「オリンピック・パラリンピック時に危惧されていた事態と、現在までに観測されたサイバー攻撃の照らし合わせ」
2021年7月23日より、1年越しに東京2020オリンピック・パラリンピックが開催されました。
観客の有無の決定がギリギリ、開会式のオープニングセレモニーの担当者が直前で外されるなどの波乱もありましたが、現状は無事に開催されているようでほっとしています。
さて、もう一つの波乱として我々の業界で注目されるものは、大会開催中に発生するサイバー攻撃です。
特に開会式では凶悪な攻撃が発生する傾向にあるため、筆者も開会式を見る傍ら何かしらのサイバー攻撃が発生していないかを様々なメディアを見ながらハラハラと調べていました。では何故ハラハラとしていたのか?
従来の大会で発生したサイバー攻撃を調べると、凶悪なものであるため継続のための復旧が大変であったり、国としての信頼が落ちたりと多大な被害を国が負うからです。
そこで、本記事では過去の事例からそもそもどんな攻撃が予測されていたのか、誰から攻撃される可能性があるのか、そして現在までにどんな攻撃が発生したのかについてまとめましたので、今後の開催期間中にも何が発生するのかの参考になればと思います。
過去事例から危惧されること
どのオリンピックでも等しくサイバー攻撃は発生していますが、特にロンドンオリンピック・パラリンピックから大きな事象が確認されています。特に、開会式周辺で悪質なサイバー攻撃が発生する傾向にあります。
そのため、本章では、ロンドン(英国)、リオ(ブラジル)、平昌(韓国)の各オリンピック・パラリンピックで発生した主なサイバー攻撃を簡潔にご紹介します。
1-1 2014年 ロンドンオリンピック・パラリンピック
日本ではなでしこジャパンが女子サッカーとして初の銀メダル、ボクシング男子では75キロ級の村田選手が1964年の東京大会以来48年ぶりに金メダルを獲得したなどの快挙が記憶にあります。
その裏では、大きな被害は出ていないものの、様々なサイバー攻撃が確認されています。
DoS攻撃、不正なアクセス、オンライン詐欺、マルウェア感染など様々ありますが、一番注目されたのは電力インフラに対する不正なアクセスです。
開会式中の40分間、オリンピック会場に電力供給を行うための監視制御システムに対して1000万回を超える接続要求が確認されました。*1事前対策が功を奏して被害は出なかった模様です。
加えて、停電しても30秒以内に復旧できるように、サブの発電機をホットスタンバイで用意していたため、事後対策も万全でした。
また、ハクティビストによるDoS攻撃も確認されましたが、事前にSNSから活動を察知していたため、被害を抑えられた模様です。
結果としては大きな被害はほぼ発生しませんでしたが、電力インフラに対する攻撃試行という非常に興味深く、実際に成功すると多大な被害を引き起こす活動が確認されたことが象徴的です。
1-2 2016年 リオオリンピック・パラリンピック
吉田沙保里選手が女子レスリングにて4連覇に届かず涙が印象的に残った大会です。
本大会で発生したサイバー攻撃ではDDoS攻撃の過激さが印象的でした。
大会にネットワークを提供したCisco Systemの調査では、大会開催期間中に大規模なDDoS攻撃が223回観測され*2 、Arbor Networks社の調査ではピーク時に540GbpsのDDoS攻撃を観測しています。
Arbor Networks社の2015年の記事では、当時に観測された最大の攻撃は196Gbpsであったと発表されていること*3から、2016年当時は五輪期間中に約3倍もの攻撃を継続して受けたことになります。
特にこの攻撃では、IoTボットネット「LizardStresser」が使用されたことから、従来のオリンピックを狙ったDDoS攻撃よりも過激さが向上しています。
また、このようなDDoS攻撃のほかにも、開催地周辺でクレジットカードを狙うスキミング行為や、個人情報を搾取するための悪意のあるWi-Fiアクセスポイントが設置されたりなどもしていました。*4
