ファイア・アイは11月25日、ロシアのハッカー集団による高度なサイバー攻撃「APT28」の説明会を東京都内で開催した。

APT28のターゲットはロシア当局にとって利益となるような相手国の政府や軍、安保組織で、それらの内部情報を収集していた。具体的には、ジョージア国(旧グルジア)やポーランド、NATO、欧州安全協力機構(OSCE)などが挙げられる。

これらの攻撃者は日本での展開が多く見られる「経済的利益」を目的としている標的型攻撃とは異なり、従来の「インテリジェンス活動」と同じスパイ活動を行っている。

マルウェアは長期間にわたって計画的に進化、発展しており、古くは2007年から活動。感染したシステムの環境に最適な外部との通信を行っており、マルウェア解析を回避する技術も実装していたという。

多くのマルウェアは、コア部分がロシア語環境で作成されたとみられる痕跡があり、作成された作業時間もロシアの業務時間であったケースが多かった。このことから、モスクワを拠点としており、政府の支援を受けている可能性が高いとファイア・アイは分析している。

同社はまた、「具体例として挙げた各国と武力衝突があった時期にサイバー攻撃も活性化している」とする。これは2008年8月のロシアとグルジアの武力衝突や、2014年6月のバルト海域におけるNATOとロシア双方の軍事演習、同6月~9月におけるウクライナやジョージア、モルドバにおける連合協定やロシアの軍事行動など、それぞれのタイミングでスピア・フィッシングメール攻撃や偽造ドメインの展開などが積極的に行われていた点を理由としている。

具体的な攻撃では、軍組織の偽サイトを構築し、ログイン情報を盗み取ろうとしたほか、軍事行動の内情を伝えるジャーナリストすらもターゲットになっていたという。

こうした地政学的な問題を誘発する出来事に合わせて、APT28のマルウェアは進化・発展を遂げており、ファイア・アイは「日本周辺でもこの種の攻撃が表面化していない潜在した状態で存在している可能性を否定できない」としている。

攻撃手法と日本への影響

実際に、緊急対処支援において表面化したサイバー攻撃への対処として現場で事実解明を行うと、その攻撃に関係する潜在化している事象を数多く確認できるようになっているという。

今後のサイバー攻撃では、消極的な姿勢が検知に繋がることは難しいため、「これまで以上に積極的な姿勢で検知することが求められる」としている。

綿密に攻撃計画を練る政府を狙った攻撃

説明会にはファイア・アイの最高技術責任者(CTO)の名和 利男氏が登壇。名和氏は11月1日付でCTOに就任しており、以前は航空自衛隊でセキュリティ担当として業務に従事していた。

ファイア・アイの最高技術責任者(CTO) 名和 利男氏

名和氏は欧州側で地政学的な動きが起きるたびにサイバー攻撃が活発化している状況を踏まえ「日本でも潜在的な事象はすでに存在している可能性が否めない」と指摘。中国や北朝鮮などの練度が低いサイバー攻撃ではない「高度な攻撃がすでに起こっている」という。ただ、どこの組織の攻撃か特定するにはエビデンス(証拠)に乏しいとしており、今後さらなる分析が必要だと話す。

「決してロシアに限った話ではなく、他の国や個々人から日本政府に対する攻撃は存在している。今回のサイバー攻撃については、会社の枠を超えて情報共有をセキュリティベンダー同士が行っている。ただ、経済的利益が得られるような攻撃ではなく、政府の機密情報を狙った攻撃は、官民連携だけではなく、官官連携(政府や省庁同士の連携)が必要」(名和氏)とのことで、民間企業を狙う「数撃ちゃ当たる戦法ではない慎重に時間をかけて侵入する」という攻撃の対策の重要性を説いていた。