産経ニュース

平昌五輪を、さらなるサイバー攻撃が襲った マルウェア「Olympic Destroyer」の正体

WIRED WIRED

記事詳細

更新


平昌五輪を、さらなるサイバー攻撃が襲った マルウェア「Olympic Destroyer」の正体

ただ、今回の攻撃がウクライナの事例と異なるのは、Olympic Destroyerが破壊するのは感染したコンピューターのバックアップデータのみで、ほかのデータには手をつけていないという点だ。Talosの専門家たちは、マルウェアの最終的な目的について、感染したコンピューターと接続するサーヴァーに置かれたデータだと考えている。

サーヴァー上なら見つかりにくく、しかもより素早くデータを破壊できる。さらにコンピューター側にマルウェアを残し、アクセスを維持するのだ。ウィリアムズは「マルウェアを最適化したのかもしれません。できるだけ素早く大きな損害を与えようとしているのです」と説明する。

しかし、平昌のシステムは24時間以内に復旧した。NotPetyaの被害に遭った数万台のコンピューターでデータが永久に失われ、完全復旧に何週間もかかったのとは対照的だ。

『WIRED』US版は国際オリンピック委員会(IOC)にコメントを求めたが、平昌の組織委員会に問い合わせるよう言われ、回答はまだない。主催者側は容疑者や動機についてコメントを控えているとの報道もある。Talosは自社のセキュリティーソフトでこのマルウェアを検知し、入手したとしているが、発信元の詳細は明らかにしていない。

認証情報は開会前から漏洩していた

この攻撃が確かにオリンピックを標的としている証拠としては、マルウェアのコードにユーザーネームとパスワード44個のリストが含まれていたという事実がある。すべてが平昌五輪のウェブサイト「pyeongchang2018.com」のアカウントだった。

マルウェアはこれを足がかりに、ウィンドウズを遠隔操作する機能「PSExec」や、プログラミング言語の一種「Query Language」などを利用して勢力を広げ、ブラウザーデータやシステムメモリーを探し回って認証情報を盗み出した。

ウィリアムズは「アカウント44個を使ってログインし、そこからさらなるユーザーデータを抜き取る仕組みです」と言う。サイバーセキュリティー企業Crowdstrikeも2月9日に初めてこのマルウェアを発見したことから、開会式に合わせて起動するよう設定してあったと考えられる。

ハッカー集団がどのようにしてOlympic Destroyerを仕掛けたのか、そして44件の認証情報はどこから漏洩したのかなどは不明だ。Talosによれば、犯人が複数の拡散手法を用い、前もって認証情報を入手していたことを考えると、高度な技術をもつハッカー集団なのは間違いないとしている。

マーサーは「特定のシステムを狙って事前に入手した情報を組み込むというのは、素人にできることではありません。具体的なタスクを実行するマルウェアを使った攻撃で、標的も絞っています」と指摘する。それでも、Talosはロシアを含む特定の国の関与を示唆するのを避けている。高度な技術やこれまでに発見されたマルウェアとの類似性はあるが、ほかのハッカー集団が過去の事例をまねた可能性も否定はできないというのだ。

北朝鮮より「ロシア犯人説」が濃厚な理由

これに対し、米戦略国際問題研究所(CSIS)でテクノロジー・公共政策プログラムを専門とするジェームス・ルイスは、攻撃の政治的背景を考えればロシアが犯人だろうと指摘する。また、ロシア連邦軍参謀本部情報総局(GRU)の傘下にあるとされるハッカー集団「ファンシーベア」が、16年9月から五輪関連機関へのハッキング行為を続けている事実も忘れてはならない。

続きを読む

このニュースの写真

  • 平昌五輪を、さらなるサイバー攻撃が襲った マルウェア「Olympic Destroyer」の正体