進化し続けるサイバー攻撃 - サイバー空間は悪者ばかり ?
今回の「IT系のお役立ち情報」では、久しぶりにサイバー攻撃についての情報を紹介したいと思います。
前回、サイバー攻撃やマルウェア等のウイルスに関しては、2018年8月に、下記ブログで「セキュリティソフト」についての情報を紹介しました。
★過去ブログ:セキュリティ・ソフトウェアのアレコレ
このブログでは、自分のPCに、セキュリティソフトがインストールされているか否かを確認する方法から、セキュリティソフトで出来る事/出来ない事まで、結構様々な事を紹介しました。
しかし、犯罪者によるサイバー攻撃は、本当に際限なく行われ、かつ日々進化を遂げています。
弊社のお客様でもあった「IPA(Information-technology Promotion Agency/独立行政法人情報処理推進機構)」様では、毎月何件ものセキュリティ情報を発信しています。
IPAによると、脆弱性(セキュリティホール)が多いのが、次のソフトウェアとなっているようです。
・Microsoft社 :IE(Internet Explorer)
・Adobe社 :Acrobat Reader、Flash Player
これら3社のソフトウェア製品に関しては、毎月、あるいは毎週のように脆弱性が報告されているようです。
Google社が、自社のWebブラウザ「Chrome」から、JavaやFlash Playerを締め出したのも納得が行く対応だと思います。
--------------------------------------------------------------------------------------------------------
このように世の中では、相も変わらずサイバー攻撃が行われており、なおかつ、攻撃の手口も日々進化を遂げており、もう素人レベルでは、正規の動作なのか、それともサイバー攻撃なのかさえ、簡単には判断が出来ない状況になってしまっています。
そこで、今回は、次のようなサイバー攻撃を紹介したいと思います。
しかし、最後の善玉ワームは、名前の通り、マルウェアを駆逐してくれる良いウイルスです。
詳しくは、該当の章で説明しますが、このウイルス、現時点では、誰が作成したのか解らない謎のウイルスですが、確かに「IoT」機器に侵入したマルウェア「Mirai」の動きを抑止しようと頑張ってくれるようです。
現代では、人間の身体以外、ソフトウェアの中でも、善玉菌と悪玉菌が戦いを繰り広げる世の中になってしまったようです。
それでは今回も宜しくお願いします。
■人の目では識別不能な「ホモグラフ攻撃」
皆さん、「ホモグラフ(Homo Graph)」と言う言葉はご存知ですか ?
「ホモ(homo)」は、ギリシャ語で「同じ」を意味し、「グラフ(graph)」は「文字」を意味していますので、両方合わせて『 同じ文字/同形異義語 』と言う事になります。(※同綴異義語:どうてつ-いぎご)
つまり、発音の仕方は問わず、スペルが同じ、次の様な文字が「ホモグラフ」となります。
・wind :「風」 / 「巻く」
・down :「下方向」 / 「鳥の綿毛」
・lead :「鉛」 / 「導く/先行」
・sound :「音」 / 「健全/堅実」
・bass :「楽器バス」 / 「魚バス」
そして、「ホモグラフ攻撃」とは、WebサイトのURLを正規サイトと酷似した異なる文字で偽装し、Webサイト閲覧者を偽サイトに誘導する攻撃となります。
--------------------------------------------------------------------------------------------------------
通常、WebサイトのURL(Uniform Resource Locator)には、インターネット上のWebサイトの住所を指定する事になっており、弊社のホームページのURLは、次の様な形式となっています。
エム・システムのホームページ:http://msystm.co.jp/
また、より安全に通信を行う事が出来るURLには、「http」の後ろに「s」を付けた「https」と言うプロトコルがあります。(※正確には、SSL/TLSプロトコルにより提供されるHTTP通信)
・HTTP :Hyper Text Transfer Protocol
・HTTPS :Hyper Text Transfer Protocol Secure / 通称「SSL通信)
HTTPは、インターネット内での通信を「平文」で行っているので、悪意のある第三者がインターネット通信を傍受した場合、通信内容を盗聴することが可能となってしまっています。
このため、SSL通信は、当初、インターネット決済やネットバンキング等、インターネット内で電子決済を行う場合に、通信内容を暗号化する事で、個人情報の盗聴やデータ改ざんを防止する事を目的として利用されていました。
しかし、その後は、公衆無線LANの拡大や、アメリカ政府、特にNSAが2007年から運用を開始した「PRISM」と呼ばれる通信監視プログラムへの対抗措置として、SSL通信が拡大しています。
このため、現在、Google社のWebブラウザ「Chrome」では、SSL通信を行っていないWebサイトに関しては、意図的に、「保護されていない通信」と、嫌味の様に表示する仕様に変更されています。
また、SSL通信を行っている場合、WebブラウザのURL欄に「カギ」マークが付きます。
この「カギ」マークは、該当Webサイトがセキュア(安全)な環境で行われている事を示しており、「カギ」マークをクリックすると、このWebサイトを保証する証明書等の情報を参照する事が出来ます。
※SSL :Secure Sockets Layer
※TLS :Transport Layer Security
--------------------------------------------------------------------------------------------------------
このように、URL情報に、SSL通信を行っていると言うマークが表示されていれば、普通、誰でも、そのWebサイトは安全なサイトだと思ってしまいます。
しかし、次の画像を、よ~く見て下さい。
URL情報は「https://www.apple.com」と、アメリカのApple社のURLとなっており、なおかつSSL接続を示すカギマークまで付いています。
しかも、カギマークをクリックすると、ちゃんと証明書情報まで表示され、ちゃんとApple社のURLを表示し、安全な接続とまで表示されます。
にも関わらず、表示されているのはApple社のWebサイトではありません。これは、一体どういう事なのでしょうか ?
