慰安婦問題について、いろんな報道: ロシアに制裁措置=サイバー攻撃に報復-米。西方望氏、米ロ・サイバー戦争勃発? 大統領選挙に関連するハッキングでアメリカがロシアを強く非難。「プーチン氏がサイバー攻撃に関与」 オバマ大統領。ロシアのサイバー攻撃「プーチン氏が関与」 オバマ大統領が報復措置を言明。西方望氏、米民主党全国委員会をハッキングした「ロシアハッカー」の手口。

Translate

2016年12月30日金曜日

ロシアに制裁措置=サイバー攻撃に報復-米。西方望氏、米ロ・サイバー戦争勃発? 大統領選挙に関連するハッキングでアメリカがロシアを強く非難。「プーチン氏がサイバー攻撃に関与」 オバマ大統領。ロシアのサイバー攻撃「プーチン氏が関与」 オバマ大統領が報復措置を言明。西方望氏、米民主党全国委員会をハッキングした「ロシアハッカー」の手口。

オバマ米大統領(写真左)とロシアのプーチン大統領(AFP=時事)
ロシア連邦保安局(FSB)本部ビル
=2007年7月、モスクワ(AFP=時事)
アメリカの大統領選挙に干渉するためにサイバー攻撃を仕掛けたとして、
オバマ大統領はロシアの外交官ら
35人を国外追放にするなどの報復措置を発表しました。

 この報復措置により、アメリカに駐在するロシアの外交官ら
35人が72時間以内に国外に追放され、ニューヨーク州などにある
2つのロシアの関連施設が閉鎖されます。
また、サイバー攻撃に関わったとして、
ロシアの情報機関など5つの組織と情報機関の幹部4人を
新たに制裁の対象に指定しました。
オバマ大統領は、声明で
「ロシアの攻撃的な行動への対応措置はこれですべてではない」
としてさらなる措置を取る可能性を示しました。
一方、トランプ次期大統領は声明を出し、
「アメリカはより大きなことに向かう時だ」
と報復に否定的な見方を示したうえで、
来週、情報当局と会談をすることを明らかにしました。
この報復措置に対して、ロシア大統領府のペスコフ報道官は
「制裁には根拠がなく、国際法違反」だとして
対抗措置を講じる考えを示しました。

16日、大統領として最後とみられる記者会見に臨んだアメリカのオバマ大統領

【ワシントン時事】オバマ米大統領は29日、大統領選を狙った
ロシアによるサイバー攻撃への報復として、ロシア情報機関などへの
制裁や情報機関メンバーと見なす外交官35人の国外追放を含む
一連の制裁措置を発表した。
ロシア政府は「相応の報復措置を取る」と反発。
ウクライナ紛争やシリア内戦をめぐり冷却化している
オバマ政権とロシアのプーチン政権の関係が、
一段と悪化する恐れがある。


一連の措置では、サイバー攻撃に関わった
ロシア軍参謀本部情報総局(GRU)や連邦保安局(FSB)など
5団体とGRU幹部4人を制裁対象とするほか、
情報活動に使われたメリーランド、ニューヨーク両州にある
二つのロシア政府所有施設も閉鎖する。
オバマ氏は「公表しない手段も含む、さまざまな措置を講じ続ける」と述べ、
サイバー攻撃による報復も辞さない構えを示した。
 オバマ氏は、米外交官がモスクワで、ロシア治安当局から
「容認できないレベルの嫌がらせ」を受けてきたことも、報復の理由に挙げた。
 民主党全国委員会などの内部メールが盗まれ、
告発サイト「ウィキリークス」で暴露された事件について、
米政府は大統領選に介入するためにロシアが関与したと断定。
オバマ氏は16日の会見で「ロシアではプーチン(の許可)なしに
多くのことは起こらない」と述べ、プーチン氏が攻撃を指示したと示唆していた。
 トランプ次期米大統領は29日の声明で「情報機関の幹部と来週会談し、
事実関係の最新情報を得る」と述べた。
ただ、ロシアとの関係改善に意欲を示すトランプ氏は
「より大きく、より良いことに関心を移すべき時だ」とも指摘。
来年1月20日の就任後、オバマ政権と同様に
ロシアへ厳しい姿勢で臨むかは不透明だ。