ロンドンオリンピックと同様に大きな被害は発生していないものの、IoTを活用したDDoS攻撃によって従来よりも過激な攻撃を実現したことが印象的です。
1-3 2018年 平昌オリンピック・パラリンピック
カーリング日本女子代表が後半戦に向けての作戦会議と、栄養補給を兼ねてフルーツを食べる姿が「もぐもぐタイム」と呼ばれたことが印象に残っている大会です。
本大会では他大会とは異なり、大きな攻撃が成功したことが話題になりました。
読者の皆様も耳にしたことがあるかもしれませんが、オリンピックデストロイヤーと呼ばれるワーム(Cisco Talosが命名)により、オリンピックのwebサイトがオフラインになり、会場のWi-Fiが使えなくなる、イベントのインターネット配信が止まる、開会式のチケットを発行できなくなる、などの様々な事象が開会式直前に発生しました。
現地技術スタッフの懸命な対応により開会式が終わる数分前までに、最小限のシステムを復旧し、その後夜通しの作業でシステム全体を復旧しました。*5
このオリンピックデストロイヤーによる攻撃を許してしまった一要因として、オリンピック関係の認証情報の漏えいが指摘されています。*6
この攻撃の犯人は、当初は中国だ北朝鮮だと予想されていましたが、最終的にはGRU(ロシア連邦軍参謀本部情報総局)であると結論付けられています。*7
根拠としてはリオオリンピック・パラリンピックにてロシア人選手のドーピング疑惑によりロシアの出場停止措置が行われたことが挙げられます。
また、マルウェア解析者の深い調査により、ロシア産の攻撃との類似性が指摘されています。*5
他の大会と異なり五輪関係者(現地スタッフ、記者)や一般客に見える形で被害が発生してしまったことにより、オリンピックに対するサイバー攻撃の脅威認識が広まったように思えます。
準備期間までに発生したサイバー攻撃
東京2020オリンピック・パラリンピックの開催までにもいくつかのサイバー攻撃が発生しています。
本番当日の準備活動なのか、単に五輪に便乗しただけの攻撃であるかは現状として不明なものもありますが、これから発生しうる攻撃の原因を予測する参考になるかと思いますので、幾つか紹介します。
2-1 ランサムウェア感染
2020年4月に、日本オリンピック委員会(JOC)がランサムウェア攻撃を受け、事務局のPCやサーバを全て入れ替えました。
「早く業務を再開したい」というJOCからの意向を受け、60台近くのPCやサーバを入れ替えたとのことです。
専門家の見解から、個人情報の流出はなかったとされています。*8
2-2 情報漏えい
2021年5月に確認された、富士通の情報共有ソフトへの不正アクセスによりNISC(内閣サイバーセキュリティセンター)の機器構成に関するデータが流出したと発表されました。*9
この続報として、NISCが実施した東京五輪に関するサイバー攻撃訓練の参加者情報も漏えいしていたことが判明しました。
平昌オリンピック・パラリンピックの件もあるため、こういった情報漏洩を起点にサイバー攻撃が発生する可能性があります。
2-3 ハッカーの活動
現状、ハクティビストらが攻撃の呼びかけをしているような動きは見当たりませんが、ダークウェブなどではハッカーが攻撃準備をしているやり取りが確認されているそうです。*10
2-4 その他
その他、東京2020オリンピック・パラリンピックにかこつけて、雑多な攻撃者が雑多なフィッシング詐欺や偽サイトを用いて個人情報を盗む活動などがあります。
チケットやグッズ販売などを悪用した内容になりますので、皆さまもご注意ください。
東京2020オリンピック・パラリンピックで発生する攻撃と狙われる対象の予測
過去のオリンピック・パラリンピックに対する攻撃結果を顧みて、今大会にて実施されそうな攻撃を列挙してみます。
- DoS攻撃:
前大会と比べ普及しているIoT機器の数が膨大になっていることから、テラバイト級のDDoS攻撃も夢ではないです。
また、今大会では選手の体調管理や競技の測定などにもIoT機器を積極的に活用することから、IoT機器のボットネット化によるDDoS攻撃の可能性もあり得ます。