--------------------------------------------------------------------------------------------------------
このサイトは、「The Hacker News」と言う、ソーシャル・ニュース・サイトの「Mohit Kumar」氏が、「ホモグラム攻撃」の危険性を啓発するために作成したデモサイトです。悪意のあるページではないので安心して下さい。
「ホモグラフ」と「ホモグラフ攻撃」の意味は、本章の最初に紹介した通りです。
今回、「Mohit Kumar」氏は、Apple社のURLを偽装したページを作成し、皆さんを偽ページに誘導しました。
このサイトの本当のURLは「https://www.xn--80ak6aa92e.com/」なのですが、一部、「ホモグラフ攻撃」対策を施していないブラウザでは、この通り「https://www.apple.com」と表示されてしまうのです。
今回、「Mohit Kumar」氏が行ったのは、「ホモグラフ攻撃」の進化版と言われています。
本来、「ホモグラフ攻撃」は、もっとシンプルで、例えば、下記のような偽装となるそうです。
ケース1:https://www.apple.com → https://www.appie.com 「l」と「i」
ケース2:https://www.google.com/ → https://www.G0OGLE.com/ 「O」と「0(ゼロ)」
ケース3:https://www.microsoft.com/ → https://www.rnicrosoft.com/ 「m」と「r / n」
ケース1は、英小文字「l(エル)」を英小文字「i(アイ)」で偽装し、ケース2は、英大文字「O(オー)」を数字「0(ゼロ)」で偽装、ケース3は、英小文字「r(アール)」と「n(エヌ)を連続させて「m(エム)」に見せかけて偽装しています。
--------------------------------------------------------------------------------------------------------
このように、通常は、よく見れば、人間の目でも、何とか偽造を見破れるのですが、先の「Mohit Kumar」氏の「ホモグラフ攻撃」は、(使用ブラウザによっては)人間の目では判別不可能です。
この「ホモグラフ攻撃」」は、前述の通り、進化型の「ホモグラフ攻撃」で、文字コードを悪用した攻撃です。
Webブラウザでは、通常、文字コードとして「Unicode(ユニコード)」が使われていますが、この文字コードとは別に「Punycode(ピュニコード)」と言う文字コードも存在します。
「Punycode」とは、詳しく説明すると、かなり複雑な説明になってしまいますので、今回は簡単に説明しますが、現在、インターネットでは、日本語のドメインも使用可能となっています。
ところが、ドメインを管理するサーバー(DNSサーバー)では、日本語を、そのまま使用することは不可能となっています。
このため、英数字以外の言語で入力された文字列を、DNSサーバーで取り扱う事が出来るように、日本語のドメイン名を英数字コードに変換する必要があり、その際に使用する文字コードが「Punycode」となっています。
例えば、弊社のドメイン名を日本語ドメインで使用する場合、次のように日本語ドメインが「Punycode」に変換されます。
日本語「エムシステム」 → Punycode「xn--ick4ag6c5gd」
そこで、問題の「Mohit Kumar」氏の「ホモグラフ攻撃」ですが、このケースでは、次のように「Punycode」に変換されます。
Punycode「https://www.xn--80ak6aa92e.com」 → Unicode「https://www.аррӏе.com」
--------------------------------------------------------------------------------------------------------
現在、多くのブラウザでは、前述の進化型ホモグラフ攻撃にも対応しており、私が確認した所では、下記ブラウザでは、URL欄に「https://www.xn--80ak6aa92e.com」と入力しても、ちゃんと「Punycode(ピュニコード)」そのものが表示されるようになっているようです。
・Edge
但し、ChromeやFirefoxでも、古いバージョンでは、この「進化型ホモグラフ攻撃」に対応していませんので、早急に最新版にアップデートする事をお勧めします。
なお、古いバージョンでも、あるコマンドを入力する事で、Punycodeの自動変換をOFFにして、偽装サイトか否かを区別する事が出来るように、ユーザー側で対応策を打つことは可能な様ですが、それならば最新版にアップデートした方が簡単だと思います。
ちなみに、ChromeもFirefoxも、「Mohit Kumar」氏からの指摘を受け、この攻撃への対応を行った事が記録されているようです。
■マルウェア「Stuxnet」の脅威
次は、過去にも本ブログでも過去に紹介したマルウェア「Stuxnet(スタックスネット)」の脅威を取り上げたいと思います。
本ブログでは、下記2つの記事で、このマルウェア「Stuxnet」を取り上げて紹介しています。
【 過去ブログ 】
・新種のサイバー攻撃に備える ~ 感染したらもうお終い その2