2016.12.30 08:06 2 産経ニュース
ロシア情報機関員35人を退去処分に
… その民主党大統領候補の予備選の最終盤、
民主党について思いがけないニュースが報じられた。
民主党全国委員会のコンピューターがハッキングされ、
メールや文書の他、本選での対立候補となる可能性が高い
トランプ氏について調査した資料などが外部からアクセスされたというのだ。
そしてその犯人はロシアの国家的支援を受けたハッカーだとも。
だが本サイトでもお伝えしたように、ロシア犯人説にはさまざまな疑問がある。
アメリカの諜報機関の高官なども確定的に語ったが、
説得力のある証拠は何一つ提示されていない。
むろんハッキングでは状況証拠しか得られないのが普通だし、
ある程度確かな情報を握っていたとしても
手の内を明かさないよう伏せておくこともある。
とはいえ証拠がないのであれば、
アメリカが非難しロシアが否定、で終わりだ。
いわば「いつもの展開」のまま事態は終息するかに思われた。

アメリカの分断はアメリカとロシアの分断
だが、7月25日からの民主党全国大会を前に驚くべき事件が起きた。

この民主党大会では、
民主党の大統領候補が正式に選ばれることになるが、
これに先立ってサンダース氏がとうとう敗北を認めて
クリントン氏の支持を表明しており、何の問題もなくクリントン氏が
選出されるものと思われていた。
ところが直前の7月22日、民主党全国委員会幹部がやり取りしたという
メールがWikiLeaksで公開され、その内容が大きな問題となった。
幹部らは明らかにクリントン氏の方に
肩入れするような発言をしていたのだ。

予備選の間からサンダース氏の支持者は、
クリントン氏の方が「ひいき」されているのではないかという疑念を表していたが、
それが裏付けられた格好だ。当然支持者らは収まらない。
全国大会会場の内外で非難の声を上げ、大会は大荒れとなった。
だがサンダース氏自身が彼らをなだめたことなどにより、
一応騒ぎは収まりクリントン氏が候補に選出された。
だがこの分断の傷は大きい。民主党の結束を弱め、
本選でクリントン氏が敗れた遠因の1つだと見ることもできるだろう。

そう、ご承知のとおり11月の本選では大方の予想を覆して
クリントン氏が敗北、
トランプ氏が次期大統領となるに足る選挙人を獲得した。
この結果アメリカ国内の分断はさらに深まったとも言えるが、
国外、つまりアメリカとロシアの分断でもまた新しい事態が勃発した。
12月になって、ロシアの国家支援を受けたハッカーは
共和党・民主党の両方に対してハッキングを行っており、
トランプ氏を勝たせるために
民主党に不利な情報だけ公開した、と報じられたのだ。
アメリカの各諜報機関は7月の事件の時点でロシアの関与を断定していたが、
今回改めてロシアを指弾、プーチン大統領の指示で行われたものと
明言する政府高官もいる。
オバマ大統領も、プーチン大統領の指示とまでは言わないものの、
プーチン大統領が知らないはずはないと匂わせ、
さらに驚くべきことに、9月のG20サミットの際に
直接プーチン大統領に対して、
ハッキングをすれば深刻な事態を招くと警告したと明らかにした。

しかし、今回もまたロシアがハッキングを行ったという
具体的証拠は全く示されておらず、
ロシアは当然この疑惑を一笑に付している。
今回の件を受けてトランプ氏がインタビューでいみじくも語ったように、
ハッキングは現行犯で捕まえるのでもないかぎり、
ロシアがやったのか、中国がやったのか、
それとも誰かがベッドからやったのかなどわかりはしない」のだ。
そもそもトランプ氏に勝たせてロシアに利があるか自体も疑問ではある。
今のところロシアに対して宥和的な発言をしているとはいえ、
百戦錬磨のビジネスマンであるトランプ氏の腹の内は知れたものではない。
むしろオバマ外交を継承するだろう
クリントン氏の方が与しやすいと考えることもできる。
なにしろ、ウクライナでもシリアでもプーチン大統領は
オバマ外交に圧勝していると言っていいのだ。
もちろん、単にアメリカの選挙を混乱させるためとか、
一部の勢力が独断で行ったとか、クリントン氏が言うような
「個人的に嫌われているから」いう可能性すらも否定はできないが、
いずれにせよ現在示されている程度の証拠ではお話にならない。


