Olympic Destroyer:オリンピックのハッキングは誰が

2018年3月10日
ニュース 特別プロジェクト 脅威

※2018年3月14日更新:Securelist記事へのリンクを追加しました。

かつて、オリンピックの期間中は参加国が戦争を中断し、政治的論争を脇にやったものでした。今は、それとは正反対の傾向が強まっています。平昌冬季オリンピックは、騒動で幕を開けました。正体不明のハッカーが開会式直前にサーバーにサイバー攻撃を仕掛け(英語)、チケットを発券できなくなった大勢の観客が開会式に参加できませんでした。

この攻撃に使われたOlympic Destroyerというマルウェアは、オリンピックの公式Webサイトをダウンさせ、スタジアム内Wi-Fiを使用不能にしただけでなく、オリンピック放映にも影響を及ぼしました。組織委員会は、深刻な結果に至ることはないと請け合いましたが、笑って済ませられる事態ではありませんでした。実際に何が起きたのか、背後にいるのは何者か、探るのは興味深いことです。

Olympic Destroyerの仕組み

拡散のメカニズムからいって、Olympic Destroyerはネットワークワームです。当社エキスパートの発見によると、伝播の起点となった初期感染は少なくともpyeongchang2018.com、スキーリゾートのネットワークサーバー、ITプロバイダーAtosのサーバーです。

これらプラットフォームから、Olympic DestroyerWindowsネットワーク共有を通じて自動的に拡散しました。拡散の途中で、感染先のコンピューターに保存されたパスワードを盗み、その先の拡散に利用しました。Olympic Destroyerの最終的な目的は、到達したネットワークドライブからファイルを消去し、感染したシステムを停止させることでした。

騒動を起こしたのは誰か

ジャーナリストやブロガーはオリンピックの開会式を混乱させようとしたのは誰か、その理由はなにかとの噂を書き立てました。真っ先に疑われたのは北朝鮮です。北朝鮮は組織委員会のコンピューターをスパイしていたと言われていました。

疑いの目は、当然のようにロシアに向かいました。ロシアは厳しい制約の下で選抜された選手のみがプレーすることを許され、国旗の使用は禁止されていました。しかし、中国のサイバー犯罪者が作成したマルウェアとOlympic Destroyerとの間に類似点が見つかると、疑惑は中国に移りました。

Kaspersky Labの調査

世間の憶測が飛び交う中、サイバーセキュリティのエキスパートたちは証拠探しを続けました。Kaspersky Labもまた、独自に調査を進めました。

最初のうち、多くのエキスパートと同様に、当社エキスパートも北朝鮮のサイバー犯罪者を疑いました。より具体的には、 Lazarus Groupです。Olympic Destroyerの一検体を調査したところ、Lazarusをダイレクトに作者と示す一連のデジタルフィンガープリントが見つかりました。

しかし、さらに調査を進めるにつれ、矛盾点が次々に現れました。見つかった「証拠」をすべて徹底的に再調査し、コードを詳細に確認した結果、決定的証拠と思われたものは、実際は熟練を要するイミテーション、いわゆる「偽旗」であることに当社エキスパートは気づきました。

さらに、 当社エキスパートは、ロシアのハッカー集団Sofacy(別名:APT28 Fancy Bear)に紐づく証拠をいくつか発見しました。しかし、この証拠も偽物である可能性は排除できません。トップレベルのサイバー諜報活動に関しては、100%確実なものなどないのです。

調査の詳細は、Kaspersky Labのグローバル調査分析チーム(GReAT)による分析記事(その1その2)をご覧ください(リンク先はいずれも英語記事)。