Sonyへの攻撃の黒幕は本当に北朝鮮か?

2014年12月20日

Sony Picturesに対するハッキングは、このホリデーシーズンを賑わし続けそうな勢いです。巷で語られる話が真実を映しているのであれば、この悪夢的状況は、たわいもないコメディ映画であるはずの『The Interview』に端を発しています。この映画のストーリーは、北朝鮮の最高指導者である金正恩氏にインタビューするというめったにない機会を得た2人のジャーナリストを軸に展開し、やがてこの隠者王国の独裁者の暗殺へと発展していきます。

Sony-hack

Sonyは、2011年春に1か月ほども続いたPlayStation Networkのハッキング事件を教訓にできなかったと見え、また別の深刻かつ屈辱的なセキュリティ事件の主役を演じることとなりました。

事のあらましは、こうです:

まず、Sony Pictures Entertainmentがハッキングを受けました。ハッキングに関与した集団は北朝鮮と組んでいる、と広く考えられています。続いて、このハッカー集団は、盗み出した情報を順不同に公開しはじめました。公開された情報は、映画や今後の映画の脚本、社員の医療情報、内部メールなど。彼らはついに、『The Interview』を公開すれば映画館を襲撃するとの脅迫に及びました。米国最大手の映画チェーンであるRegal Cinemasは映画を上映しない旨を発表し、Sonyは最終的に本映画の封切りを遅らせることを決定しました。

一般に、国家支援のハッキング集団が攻撃をしかけるとき、できるだけ目立たないようにするもの

一般的な論調は、攻撃の黒幕は北朝鮮である、というものです。しかし、これに懐疑的な見方も多々あり、いずれも正当な理由があります。一般に、国家支援のハッキング集団が攻撃をしかけるとき、できるだけ目立たないようにするものです。APT(advanced persistent threat)集団やその活動について言及される場合、「この国がおそらく関わっているであろう」と特定の国が名指しされるのが常ですが、攻撃者側が目指すのは、100%の確証をもって特定させないことです。責任の帰属先を完璧に突き止めることが本質的に難しい、というインターネットの現実が、それを後押ししています。

今回のケースでは、攻撃に関与したと主張する集団は、自らがハッキングしたSony Picturesネットワーク内のデスクトップに、人目をひく、正直なところばかばかしい、薄気味悪い骸骨の画像を掲示しました。APT集団の大半は、ハッキングしたネットワーク上で自らの存在をアピールなどしません。Guardians of Peaceは、Sony、映画ファン、さらには米国市民に対して深刻な脅迫を続けています。

疑問は残ります。北朝鮮は、何らかの形でSonyへの攻撃に関与しているのだろうか?Threatpostをはじめ多くの報道機関は、米国政府主導の見方に従い、この攻撃に北朝鮮が実際に「中心的に関与している」と報じています。米国政府が掴んでいる情報は現時点でほとんど表に出ていませんが、いずれホワイトハウスからの発表があることでしょう。

一方、Wiredは一貫して、Sonyへのハッキングと北朝鮮を結びつける証拠が乏しいとしています。Wiredは、その疑念を裏付けるものとして、攻撃主体の特定が困難であることを挙げ、今回の攻撃と北朝鮮を結びつける証拠はないとの公式見解を示したSonyおよびFBIの声明を引用しています。Wiredの主張に異論を唱える余地は小さそうです。ふざけた映画を口実に、外国政府が外国企業を公然と攻撃する理由などあるのでしょうか?

実際のところ、理由となりそうなものはいくつかあります。

一部では、『The Interview』に対する怒りは、北朝鮮がサイバー力(りょく)を誇示する口実であるとの見方があります。

「この件には、映画もSonyも関係ない」。ImmunityのCEOで元NSAサイエンティストのDave Aitel氏は、メーリングリスト「Dailydave」の中でこのように書いています。「核開発計画を立てるとき、自国に能力があることを他国へ示すために、弾頭を最低1つは爆発させなければならない。サイバーでも同じことだ」。

Threatpostがつい先日報じたところでは、Aitel氏はSonyへの攻撃に北朝鮮が関与していることを最初に公に論じた1人です。同氏はまた、今回の攻撃を、サウジアラビアの企業を襲った2012年のShamoon攻撃になぞらえています。Shamoon攻撃はイランが関与したとされ、サウジアラビア国営石油会社Saudi Aramcoのワークステーション30,000台が破壊されました。

Aitel氏はこう述べます。「イランは、自らにその力がありその気があることを示すために、Saudi Aramcoに対して、まったく同様のほぼ致命的な一撃を加えた。まさにSonyに起きたことだ」

これらの主張は申し分なく合理的です。北朝鮮がこのような攻撃をしかける気になった理由やどのように攻撃を遂行したのかについては、推測の域を出ていませんが。しかし、北朝鮮の関与を示す犯罪科学的かつ状況的証拠は実在します。

Kaspersky Labのリサーチャー、コート・バウムガートナー(Kurt Baumgartner)は、今月初めに公開したSecurelist記事の中で、Sonyへの攻撃と北朝鮮が関与したと見なされる別の攻撃との間に数々の類似点が見られると指摘しました。バウムガートナーは、攻撃者たちが自らの痕跡を隠すためにWiper系のマルウェア「Destover」を使って企業全体のハードディスクを上書きした点を挙げています。まさに同じマルウェアが韓国を標的としたDarkSeoul攻撃で利用されたと報じられており、その攻撃の主は同国の北に位置する隣国であると言われています。

Sonyへの攻撃については数多くの疑問が残されたままであり、事の収束にはほど遠いことでしょう。今後しばらく追う価値のある話です。攻撃の背後に誰がいるのか、真の動機は何であるのか、いずれ判明することでしょう。