December 28, 20162016年

December 28, 20162016年

December 28, 20162016年
テロ事件証拠のiPhoneロック解除を巡る大論争

アメリカのオバマ大統領は、大統領選挙中に
ロシアがサイバー攻撃を仕掛けたとされる問題で
「プーチン大統領が指示した」という見方を示しました。

 アメリカ、オバマ大統領:
「ロシアがサイバー攻撃したという
情報機関の調査は非常に信頼性が高い。
プーチン大統領の了解なく、こうしたサイバー攻撃は起こらない」
 オバマ大統領は9月にプーチン大統領と会談した時に、
サイバー攻撃の即時停止を求め、
「深刻な結果を伴う」と対抗措置を警告したことを明らかにしました。
また、プーチン大統領について好意的な発言を繰り返す
トランプ次期大統領が
「実際に就任してすべての説明を受けてからどう対応するか
注目している」と話しました。
CIA(米中央情報局)は、ロシアがトランプ氏の勝利を狙って
民主党などにサイバー攻撃を仕掛けたと分析しています。
(C) CABLE NEWS NETWORK 2016

ロシアのサイバー攻撃「プーチン氏が関与」
アメリカ連邦捜査局(FBI)は16日、大統領選で
ドナルド・トランプ氏勝利を有利にするため
ロシアがサイバー攻撃を仕掛けたと結論づけた
中央情報局(CIA)の分析結果を支持する方針を固めた。

オバマ大統領は同日の会見で、「私が得た情報によれば、
ロシアがサイバー攻撃を実行したと確信を持って言える」と、
ロシアが関与していたと断定した。

NBCは15日、プーチン大統領が
サイバー攻撃を直接指示したと報じた
オバマ大統領はプーチン大統領の関与について
「ロシアでは、プーチン氏なしに
重要なことは実行されない」と語った。

オバマ大統領は、

ロシアへの報復措置を講じる考えを示した。

「目的は変わらない。
ロシアもしくはその他のハッキング組織に対し、
『アメリカに手を出すな、我々には対抗手段があるぞ』
という明確なメッセージを送ることだ」と、
オバマ大統領は述べた。
「しかし、慎重に、秩序に則った方法で対処することも大切だ。
公表される報復措置もあれば、
相手には伝わるが
公にはならないないやり方で実施される措置もあるだろう」
【参考記事】「ロシアのサイバー攻撃、
FBIはこれまでロシアのサイバー攻撃の
動機は不明と議会に説明していたが、
現在は、ロシア政府がトランプ氏勝利の可能性を
意図的に引き上げたとのCIAの見解に同意しているという。

FBIは10月、ロシアがサイバー攻撃を指揮していると初めて公表したが、
そのとき動機については明言しなかった。
11月8日の大統領選が近づくにつれ、民主党の議員は、
「流出したメールが民主党候補ヒラリー・クリントン氏の
選挙運動に悪影響を及ぼしているのは明らかだ」と不満を募らせ、
オバマ政権により強硬な対応を求めていた。

バラク・オバマ大統領は16日、おそらく在任中最後となる記者会見で、
ロシアのサイバー攻撃に対する政府の対応を擁護した。
「仮にホワイトハウスが大統領選の期間中有権者に対し、
『ロシアがトランプ当選の可能性を高めようとしている』と
明確に警告したら、クリントン氏の側に立った
政治的な芝居に見えただろう」と、オバマ大統領は記者会見で語った。

「党利党略が過熱した大統領選の雰囲気の中、
当時私が一番注意を払ったのは、どんな形であっても
選挙のプロセスが損なわれないようにすることだった。
当時私やホワイトハウスの高官が何か発言すれば、
すぐに党利党略ではないかという目で見られるという状況だった。
その中で私は、我が国はこの選挙を
正々堂々と闘っているという理解を
みんなで共有できるようにして欲しいと思っていた」と、
オバマ大統領は語った。

オバマ大統領はまた、9月に中国で行われた
G20サミットでプーチン大統領直接
「ハッキングの中止を求める。あなたが対処しなければ
深刻な結果になるだろう」と告げたことを明らかにした。

ロシアによるサイバー攻撃に関する質疑応答は

20分近くに及んだ。
この中でオバマ大統領は、民主党全国委員会(DNC)から
流出したメールを大々的に報じたことについて、
会見室にいた記者たちに自戒を求めた。
「ニュース報道が強迫観念に支配されていた」と、
オバマ大統領は語った。