従来通りであれば、ハクティビストからの攻撃が予測されます。
- Wi-Fi:
Wi-Fiは度々悪用されたり、攻撃対象となったりしていますが、今大会では観客がいない、スタッフも最小限となるため、人に対する影響は小さいと予想されます。
ただし、IoT機器がWi-Fiを使用して通信している場合、Wi-Fiを使用不可にすることで競技全体を継続不可能にすることは可能なため、攻撃者にとっては魅力的な攻撃対象です。
- マルウェア感染によるシステムダウン:
本大会もロシアという国としての出場停止措置が働いているため、前回の大会と同様にGRUからの攻撃が予測され、開会式の失敗を狙ってくるかもしれません。
- その他:
競技のインターネット配信サイトに対する偽サイトの乱立は従来通り発生するものと思われます。
- インフラ関係への攻撃:
ロンドンオリンピックでは電力インフラに対する攻撃が実際に行われたため、今大会でも同様の攻撃が発生しても不思議ではないです。
また、昨年から今年にかけて、イスラエルや米国で水道インフラに対するサイバー攻撃が立て続けに発生しています。
そのため、今大会中に同様の攻撃が発生する可能性も考えられます。
今大会が従来のオリンピックと異なるのは、コロナ禍であるということです。
そのため、既に選手村でコロナ感染者が出ているなどの理由から、偏った人からすれば感染拡大に寄与しているとして過剰反応を示す人たちが主導し、正義の活動としてサイバー攻撃を行うかもしれません。
一方で、Maze(閉鎖済み)やNetwalkerなどランサムウェアグループの一部は、医療機関への攻撃は標的にしないと宣言している*11ことから、攻撃者にも良心が残っていることは伺えます。今大会はコロナと闘いながらの開催となるため、同じように攻撃をしないという選択もあり得るかと思われます。
特に、この状況下で攻撃を仕掛けることは世界中から多大なバッシングを受ける可能性があるため、立場的な面からも攻撃を抑えるのではないかとも考えることができます。
現在までに発生しているサイバー攻撃
本記事の配信日7/29までに確認された大きな攻撃は特にありません。*12
筆者も開会式中はSNSを監視したり、トラフィック可視化ツールなどを眺めたりしていましたが、大きな動きはなかったように思われます。
無観客である、コロナ禍である、などの理由から攻撃メリットがないと判断され、見逃されたのでしょうか?
こまごまとしたものでは、今月の19日にトレンドマイクロが発見した、オリンピック・パラリンピックの配信を行うとしている偽サイトがいくつか発見されたり*13、スレットインテリジェンス上で東京オリンピック・パラリンピック関連を装ったマルウェアが発見されています。*14
オリンピック・パラリンピックの公式配信サイトは、NHK+、TVer、gorin.jpの3つとなっておりますので、他の名称のサイトを見かけた際はアクセスしないようご注意ください。
ちなみに、開会式の当日の午前中に東京2020オリンピック・パラリンピック組織委員会を含む様々なwebサイトが閲覧できなくなった事象については、当初はユーザの間でサイバー攻撃ではないかと騒がれていましたが、現在の公式な見解としては米アカマイ・テクノロジーズのソフトウェア構成のアップデートにともなうDNS障害とされています。*15
現状は目立った攻撃はありませんが、オリンピック・パラリンピック中は継続して攻撃が発生するものですので、我々も注視して情報を追っていきます。
まとめ
従来のオリンピック・パラリンピックでは電力インフラや重要システムへのマルウェア感染など、開会式を失敗させることで各国の重大イベントを失敗させようとする動きが確認されています。
このような背景から、東京2020オリンピック・パラリンピックにおいても様々な攻撃が事前に懸念されていましたが、ふたを開けてみると大きな動きは今のところ確認されていません。