このマルウェア「Stuxnet」に関しては、確認は取れてはいないですし、当事者も(当然)認めていないのですが、その筋の方々の話では、アメリカの「国家安全保障局(NSA)」とイスラエル参謀本部諜報局の情報収集部門の一部署「8200部隊」が共同で開発してイランの核施設を攻撃したと言う話が伝わっています。
この攻撃では、USBメモリにマルウェア「Stuxnet」を仕込み、このUSBを、インターネットから隔離されたウラン濃縮のために使用する遠心分離機の制御装置に接続させることで、マルウェアを感染させたと言われています。
マルウェア「Stuxnet」に感染した制御装置は、遠心分離機の回転速度を急激に早めることで、大量の遠心分離機を破壊し、最終的に、イランの核開発を大幅に遅らせる事が出来たと言われています。
イランの核施設を攻撃したマルウェア「Stuxnet」に関しては、様々な実行条件を付加し、このイランの核施設の環境でしかマルウェアが動作しないような仕組みになっていた事が明らかになっています。
--------------------------------------------------------------------------------------------------------
そして、このマルウェア「Stuxnet」は、Windows OSの脆弱性を攻撃する仕組みとなっており、この攻撃では、「Windows Shell(シェル)」に存在した脆弱性を攻撃しています。
この脆弱性は、今を遡ること約9年、2010年8月に検出され、「CVE-2010-2568」と言う番号で管理されており、修正パッチ番号「MS10-046」を適用する事で修正することが出来ます。
そして、この脆弱性ですが、下記のWindows OSに存在しています。
・PCの場合 : Windows XP、Windows Vista、およびWindows 7
・Serverの場合 : Windows Server 2003、および2008
他方、マルウェアの攻撃対象が、「Windows Shell(シェル)の脆弱性」と言うことですが、これは・・・説明するのが難しいのですが、「Shell」とは、Windows OSを制御するための一種のコマンドです。
今回のケースでは、この「Shell」と言うコマンドの処理が不完全だったためにOSに脆弱性が生まれてしまい、犯罪者に、脆弱性を攻撃する機会を与えてしまった事になります。
このため、犯罪者が、この不完全さ(脆弱性)を悪用する攻撃用プログラムを埋め込んだWebサイトを作成し、ユーザーが、そのサイトを閲覧すると、犯罪者が、このユーザーのPCを制御できるようになってしまうと言うものです。
犯罪者が、社員の1台のPCを掌握してしまえば、その1台のPCを踏み台にして、次のような攻撃を仕掛ける事が可能になります。
・社内LANを経由して他のPCにも感染を拡げる
・社内の機密情報にアクセスして情報を盗み出す
・機密データを改ざんしたり、消去したりする
・取引会社にもマルウェアの感染を拡げる
社内に潜り込む事さえ出来れば、後は、犯罪者の意のままになってしまいます。
この修正パッチ「MS10-046」に関しては、詳しくは、Microsoft社が提供する下記情報をご覧下さい。
→ https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2010/2286198
--------------------------------------------------------------------------------------------------------
『 何だ~、攻撃対象は、古いOSばかりじゃん !! 』と思うのが当然ですが、未だに、この攻撃が猛威を振るっているそうです。
例えば、社内のPCのほぼ全て、95%が「Windows 10」に切り替わっていても、残りの5%で、まだ「Windows 7」を使っており、かつ該当の修正パッチ「MS10-046」を適用していない場合、社内には、5%の攻撃リスクが残っている事になります。
さらに、「IoT」機器や、工場等で使っている各種制御用のWindows OSは、未だに「Windows XP」とか「Windows Vista」を平気で使っています。
さらに、「Windows XP」や「Windows Vista」は、とっくの昔に、Microsoft社のサポート対象OSから除外されていますので、自動的に修正パッチも適用される事もありません。
利用者が、自ら修正パッチを探し出して、個々のPCに修正パッチを適用しなければならないのですが・・・
未だに、このようなサポート切れのPCを使っている、俗に言う「ITリテラシーの低い」会社において、このような面倒な作業を行うはずもありません。
このため、10年近く前に発見され、とっくの昔に修正用パッチが配布されているにも関わらず、いまだにマルウェア「Stuxnet」の攻撃は無くならないのです。
その上、このマルウェア「Stuxnet」には、数多くの亜種も確認されているので、余計にタチが悪い状況になってしまっているそうです。
--------------------------------------------------------------------------------------------------------