「実際には、誰もがメール問題に関する情報を持っていた」と、
オバマ大統領は続けた。
「公になっていた情報だった。そして私たちは適切に対処していた」

上院情報特別委員会のリチャード・バー委員長(共和党)は
16日、FBIが何を根拠に10月の時点でロシアを名指ししたのか
再調査するつもりだと発表した
委員会では、退陣するオバマ政権と後継のトランプ政権の関係者に、
必要なら委員会に召喚し、聴取する予定だという。

バー委員長は、ロシアが故意に大統領選に介入して
トランプの勝利を援助したとのCIAの見解には言及しなかった。
バー委員長の事務所は、CIAが結論を導いた過程についても
委員会で再調査するつもりか、との質問には答えなかった。

バー委員長の発表の1週間前には、
ホワイトハウスが情報機関に命令して、
オバマ大統領が2017年1月に退陣するまでに、
大統領選に関わる「悪意あるサイバー攻撃」について
徹底的に再調査するよう求めた
民主党は、ロシアが選挙に及ぼした影響について
独立した調査機関を設置するよう強く要請した。
一方共和党は、トランプ次期大統領の姿勢にならい、
ロシアへの怒り、党派を超える

ホワイトハウスは、ロシアのサイバー攻撃に関して
追加の情報が開示されるには
数週間かかるという見通しを示しており、
19日に予定されている選挙人団の投票前に
くわしい情報は得られないことになりそうだ。

「これは国家にとっての危機であり、
ただちに国民に対して完全な説明がされないといけない」と、
民主党のロン・ウィデン上院議員は声明で述べた。
「外国政府が我が国の選挙に影響を及ぼそうとしたのなら、
非公開の調査をゆったりとやっている場合ではない。
そのような事実を隠し続けることはできないし、
大統領の就任演説が
行われる前に国民に説明されなければならない」

トランプ氏側は、ロシアの介入が
自陣に有利にしなかったとロシアによる
大統領選への介入があったとする情報機関の見方に
繰り返し疑問を示している。
共和党首脳のミッチ・マコーネル上院院内総務は、
サイバー攻撃問題に関する特別調査会の開催要請を拒否し、
代わりにホワイトハウスと上院情報委員会に調査を委ねた。

ロシアのハッキング疑惑が浮上して以来、
バー氏を含む共和党議員たちの動きは異例そのものだ。
共和党は従来ロシアによる
他国への干渉に強硬姿勢を取っている。
2014年にロシアがウクライナ領土だった
クリミアを併合し問題で、より強い制裁を課すべきだと
オバマ大統領を繰り返し激しく非難した。
ロシア政府とより親密な関係を築くことを公言している
トランプ氏が党の大統領候補となって以来、
共和党議員のロシア批判のトーンは明らかに下がっている。

オバマ大統領は会見で、共和党員の37%が
プーチン大統領に好意的だという調査結果について指摘し、
「ロナルド・レーガンが墓の中で嘆いていることだろう」と語った。

FBI、ロシア干渉とのCIA結論支持 サイバー攻撃で
2016/12/17 10:02 日経新聞
【ワシントン=共同】ロシアが米大統領選でトランプ氏勝利を狙い、
サイバー攻撃を仕掛けて干渉したと結論付けた
米中央情報局(CIA)の分析結果について、
米連邦捜査局(FBI)が支持する方針を示した。
ワシントン・ポスト紙電子版などが16日伝えた。

 CIAのブレナン長官は最近、FBIのコミー長官と
クラッパー国家情報長官の3人で会い、
ロシアが選挙に干渉したとの見解で
一致したことを部内で明らかにしていたという。

 FBIは海外からのサイバー攻撃について捜査し、
訴追を求める権限があるが、
今回の動きが訴追につながるのかどうかは不明。
ロイター通信は当局者の話として、
FBIが当初、CIAが示した証拠が
裁判で有罪が得られるほどの
水準に達していないとして、支持していなかったと伝えた。



米民主党全国委員会をハッキングした「ロシアハッカー」の手口
July 11, 2016 11:00 by 西方望
レトロPCから最新サイバー攻撃までカバーするフリーライター。
中国語・英語を操り、
海外の一次ソースをチェックしてから記事を執筆。
好きなものはゲーム、SF、海外ドラマ、そしてアルコール。
ダークウェブをテーマにした『闇ウェブ(ダークウェブ)』
(文春新書)の執筆に参加。