防御が上手くいったのか、それとも攻撃が判明していないだけ(または調査中)なのか、そもそも攻撃活動がなかったのか、現状は情報が不足しているため判断できない状況ですので、何か動きがあれば本メールマガジンを通して情報を継続してお伝えできれば思います。
セキュリティニュース(国内編)「東京五輪でサイバー攻撃!? ニュースへの過剰反応」
国内はオリンピック関連のニュースで持ち切りですね。それら大量のニュースに埋もれて普段よりも国内のセキュリティ関連ニュースが少ないと感じています。
つまり、ネタがないです(!)そんな中で抽出した五輪関連のニュースをいくつかご紹介いたします。(他記事一本)
東京五輪でサイバー攻撃!? ニュースへの過剰反応
前の記事でもお伝えしましたが、オリンピックが開催される前後では開催国がサイバー攻撃者に狙われるのはサイバーセキュリティ界隈では常識になっております。
私自身もオリンピック開会式の頃はいつも以上にニュースに目を光らせながら生活しておりました。少しでもそれっぽいニュースがあると「ついにきたか...」と無駄に緊張したり、開会式のドローンの演出中では「ドローンハッキングされて暴れだしたりしないかな...」などと勝手に心配したりしておりました。
今のところ(2021年7月29日現在)、目立ったサイバー攻撃は確認されていませんが、「これは...?」と感じた件を2つほどご紹介します。
- 五輪チケット購入者のIDやパスワードがネットに公開されていた件
7月21日の夜に世間を騒がせたニュースです。*16 Twitterのトレンドにも一瞬だけランクインしていたのでとてもビックリしました。五輪のチケットを買うための専用サイトにログインするIDとパスワードが一部ネットで公開されているところが発見されたというのです。「これは大事件だ...」 と震えていたのですが、蓋を開けてみるとサイトがハッキングされて情報漏洩、ではなく個人のパソコンから流出した情報を何者かがかき集め、11アカウント分の情報が公開されたという内容でした。
しかも五輪関係者の個人パソコンではなく、チケット購入者のパソコンから漏洩とのこと。これは別件で大いに騒がれているフィッシングサイトなどから漏れてしまったと同じレベル感の事件ですね。トレンドにランクインしていたということは私と同じように勘違いした人が多いはず。報道の仕方って怖いですね。
- 官公庁や企業のウェブサイトで一時大規模な接続障害が発生した件
こちらは五輪開会式当日の早朝に報じられたニュースで、五輪の公式サイトを含む複数のWebサイトにアクセスできなくなった事件がありました。*17
アクセスできなくなったサイトとしては他にもPlayStation Network、JAL、JR東日本、富士通などがありました。タイミング的に「これは開会式を混乱に陥れるためにサイトに対してDDoS攻撃を...?」と感じざるを得ない内容でした。しかしこちらも蓋を開けてみると何のことはない、システムのソフトウェア更新の際の不具合であったとのことでした。アクセス障害が発生したサイトの共通点は、IT企業「米アカマイ・テクノロジーズ」が提供するネットワークサービスを利用したサイトであったということです。
事象は1時間程度で解消し、すぐにTwitterにて障害の発表がなされました。ご丁寧に「これはサイバー攻撃ではない」と報告していました。対応が迅速!にしても、そのタイミング悪さですよね。
ピリピリした状況の中、何か起きるのではと血眼になってニュースを見ていた私なので過剰反応してしまいましたが、あとから見返すとそうでもないですよね。
このまま何も起きなければよいのですが。...本当に何も起きないだなんてことがあるのでしょうか?(疑いの眼)
東京五輪に関係する日本語のファイル名を持つマルウェア(ワイパー)の解析
不思議な日本語名を冠したマルウェアが発見され話題になっています。*18
ファイル名は「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」というオリンピックっぽい雰囲気を醸す実行ファイルです。メールの件名にも似ています。このファイルは2021年07月20日(火) の15時頃、超有名スレットインテリジェンス「VirusTotal」にフランスからアップロードされたようです。