元々、このマルウェア「Stuxnet」は、前述の通り、アメリカとイスラエルの非常に優秀な技術者が開発して生み出しているので、言葉は悪いですが、非常に高性能なマルウェアとなっています。
オリジナルの「Stuxnet」は、イランの核施設のみを攻撃対象にしていたので、自己複製機能は持ち合わせていなかったと考えられています。
しかし、その後に発生した「亜種」には複製機能が付け加えられたために、脆弱なネットワーク内を移動しながら、他のデバイスを攻撃し続けるようになってしまったそうです。
そして問題なのが、前に指摘した通り「IoT」機器と産業用制御システム、それと監視制御システムです。
これらのIT機器は、通常のPCとは異なり、最初から、非常に長期間の利用を想定して導入されているために、古いWindows OSが、サポート期間が終了した後でも平気で使われています。
他方、Microsoft社は、アメリカ軍や連邦政府のように、特別な料金を支払わない限り、サポート切れのOS用には更新プログラムは提供しません。
このため、「IoT」機器、産業用制御システム、あるいは監視制御システムに「Stuxnet」が感染すると、このマルウェアは、何年でも潜伏したままの状況となります。
そして、このIT機器に、誰かが別のPCを接続したとたん、自己複製機能を活性化して感染を拡げる事になります。
本当にウイルスと同じです。
--------------------------------------------------------------------------------------------------------
マルウェア「Stuxnet」は、何度も紹介する通り、イラン核施設攻撃用のサイバー兵器として開発されたのですが、これを「NSA」から盗み出したのが「Shadow Brokers」と呼ばれているグループです。
そして、この「Shadow Brokers」は、実は、別のランサムウェア「WannaCry(ワナクライ)」を、同じく「NSA」から盗み出してリークしたハッカーグループでもあります。
ランサムウェア「WannaCry」に関しては、下記の過去ブログで紹介しています。
【 過去ブログ 】
・新種のサイバー攻撃に備える ~ 感染したらもうお終い その1
・セキュリティ・ソフトウェアのアレコレ ~ ソフトに無理を求めるな !
ランサムウェア「WannaCry」は、2017年5月頃から世界中に拡散し、多くの企業や政府を恐怖に陥れましたが、これも「NSA」から盗み出された下記2個のサイバー攻撃用ツールをベースに開発されていたとされています。
・EternalBlue :「Windows SMB1.0(SMBv1)」が特定リクエストを処理する際のセキュリティ上の欠陥
・DoublePulsar :NSAが開発したバックドアツール
しかし、これまで、本ブログでは、マルウェアを開発したのが「NSA」としていますが、本当は、別のハッカー集団「Equation Group(イクエーション・グループ)」と言うグループが開発したと言われています。
つまり、「Equation Group」とは、「NSA」の一部門と言うことです。
このハッカー集団「The Equation Group」に関しては、2015年、セキュリティ企業「Kaspersky」が、このグループの存在を明らかにしましたが、少なくても、2001年には、既に活動を開始していたと考えられており、現在では、世界で最も高度な知識を持つハッカーグループとされています。
「Equation Group」=「NSA」と言う確たる証拠は無いのですが、余りにも高度な技術を持ち過ぎているため、ここまで高度な技術を持つのは「NSA」以外に考えられないと言うのが、その理由となっているそうです。
ちなみに、この「Equation Group」が開発したマルウェア「nls_933w.dll」と言うプラグインは、感染するとハードドライブ内のファームウェアを再プログラミングする機能を保持しており、何より恐ろしいのは、検知がほぼ不可能で、かつディスクをフォーマットしても生き残り、さらにOSを再インストールしても消し去る事が出来ないのだそうです。
前述のカスペルスキー社のディレクター「Costin Raiu」氏は、自身のPCが「nls_933w.dll」に感染した可能性がありそうなら、もはやハードドライブを破壊するしか対応策は無いと言っています。
本当に「どんだけ~!!」と言う感じです。
■スパイウェア「XKeyscore」と「MALLARD」
次は、ウイルスの話ではなく、またもや「NSA(National Security Agency)」が使っていた上記2個のスパイウェアの情報を紹介します。
・XKeyscore :インターネット上のデータ検索分析システム
・MALLARD :ネットワーク通信傍受システム
・PRISM :アメリカの大手ネットワーク・プロバイダーのデータ監視
・Echelon :軍事目的の通信(各種信号/電磁波/通信)傍受システム
参考までに、前章で紹介した「PRISM」や後で登場する「Echelon(エシュロン)」も記載しましたが、まあ、どれも似たような監視システムです。
規模で比較すると、「XKeyscore」が、一番大規模な仕組みのような感じがします。
「XKeyscore」システムは、個人名を入力すると、関連する個人のメール記録、電話通話記録、ネット閲覧記録を検索出来ますし、該当者のPCやスマートフォンにもアクセスして盗聴や盗撮までも行えるシステムと言われています。