「アトリビューション(attribution)」という言葉がある。

一般的には「帰属」や「属性」、あるいは何らかの理由付けをすることだが、
ITセキュリティにおいては、サイバー攻撃の犯人が誰かを特定すること、
という意味で用いられる。
しかしほとんどの場合、正しいアトリビューションは容易なことではない。
実際のところ大規模なサイバー犯罪では、
100%疑いなく犯人がわかるということは、
まずほとんどあり得ないと言ってもいい。
例えば、2014年末のソニー・ピクチャーズエンタテインメントへの
攻撃では北朝鮮が犯人と名指しされたが、
それについての疑問も噴出した
サイバー攻撃の犯人を特定するのは難しい
アトリビューションには困難が伴うのは、
攻撃がネットだけで完結している場合、
証拠を消したり偽装したりすることは容易だからだ。
例えば攻撃者のIPアドレスそれ自体にはほとんど意味がないということは、
皆さんもよくご存じだろう。
よほどの間抜けでないかぎり、自分のアイデンティティに
直接結びつくIPアドレスのマシンから攻撃を行う犯罪者はいない。
赤の他人のPCを踏み台としたり、乗っ取ったPCの
ネットワーク(ボットネット)を操ったり、
そこからさらに第三者のPCを経由して攻撃するのが普通だ。
メールの文面やプログラムの変数名・コメントなどから
国籍を推定するというのもあまり信頼できない。
自分でその文なりコードなりを書いたのではなく
他人の作ったものを利用しているだけかもしれないし、
わざと別の国籍を装うことも考えられる。
覆面のコンビニ強盗が「カネ、カネ、キンコ」などと
片言の日本語で脅したからといって外国人とはかぎらないのと同じだ。
また、どのような種類の情報を狙ったかによって
犯人の目的を推測することも一助にはなるが、
これもやはり犯人が目くらましとして全く必要のない情報も
盗んだりしたという可能性は否定し得ない。
この他に、プログラムがコンパイルされた時間や
マルウェアが指示を受けていた時間などから
国(タイムゾーン)を推測する方法などもあるが、これも絶対ではない。
もちろん、どれも他の証拠と照らし合わせた上で
推理を補強する要素にはなり得るが、
確定的な根拠と言うにはほど遠いだろう。
ボットに指令を出したり情報を受け取ったりする
コマンド&コントロール(C&C)サーバーや、
C&Cサーバー同士あるいは上位のサーバーと
通信するためなどのネットワークインフラストラクチャも、
アトリビューションのための重要な要素だ。
このネットワークから指令を出している
攻撃者までのつながりが解明できれば話は早いのだが、
実際にはそこまで判明することはまずない。
しかし、例えば同じインフラストラクチャを利用していれば
同一グループかあるいは何らかの関係を持つグループ、
などといった推測が可能となる。
もっとも、他者のC&Cサーバーを
乗っ取って利用していた例などもあるので、
これもまた100%確実ではない。結局のところアトリビューションは、
さまざまな情報を組み合わせて
最も確度の高い答えを導き出す、という作業になる。
直接誰が犯人を示すものではないが、AとBが同じ人物
(グループ)なのかどうかを知るために重要なのが「手口」だ。
チェスや将棋で指し手の個性が出るように、
スポーツチームにはチームごとに異なる戦術があるように、
ハッカーやハッカーグループの攻撃手法にも
それぞれの特色や好みは出てくる。
人間がやっている以上当然のことだ。
もっとも、チェス・将棋・囲碁で人間が機械に敗れたのと同様、
サイバー攻撃もいずれは自動化され、
痕跡を残さず特色も見せず、といったことになるのかもしれないが、
そのころには防御や調査も自動化されて十分対応できると思いたい。
なお余談だが、米国防総省のDARPAは
サイバーセキュリティの自動化を競うコンペティション、
DARPA Cyber Grand Challengeを開催しており、
8月のDEFCON 24で決勝戦が行われることとなっている。
閑話休題。例えばある攻撃と別の攻撃で
同じマルウェアが使われたからといって、
それだけでは必ずしも同じ犯人とは言えない。
アンダーグラウンドで出回っているものを
別人が利用したのかもしれないし、盗み取られたものかもしれない。
だが、同じ国の同じ業種のターゲットを狙い、
同じタイプのマルウェアを同じような手法を使って感染させ、
同じやり方でマルウェアに指令を送り、
同じ手順でネットワーク調査や侵入の拡大を行い、
似たような構成のインフラストラクチャを経由して情報を抜き出す、
ということになると、同一犯という可能性はかなり高いと言える。
手口を精査することによるプロファイリングは、
別々の攻撃における犯人を同定するための最も重要な武器だろう。

2つのロシアハッカーグループが別個に侵入?