実体は実行ファイルですが、ファイルアイコンが偽装されており、あたかもPDFファイルであるかのようなアイコンで表示されます。
さて、このマルウェアですが、目的がイマイチはっきりしていません。
「VirusTotal」にアップロードされているだけで実際に配布されているところは観測されていません。
マルウェアの解析者を困らせる仕組みがふんだんに、不自然なほどふんだんに搭載されていることから、解析を行った方は「まるで対応者の解析能力をはかるCTFの検体を模倣したもののようにも感じます(引用:*18)」とコメントしています。しかしながらこれはしっかりと破壊活動を行うマルウェアであることには変わりありません。
ひとしきりデバック回避のプロセスを踏みつつ、実行環境がデバック環境でないことが分かると、ユーザフォルダ以下のドキュメントファイルを全て削除しにかかります。
対象ファイルはワード、エクセル、パワポ、PDFなどの一般的な拡張子に加え、一太郎で使われる「.jtd」などが含まれていることから、日本語のファイル名も相まって日本をターゲットとしたマルウェアなのではと推測されています。
この種類のマルウェアは破壊を目的としたワイパー型のマルウェアと呼ばれており、オリンピックに混乱をもたらしたいのかもしれません。
金銭を目的として身代金を要求するランサムウェアは支払いを済ませると暗号化されたファイルが元に戻る場合もありますが、ワイパーはとにかく破壊の限りを尽くすだけなので厄介な存在です。
平昌オリンピックで流行ったオリンピックデストロイヤーもこのワイパー型であり、混乱を巻き起こしていました。ご注意下さい。
セキュリティニュース(海外編)「二重恐喝の精度を向上するたゆまぬ努力の発見」
先々月から米国では話題が絶えないランサムウェアですが、最近のランサムウェアが積極的に取る身代金の要求手法「二重恐喝」に新たな工夫が発見されました。
ちょっとした一工夫ではありますが被害者への効果は大きく、攻撃者の努力と執念を感じるものでしたのでご紹介します。
また、米国のランサムウェアに対する新たな取り組みも発表されましたので、こちらも併せてご覧いただければと思います。
二重恐喝の精度を向上するたゆまぬ努力の発見
Mazeランサムウェアから始まり、日本でもCAPCOMに対するRagnar Lockerによる攻撃で話題になった手法「二重恐喝」ですが、この恐喝方法の精度を上げる手法がPaloalto Networks社の調査により発見されました。*19
ランサムウェアMespinozaを用いた攻撃グループが、被害者から確実に身代金を得るために被害者が関与したとされる違法行為(金銭の横領、意図的な情報漏えいなど)の証拠を脅迫文に追加するような手法を取っているとのことです。
これにより、被害者は心理的に追い詰められ、会社にバレないためにこっそりと身代金を支払わざるを得なくなります。
この手法を成功させるためには、攻撃者は被害者のシステム侵入後は従来以上に入念に探索活動を行い違法行為の証拠を発見します。
攻撃者の、絶対に攻撃を完遂するという強い執念を感じます。
RaaSのように攻撃が分業化されることが一般化している中で、攻撃を成功させる役割の人はランサムウェアの開発者から文句を言われたり、攻撃を成功させることができない人というレッテルを張られたりすることを避けるため、何が何でも身代金支払いを成功させたい、といったことが背景にあるようにも感じます。
攻撃者と言えど、人間関係には苦しめられてそうです
現状は日本語の情報をあさるような攻撃者はまだいないと思いますが、そのうち日本に特化した新たな脅迫方法も現れるかもしれませんね。
ランサムウェアの情報提供に1000万ドルの報奨金
コロニアルパイプラインやJBS米国拠点へのランサムウェア攻撃を受けたことも相まって、米国では米国外の悪意あるサイバー空間での活動に関する情報に対して、最大1000万ドル(約11億円)の報奨金を提供すると発表したようです。*20
