア攻撃の加害者を、ロシアに拠点を置くとされるハッカーグループ『ダークサイド(Dark Side)』と特定した。ダークサイドは、悪質なコードによってサイバー攻撃を行い、主要パイプラインを操業停止に追い込んだ。この攻撃は、米国の重要なインフラにおけるこれまでで最悪のサイバー攻撃だ」と発表した。コロニアル・パイプライン社は、ガソリン、ディーゼル燃料、ジェット燃料、家庭暖房用石油、米軍用の燃料などの石油精製品を米国東海岸の45%に供給している。
今回のサイバー攻撃はランサムウェア(Ransomware)攻撃と呼ばれ、北朝鮮のハッカーグループが得意としてきた手口だ。ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称であり、金銭を目的とするコンピューターウィルスの一種である。このウィルスは、感染したパソコン内に保存しているデータを勝手に暗号化して、所有者が使えない状態にする。そして、パーソナルコンピューターの画面にその制限を解除するための身代金を要求する内容の文書を表示させて、所有者を恐喝するのだ。
ランサムウェアは、初期段階では攻撃の対象は一般ユーザーで、比較的少額の身代金を要求する攻撃だった。その際、ユーザーの多くは、暗号化されて使用できなくなったコンピューターの回復のため、要求に応じて金銭を支払った。こうした金銭目的のサイバーテロはそれまでにないものだった。2015年頃からは、多額の身代金を狙って攻撃の対象が大企業に拡大し、2017年には、ランサムウェアの一種であるワナクライ(WannaCry)が多くの民間企業と公的機関を攻撃したため、国家に対する大きな脅威となった。
ハッカーグループ『ダークサイド』とは何か
ダークサイドは、2020年8月以降、ランサムウェア攻撃を使用して米国とヨーロッパの企業をハッキングしてきた比較的新しいグループとして知られている。高度なマルウェアプログラムと革新的な攻撃方法を開発し、これまでグローバルな組織や政府に対して大規模なサイバー攻撃を行って、データ侵害、情報窃取、選挙妨害、その他の多くの悪意ある事件を引き起こしている。ダークサイドはロシアのナショナリズムの強い影響を受けており、ロシア政府は、ダークサイドなどが引き起こすサイバー犯罪を利用して米国、ヨーロッパなどにサイバー攻撃を仕掛けてきた(情報機関SVRが関与しているとも言われる)。
ダークサイドのランサムウェア攻撃は、ユーザーのデータを暗号化してロックするだけでなく、身代金が支払われなければ公開すると脅す「二重脅迫」を行っている。つまり、サイバー攻撃の時点で被害企業の機密情報は既に盗み出されており、身代金支払いを拒んだ場合にはデータ漏えいサイトでデータを公開すると脅迫される。ダークサイドは、身代金要求は20万ドルから200万ドルの範囲で身代金を主張してきたが、今回のコロニアル・パイプライン社の事件は破格の500万ドルの身代金を要求した。
サイバーセキュリティ会社カスペルスキーなどの情報をまとめると、「ダークサイドのランサムウェアは、デフォルトの言語設定がロシア語 、ウクライナ語、グルジア語、またはベラルーシ語のコンピューターをターゲットにすることは避けている」「ダークサイドは、プロフェッショナルなウェブサイトを利用してグループを『企業』と表現し、ウェブサイト上のプレスリリースで、病院、ホスピス、学校、大学、非営利団体、政府部門を対象としないと主張している」「グループは、身代金の収益の一部を慈善団体に寄付したと主張し、『ロビンフッド』のイメージを育てようとしている」などとのことだ。
また、ダークサイドは、使用するランサムウェア・コードが別のハッキンググループであるREvilで使用されるランサムウェア・ソフトウェアに似ていると指摘されており、REvilに非常に近い存在とされる。ちなみにハッキンググループREvilは、2020年5月11日、エンタテインメント系法律事務所最大手の「グラブマン・シャー・メサイラス&サックス」にハッカー攻撃を仕掛け、契約書や機密合意書、電話番号、Eメール・アドレス、裁判所記録、私信といった社外秘の情報を盗んだことで有名だ。
東京オリンピックに向けたロシア・ハッカーグループとの戦い
2020年、ロシアのサイバー攻撃は活発な活動を見せ、ロシア情報機関のFSB(ロシア連邦保安庁)やSVR(ロシア対外情報庁)、GRU(軍参謀本部情報総局)が関係しているとされるハッカーグループAPT28やAPT29などが病院や製薬会社、医薬研究所などに対し、コロナワクチン情報の窃取を目的にサイバー攻撃を行った。
さらに米国コロニアル・パイプラインを攻撃したダークサイドは、「2021年5月14日、日本の東芝グループに対してもサイバー攻撃を行って機密性の高い情報を盗み、匿名性の高い闇サイト『ダークウェブ』上に、東芝グループのフランスの拠点から740ギガバイト以上の機密情報を盗んだ」との犯行声明を出した。この事件により、ダークサイドが米国や欧州だけではなく、日本も攻撃対象としていることが明らかとなった(共同通信)。
そして我が国に対してサイバー攻撃を行っているハッカーグループは、ダークサイドだけではない。昨年(2020年)10月、英国政府は、「ロシアのGRUが、東京五輪・パラリンピックの関係者や関係団体に対してサイバー攻撃を実行した」と発表したほか、「GRUが2018年2月に韓国で開かれた平昌冬季五輪にもサイバー攻撃を加えていた」と公表した。さらに米司法省は、「GRUの情報員6人を平昌五輪などに対するサイバー攻撃に関連して刑事訴追した」と発表した。この背景にはロシアが組織的なドーピング問題で平昌五輪や東京五輪から除外される裁定が下されたことがあり、東京オリンピックへの激しいサイバー攻撃が予想される。既に我が国においても、ホワイトハッカーの育成やハッカー組織の結成などに着手している。しかし、最近のサイバー攻撃の傾向を分析すれば、サイバー攻撃の対象が東京オリンピックの関連組織、企業だけではなく、電力、ガス、水道などの重要インフラにも拡大していると見るべきだ。こうしたサイバー攻撃に対抗するためには、日米英など先進国が結束して、官民のサイバーディフェンス専門組織と連携した強固な対策を行うべきだ。