もう、この監視システムは、「何でもござれ」的な監視システムで、アメリカと同盟関係にある一部の国に設置された700以上のサーバーの支援を受けて稼働し、1日に20テラバイト以上のデータを取得することが出来ると報告されているようです。
テラバイト(terabyte)とは、1兆990億(1,099,511,627,776)バイトとなり、写真が1枚5MBだとすると、約22万枚分の容量となります。
他方、「MALLARD」は、1時間当たり、50万回のネットワーク通信を傍受することが出来るシステムとなっているそうです。
そして、その分析結果によると、50万件の内、サイバー攻撃に関係するデータは、1件だけだったと暴露されています。
--------------------------------------------------------------------------------------------------------
ところで、今回紹介したスパイウェア「XKeyscore(エックスキースコア)」と「MALLARD(マラード)」ですが、実は、この情報も元CIA(Central Intelligence Agency)職員だった「エドワード・ジョセフ・スノーデン(Edward Joseph Snowden)」氏が暴露した情報となっています。
この「スノーデン」氏は、数多くの機密情報を暴露しており、先の「PRISM」によるデータ監視の件も、彼が暴露した情報です。
そして、今回、スノーデン氏は、次の情報を、新たに暴露しました。俗に言う「スノーデンの日本ファイル」です。
・日本の「防衛省情報本部電波部(DFS)」とNSAは密接な協力関係にある
・しかし、日本は、アメリカにとって主要なパートナーではなく「サードパーティ」扱いである
・トップは当然アメリカで、セカンドパーティーには、イギリス、カナダ、オーストリア、ニュージーランドで、アメリカを含め、これら5カ国を「ファイブアイズ」と呼んでいる
・日本にも「MALLARD」の施設があり、それは福岡県にある「自衛隊太刀洗通信所」である
・NSAとDFSは、日本で「MALLARD」を共同運営して通信を監視している
・日本政府はネットワーク通信傍受システムの構築を図っており、その中心は「内閣情報調査室」、俗に言う「内調」である
・「内調」のトップ「北村内閣情報官」が、NSAを訪れ協議を行っている
・自衛隊は、自衛隊のイラク派遣に反対する動きを監視するため一般市民までも監視対象としている
・青森県三沢の米軍施設では「エシュロン(Echelon)」が運用されており、「9.11」直後、電話で「ビン・ラディン」等と言うと雑音が入った
・アメリカの防諜活動を支援するために日本政府は経費負担を行っておりその原資は税金である
・日本にも「XKeyscore」が提供されている
・内調は、安倍首相の選挙対策のため、「XKeyscore」を用いて対立候補の情報を収集していた
・大韓航空機撃墜事件では、日本が傍受したソ連の通信記録を、アメリカが国連に提出した。これにより、それ以降、日本ではソ連の通信傍受が困難になった
・日本が捕鯨活動を再開するための準備データがアメリカによって傍受され、得られたデータが反捕鯨国に渡されていた
以上が、日本ファイルの概要になりますが・・・日本でNSAの監視ツール「MALLARD」や「Echelon」、さらには「XKeyscore」までもが運用されている事が明らかになりました。
しかし、その半面、逆に、日本もNSAに監視されていたとは、何とも情けない話です。
これらの情報は、2018年5月31日(木)の「NHKスペシャル」で報じられたスクープ情報です。
この番組は、その後、各方面に影響を及ぼし、番組放送後、防衛省に対して、「MALLARD」に関する情報公開請求が行われたようです。
その結果は・・・当然の事ながら、情報不開示となったのですが、情報不開示となった事に対して審査会が開かれ、不開示の妥当性が審議されていますし、さらに不開示の取り消しを求める請求もあったようですが、結局、情報は公開されずじまいです。
--------------------------------------------------------------------------------------------------------
何とも凄まじい情報戦争が行われていたようですが、日本国民は、全くの他人事、「上の空」状態です。
もう少し事態を深刻に受け止めるべきだと思います。
特に、アメリカに日本が監視されていたと言う点と、「XKeyscore」が首相の選挙戦で使われていたと言う点には恐怖を感じます。
今後、アメリカとは二国間の貿易協議を開催する事が決まっていますので、その協議のために「XKeyscore」や、その他監視ツールが使われると、機密情報が「筒抜け」になってしまいます。
先に挙げた2007年の「IWC(国際捕鯨委員会)」総会の件では、日本が総会のために用意したシナリオが、反捕鯨国であり、かつ「ファイブアイズ」のメンバーであるニュージーランドに事前に漏れていた事で、日本の立場が悪くなった事が明らかになっています。
その結果、「IWC」における日本の立場は悪化を辿り、とうとう2018年12月26日、日本政府は、「IWC」から脱退し、日本の領海と「EEZ(排他的経済水域)」内での商業捕鯨を、2019年7月から再開する事となってしまいました。
アメリカとの二国間協議でも、このような情報漏洩が起きないよう、細心の注意を払う必要があります。
と言っても、「XKeyscore」から逃れる手段ってあるのでしょうか ?