おそらく、この報酬金によって元来サイバー空間で活動しているリサーチャーなどのモチベーションを上げたり、あるいは報奨金を餌にダークネットで活動している攻撃者コミュニティの端にいるような人から秘密裏に密告させたりすることで、米国への凶悪なサイバー攻撃を未然に防ぐことを目論んでいるのだと思われます。
また、同日にアメリカ政府主導のランサムウェア情報の提供・収集に特化したwebサイトも立ち上げられていることから、米国の国を挙げたランサムウェアに対する姿勢がどんどん強化されていることが伺えます。*21
このような活動により実際にランサムウェア被害を抑制できるのかどうかは未知数な部分も多いですが、この活動で実際に成果が出ることを期待したいところです。
■ 関連リンク・引用
*1: ロンドンオリンピック期間中のサイバー攻撃の数は?, 大塚商会, 2021/07/27
*2: Cisco's Digital Network Shines at Rio 2016 , Cisco Blogs, 2021/07/27
*3: 平均的なDDoS攻撃の規模が拡大― Arbor NetworksがATLASのデータを公開, アーバーネットワークス, 2021/07/27
*4: 第429号コラム「2016年リオ・オリンピックに関連したサイバー攻撃の発生状況と対処体制」, デジタル・フォレンジック研究会, 2021/07/27
*5: The Untold Story of the 2018 Olympics Cyberattack, the Most Deceptive Hack in History, WIRED, 2021/07/27
*6: 平昌冬期五輪を、さらなるサイバー攻撃が襲った──マルウェア「Olympic Destroyer」の正体 , WIRED.jp, 2021/07/27
*7: 東京五輪の妨害狙い、ロシアがサイバー攻撃 英政府が発表, BBC, 2021/07/27
*8: JOCにサイバー攻撃、全PC交換 金銭要求「ない」, 朝日新聞デジタル, 2021/07/27
*9: 富士通の情報共有ソフト不正アクセス 国交省などでも情報漏洩, NHK, 2021/07/27
*10: 東京五輪は「無事に」終わるのか セキュリティ担当者の懸念と不安:世界を読み解くニュース・サロン(1/5 ページ), IT総合情報ポータル「ITmedia」, 2021/07/27
*11: Ransomware Gangs to Stop Attacking Health Orgs During Pandemic, BleepingComputer.com, 2021/07/27
*12: 五輪へのサイバー攻撃確認されずと官房長官(共同通信), Yahoo!ニュース, 2021/07/27
*13: 開会式は「NHK+」のみ 偽サイトに注意 スマホやPCで東京五輪を見る方法, IT総合情報ポータル「ITmedia」, 2021/07/27
*14: 五輪セキュリティー対策かく乱ねらいか マルウエア見つかる, NHK, 2021/07/27
*15: AkamaiのCDNで障害、ソフトウェア構成の更新が原因, Security NEXT, 2021/07/27
*16: 東京五輪、チケット購入者の情報や機密文書が流出~国内メディア報道,iPhone Mania, 2021/07/27
*17: 官公庁や企業のウェブサイト 一時大規模な接続障害, NHK, 2021/07/27
*18: 東京五輪に関係する日本語のファイル名を持つマルウェア(ワイパー)の解析, 三井物産セキュアディレクション株式会社, 2021/07/27
*19: ランサムウェア「Mespinoza」の攻撃者、犯罪の証拠も探り二重恐喝, ZDNet Japan, 2021/07/27
*20: 米国務省、サイバー犯罪情報に1000万ドルの報奨金(暗号通貨で支払い), IT総合情報ポータル「ITmedia」, 2021/07/27
*21: Stop Ransomware,CISA, 2021/07/27