最近起きた米民主党全国委員会(DNC)のハッキングでは、
こういった「手口」からのアトリビューションの一端を
うかがい知ることができる。
この事件については、こちらの記事で詳しく解説しているが、
概要だけまとめておこう。何者かがDNCのネットワークに侵入し、
民主党の内部情報や対立する共和党大統領候補
ドナルド・トランプ氏を調査した情報などにアクセスした、というものだ。
セキュリティ企業CrowdStrikeによる調査などにより、
これはロシアの国家支援ハッカーによるものとされた。
だが、GUCCIFER 2.0を名乗るハッカーが
自らの単独犯であると主張し、DNCの内部文書を公開した……
CrowdStrikeはブログで、2つのハッカーグループが
別個にDNCに侵入したと結論づけており、
GUCCIFER 2.0が実際に侵入していたにせよ
誰かから情報提供を受けたにせよ、その事実は変わらないとしている。
CrowdStrikeが犯人として挙げているのは、
ロシアの国家支援ハッカーとして知られている
2つの有名なグループだ。
1つは「COZY BEAR」、FireEyeの言う「APT 29」、
Kasperskyなどの言う「CozyDuke」などと同一の存在と見られている。
もう1つは「FANCY BEAR」、こちらも「APT 28」
「Sofacy」「Pawn Storm」など多くの別名がある。
特に政治的なハッキングについての調査における
アトリビューション作業では、まず既に知られている
攻撃者(グループ)と共通する手口がないか
探すことになるだろう。
おそらくその結果COZY BEAR、FANCY BEARの
プロファイルに相当する十分な根拠が見つかったことにより
同定したと思われ、少なくともCrowdStrikeの発表の限りでは、
今回の攻撃が直接であれ間接であれ
地理的にロシアに結びつく要素があったとは示されていない
(C&CサーバーのIPアドレスが7つ挙げられているが、
ロシアのものは1つもない)。つまり、犯人はCOZY BEARと
FANCY BEARだと思われる、
彼らはロシア国家支援ハッカーと思われる、
だから今回の攻撃はロシアハッカーによるもの、
ということだが、これはそれほど薄弱な三段論法ではないだろう。
COZY BEARとFANCY BEARは以前から知られているグループで、
さまざまなセキュリティ企業がロシアに結び付く
状況証拠を示しており(状況証拠しかないのはやむを得ない)、
ロシアのグループであるという推定は妥当に思われる。
とはいえ、ロシア国家が支援しているという
具体的な根拠には乏しいが、
これは確定的証拠が見つかることはあり得ないだろう。
そしてCrowdStrikeは、ブログで
「過去にこの両攻撃者グループが我々の顧客を
ターゲットにしたことによる多数の経験があり、
彼らのことはよく知っている」と言っているように、
彼らの手口を熟知しているはずだ。
CrowdStrikeは、COZY BEARについて次のように述べている。
COZY BEARは広範なターゲットへのスピアフィッシングキャンペーンを好み、
メールにはドロッパーへのリンクが含まれている。
ドロッパーがPC上で起動すると、複数あるリモートアクセスツール
(RAT)の1つがダウンロードされる。
多くの場合、ドロッパーとペイロードの両方に、
仮想マシンやデバッガやサンドボックスによる
分析が行われていないか確認する技術が用いられている。
各種セキュリティソフトがインストールされていないか、
そしてその設定もチェックする。RATを検出するかもしれない
ソフト(のバージョン)などが見つかった場合動作を停止する。
こういった細かい設定に合わせられるというのは、
多くのリソースと綿密なテスト環境を持っていることを示している。
これにより検出を防ぎ、同じツールを使い続けられる。
ツールは、暗号化された設定ファイルを通じ、
C&Cサーバー、最初に実行するタスクのリスト、
持続メカニズム、暗号鍵などさまざまなコンポーネントを
高度にカスタマイズ可能。暗号化された
ペイロードのHTTPプロトコルがC&Cサーバーとの通信に用いられる。
一方FANCY BEARは、何年にもわたって開発されてきた
多数のツールを使い捨てている。
またLinux、OS X、iOS、Android、Windows Phoneの
マルウェアまで用いる。
彼らはターゲットとする組織のドメインによく似た
ドメインを登録するという手法で知られている。
ここに、被害者の使用するWebベースの