それと、「XKeyscore」が、安倍首相の個人目的のために使われたと言う点も非常に問題だと思います。
「内調」は、この事実を否定していますが、「内閣」と言う組織が関わっているので、疑わしいグレーと言うか、ほぼ真っ黒、確信犯だと思います。
一度、私用で監視ツールを使ってしまうと、もう歯止めが効かなくなります。
また、イラク派兵問題に関しても、防衛省が一般市民を監視すると言う事態も起きています。
もはや、日本においては、自衛隊の文民統制(シビリアンコントロール)は、有名無実化してしまったのでは無いかと危惧しなければならない状況になりつつあるのかもしれません。
--------------------------------------------------------------------------------------------------------
自衛隊で諜報活動を行うのは、「陸上幕僚監部第二部別室」、あるいは「陸上幕僚監部第二部」、俗に「陸幕二部」と呼ばれ、現在では、「陸上幕僚監部運用支援・情報部別班」、あるいは「別班」と呼ばれる組織です。
このため、通常、日本における諜報活動は、先の「内調」と「陸幕二部」が行っていることは、周知の事実でした。
ところが、2018年10月に発売された【 自衛隊の闇組織 秘密情報部隊「別班」の正体 】と言う本では、とんでも事が暴露されています。
この本は、共同通信編集委員の「石井 暁」氏が書いた本なのですが、その中で、上記「別班(旧・陸幕二部)」が、国内のみならず、身分を偽装して海外で諜報活動を行っており、この活動に関しては、防衛大臣や首相には報告されていない、と言う事実が書かれています。
この活動は、第二次世界大戦後、冷戦時代(1947年~1991年)から、首相や防衛大臣に知らされず、独断でロシア、中国、韓国、そして東欧に活動拠点を設け、ビジネスマン等に身分を偽装した自衛官が、諜報活動を行っていたそうです。
陸幕の情報本部長経験者の話では、別班は「DIT(Defense Intelligence Team/防衛情報チーム)」とも呼ばれ、数十人存在するメンバーは、全員、陸自小平学校「心理戦防諜課程」の卒業者とされています。
そして、この課程は、戦時中に、防諜活動を行っていた「陸軍中野学校」の後継課程とされているそうです。
活動報告は、情報の出所を明示しない形で、陸上幕僚長と本部長にのみ報告される体系となっているそうです。
この件に関して、石井氏は、防衛省と陸自に問合せたそうですが、当然、どちらも「別班」の存在自体を認めていないそうです。
また、当時の小野寺防衛相にインタビューした際には、『 陸幕長に過去と今、そのような機関があるのかという確認をしたが、ないという話があった。 』と回答した上で、さらに『 長くても2年ぐらいしかいない大臣になんて言うはずがない。そういうことかなあ。 』と言う一言を口にしたとも記載されています。
自衛隊法には、【 自衛隊は文民である首相や防衛相が指揮監督する】、と明記 されていますが、やはり、日本は、当初から「文民統制(シビリアンコントロール)」が効かない国なのだと言うことを、改めて認識しました。
このような事をブログに書くと、私も、「XKeyscore」の監視対象になってしまうのかもしれません。
■マルウェアと戦う善玉ワーム「Hajime」
2016年9月から10月に掛けて、セキュリティ対策が手薄な「IoT機器」を踏み台にした、史上最大級と言われる「DDoS攻撃」が行われました。
「DDos攻撃」とは、 『 Distributed Denial of Service attack 』の略で、日本語では、『 分散型サービス妨害攻撃 』と翻訳されている攻撃で、サーバーに大量データを送りつけることで、サーバーの処理能力をオーバーさせて、サーバーをダウンさせる攻撃です。
この攻撃では、次のサイトが攻撃対象となり、欧米のサイトは、一時恐怖に見舞われました。
・アメリカのセキュリティ情報サイト「Krebs on Security」 :攻撃規模「620Gbps」
・フランスのインターネットサービスプロバイダー「OVH」 :攻撃規模「1.5Tbps」
・アメリカのDNSサーバープロバイダの「Dyn(ダイン)」 :攻撃規模「1.2Tbps」
攻撃規模ですが、「Gbps」とか「Tbps」と言う表現になっていますが、それは下記の通りです。
・Gbps :Giga Bytes per Second/1秒当たりのギガバイト
・Tbps :Tera Bytes per Second/1秒当たりのテラバイト
つまり、1秒間当たり1テラバイトのデータが、Webサイトのサーバーに送りつけられた事を意味しています。1秒間に、これほど大量のデータを送りつけられたら、どんなに処理能力が高いサーバーでも瞬時にダウンしてしまうと思われます。
--------------------------------------------------------------------------------------------------------
そして、その時に使用されたマルウェアが、日本のアニメ「未来日記」から名前を取った「Mirai」と言うマルウェアです。
このマルウェア「Mirai」を開発した人物は、当初、「Anna-senpai(アンナ先輩)」と言うハンドルネームを名乗っていましたが、実際には、下記2名の人物です。
・Paras Jha(21歳)
・Josiah White(20歳)
この2名は、「Protraf Solutions LLC」と言うDDoS攻撃を沈静化させるサービスを提供していた会社の共同経営者だったそうです。
つまり、自分達でDDoS攻撃を仕掛け、それを沈静化させることで利益を上げていたことになりますので、まるで、放火犯と消防士が一体化したサービスを提供していた事になります。
全く、悪知恵が働くと言うか、何と言うか・・・ビジネスモデルとしては美味い考え方かもしれませんが、罪まで犯してビジネスを成立させるのは、許されない行為だと思います。
そして、2017年12月13日、上記2名に、もう一人「Dalton Norman(21歳)」という人物も加えて、これら3名に対して、司法省が有罪判決を下したと発表されています。
これで、マルウェア「Mirai」の攻撃は収まるかと思いきや、何と「アンナ先輩」は、「Krebs on Security」を攻撃した数日後、2016年の9月中に「Mirai」のソースコードを公開してしまったのです。
このため、全世界にマルウェア「Mirai」の亜種が拡散してしまい、もはや手が付けられない状況、カオスとなってしまったそうです。
ヨーロッパでも、この「Mirai」の亜種による攻撃が発生し、ドイツ・テレコムやイギリスのプロバイダーが攻撃されたようです。
ちなみに、「アンナ先輩」は、日本のアニメが好きな「アニオタ(アニメオタク)」だったようで、前述の通り、マルウェアの名前は日本のアニメです。
・Mirai :アニメ「未来日記」
・アンナ先輩 :アニメ「下ネタという概念が存在しない退屈な世界」に登場する「アンナ・錦ノ宮」
そして、かれら3名は、クリック詐欺も行っていた事も判明していますの、詐欺に関しては、懲役5年/250,000ドルの罰金、ソースコードの公開に関しては、5年以下の懲役/250,000ドルの罰金、および執行猶予3年と言う判決が下されています。
--------------------------------------------------------------------------------------------------------
全く、トンデモナイ事をしでかした2名ですが、このマルウェア「Mirai」の登場と時を同じくして、「Mirai」に似た別のマルウェア「Hajime」が、セキュリティ企業「Rapidity Networks」によって発見されています。
この「Hajime」は、「Mirai」に遅れる事1ヶ月、2016年10月頃に発見され、2017年春には、数十万台にまで感染を広げている事が確認されていたそうです。
マルウェア「Hajime」も、「Mirai」同様、Telnetポートが開かれ、デフォルトのパスワードを使っている無防備なIoTデバイスを通じて拡散しデバイスにログインします。
その後、デバイスに感染すると、複数の段階を経て実行プロセスを覆い隠し、ファイルシステム上に自らのファイルを隠す処理を行うので、「Mirai」よりもステルス性と先進性が高いと評価されているそうです。
そして、「Mirai」との大きな違いは、「Hajime」は、「DDoS攻撃」等は一切行わず、その代りに、次のメッセージを10分毎に表示するだけなのだそうです。
→ 『 Just a white hat, securing some systems(システム保護をめざす、善意のハッカー) 』
さらに「Hajime」は、その言葉通り、IoT機器に感染すると、「Mirai」が侵入を試みる、該当デバイスの23、7547、5555、および5358番ポートへのアクセスをブロックすることで、機器のセキュリティを強化しているそうです。
現時点でも、「Hajime」が、本当に「善玉ハッカー」か否かの確認は取れていないものの、その可能性はあると言う点で、専門家の意見は一致しているそうです。
但し、「Hajime」は、モジュール形式のプログラムなので、何時でも新機能を追加したり、あるいは処理を変更したりすることが可能となっているので、将来に渡り「善玉」でいるか否かは、作者以外、誰にも解らないとされています。
--------------------------------------------------------------------------------------------------------
さらに「Hajime」とは別に、やはり「Mirai」の侵入を防ぐ「BrickerBot」と言うマルウェアも発見されています。
このマルウェア「BrickerBot」も、「Mirai」や「Hajime」同様、初期設定のアカウントとパスワードを利用したブルートフォース(総当り)攻撃によってIoT機器に接続します。
ところが、マルウェア「BrickerBot」が「Hajime」と異なるのは、感染したIoT機器のストレージを破壊することによって、そのデバイスを恒久的なサービス妨害状態に陥れ、使い物にならなくしてしまう点です。
また、詳しい説明は省略しますが、マルウェア「BrickerBot」には、バージョン1~4まで存在する事が確認されているようです。
ところで、こちらのマルウェア「BrickerBot」に関しては、作者とコンタクトが取れ、取材も行われたようです。
この「BrickerBot」の作者は、ハンドルネーム「Janit0r」と名乗り、コンピュータヘルプサイト「Bleeping Computer」の取材に対して、マルウェアの作成意図を次のように語っています。