メールサービスに見た目や操作感を似せた
フィッシングサイトを立て、認証情報を盗み取る。
こうして見ると、たしかに攻撃のタイプがかなり違うことがわかる。
ステルス性のCOZY BEAR、開発力のFANCY BEARと言ったところか。
DNCの事件については、
それぞれのものとされる例が1つずつ紹介されている。
COZY BEARはかなり凝ったことをしている。
Pythonで書かれたツールを難読化したコマンドとして
Windows Powershellで実行、Windowsのドライバーの
管理に用いられるWindows Management Instrumentation
(WMI)データベースに潜み、バックドア機能を提供したり
他のPowershellモジュールをダウンロードしたりする。
一方FANCY BEARの例は、twain_64.dllに偽装したツールを
rundll32.exeで起動するという、今となっては
少し古典的な感じもする手法だ。
なるほど、技のCOZY、力のFANCYという印象を受ける。
もちろんこれだけなら、結論ありきで
それぞれの攻撃らしきものを当てはめた、
という見方もできてしまうが、実際には
この他多数の情報を総合した上で
COZY BEAR、FANCY BEARと特定したのだろう。
なおCrowdStrikeによれば、COZY BEARとFANCY BEARは
共にDNCに侵入したものの、両者が協力したり、
互いの存在を知っていたりした形跡は全く見られないという。
同じ国家が支援しているハッカー同士なのに、
と思われるかもしれないが、こういった類は珍しい話ではない。
「縦割り」は官僚機構の宿命とも言える。
日本の政府や自治体でも、組織間の連携が不十分
あるいは全くなかったり、縄張り争いをしている例は
いくらでも見られるだろう。
まして、おそらく史上最大の官僚システムを築いた
ソビエト連邦を継承するロシアであれば、
左手の行いを右手が知らない、といったことが
ごく普通であろうことは想像に難くない。
さらに、CrowdStrikeのブログからもリンクされている
シンクタンクの記事
にあるように、意図的に
複数の諜報機関を競わせているという見方もある。
今後も100%確実でなくとも犯人は「断定」される
DNCにロシアの国家支援ハッカーが侵入していたのか、
という点については
おそらくその確度はかなり高いと言っていいのではないか。
むろんCrowdStrikeが何らかの意図を持って
そう述べているという可能性がないとは言えないが、
実績のあるセキュリティ企業であり、
その推測を疑う理由は今のところはない。
しかし実際にロシアハッカーが侵入していたとしても、
それは他のハッカーは侵入していなかったということにはならない。
COZY BEARとFANCY BEARが互いに気づかず行動していたように、
さらに別の第三者が
やはりそれぞれを知らずに動き回っていたのかもしれないのだ。
GUCCIFER 2.0は、ロシアとは関係なく
全く別に侵入したハッカーだとも考えられる。
もちろん、GUCCIFER 2.0が
ロシアによる目くらましであるという可能性も十分あり得る。
しかし、今までロシアが指弾されたサイバー攻撃で
このような対抗策を採った例はなく、やや唐突な感は否めない。
そもそもこんな偽の手がかりを提示したところで
効果が薄いことはロシアもわかっているはずだ。
防衛やセキュリティの関係者なら、
「こいつが真犯人でロシアは白」などと考えるわけがなく、
上述のような「ロシアも黒、こいつも黒」という
想定の方がまず頭に浮かぶのは間違いない。
実際、CrowdStrikeはそういう見方のようだ。

いずれにせよ、新冷戦・第二次冷戦とも言われる
現在の国際情勢の中で、米ロ間・米中間などの
サイバー戦はさらに激化するのは確実だ。
武力衝突の場合は一歩間違えると
破滅的な報復合戦になりかねないが、
サイバー攻撃であれば報復の口実、
あるいは報復の対象すら見つけるのが難しい。
いわば「安全な戦争」だ。それだけに、
ある程度の根拠さえあれば
ことさら声高に相手を非難することになる。
100%正確なアトリビューションは
ほぼ不可能なのは何度も言ったとおりだが、
それでも今回のDNC事件同様に、
他国の国家支援ハッカーの仕業と
「断定」される事件はいよいよ増えていくだろう。
謎の親ロシアハッカー集団「サイバーベルクート」

2016年5月5日木曜日
【イスラム国(IS)】ネット空間で続く壮絶な対テロ戦 

0 件のコメント:

コメントを投稿