『 IoT機器のセキュリティ騒動は、セキュリティの知識が十分にないメーカーが、セキュリティの知識がまったくないユーザー向けに、パワフルなネット常時接続端末を開発していることに原因がある。ネットで市販のIoT機器を見てみたが、工場出荷時とほぼ同じ状態で使われているものが大半だ。 [中略]
例えば、Avtech製の防犯カメラ10台のうち9台は「admin/admin」というデフォルト設定のままで使われていた! 自動車や工具だったら即販売停止になるレベルだ。IoT機器だけ特別扱いなんておかしい。昨年のインターネットの惨状を見た後ではもう誰も、セキュリティの弱いIoT機器に問題がないなんて言えないはずだ。 [中略]
このプロジェクトのことは自分では「インターネットの化学療法」だと思っている。自分の役目はさしずめ(『ドクター・フー』の)「ザ・ドクター」だ。化学療法なんてきついもの健常者にすすめる医者はいない。しかしネットの病状は2016年第3四半期、第4四半期に進行し、普通の治療では立ちゆかなくなった。重篤な副作用も出るには出るが、DDoSに駆り出されるボットネットが数百万台規模ともなれば、放置するわけにもいかない。本当はもっとうまい方法で再発に対処できればいいのだけど。
自分の目的はDDoS攻撃に使われるゾンビのIoT機器の数を管理可能な数に抑えることともうひとつ、問題意識の向上を図ることにある。IoT問題はみんなが考えている以上に深刻な問題なんだ。ぞっとする話もいくつか知っている。 』
まあ、確かに、IoT機器が危ないと言うのは、私も3年位前から感じており、弊社過去ブログでも、その危険性を紹介しています。
★過去ブログ:IoT ~ 日本復活か ? それとも破滅か ?
しかし、だからと言って、人様の持ち物を勝手に破壊するのは犯罪です。これでは、環境テロ集団「グリンピース」や「シー・シェパード」と同じです。
このような過激な行動を取る人物は、自分を神か何かと勘違いしているフシがありますが、困ったモノです。
しかし、これら「Hajime」や「BrickerBot」は、まだ前述の最強のマルウェア「Stuxnet」には及ばないようで、機器を再起動すればメモリ上のマルウェアは消えて無くなってしまうそうです。
やはり、本当にIoT機器のセキュリティを強化するのであれば、ファームウェア自体を修正するしか対応策は無いと思われます。
--------------------------------------------------------------------------------------------------------
今回は、「進化し続けるサイバー攻撃 - サイバー空間は悪者ばかり ?」と題して、次のような情報を紹介しましたが如何でしたか ?
しかし・・・いつも言っていますが、本当に、犯罪者は、「よくそんな事まで考えるよな~」的な事を実行します。
文字コードを悪用したり、HDDをフォーマットしても生き残ったり・・・一体、どうすれば、そんな事を思いつくのか ? 本当に頭が良いのか ? それとも考え方が普通とは異なるのか ? 凡人の私には、全く理解出来ません。
「XKeyscore」と「MALLARD」も同樣です。本当に、よくもまあ、こんな監視プログラムを作ったものです。
そして、日本国内でも「XKeyscore」や「MALLARD」が使われているとは・・・これも驚きでした。
アメリカの映画では、NSAが、監視衛星や人工知能を駆使して、一般市民を監視するストーリーはよく見られますが、まさか日本でも同様の事が行われているとは思いもよりませんでした。
2018年11月には、日本政府は、日本版の衛星利用測位システム(GPS/Global Positioning System)を担う衛星「みちびき」を4基打ち上げて本番稼働を開始しました。
日本でも「XKeyscore」が運用されているとすれば、恐らく、この衛星にも何らかの監視ツールが組み込まれているのだと思われます。
その半面、日本もアメリカから監視され、数多くの情報が、日本以外の「ファイブアイズ」に伝えられていたとは・・・何とも恥ずかしい限りです。
日本には、数多くの米軍施設があり、その中でも、青森県の三沢基地で「Echelon」が運用されているのは、既に、10年以上も前から周知の事実となっています。
このため、赤坂にあるアメリカ大使館を始め、三沢基地以外にも、何らかの監視ツールが運用されているとは思っていましたが、全て「筒抜け」状態にあるとは思いもよりませんでした。
やはり日本人は、戦後は、ぬるま湯の中で暮らす、「茹でガエル」状態だったのだと、改めて気が付かされました。
--------------------------------------------------------------------------------------------------------
それにしても、マルウェアやスパイウェア・・・サイバー空間は「悪者」だらけです。
まあ、「Hajime」や「BrickerBot」は、一見「善玉」に見えるかもしれませんが、「BrickerBot」は、客観的に見れば、他者の所有物を破壊している訳ですから犯罪者、「悪玉」です。
「Hajime」は、作者の意図が解りませんが、現状では「善玉」のように見られますが・・・何時キバを剥き出すか解らないので、その分だけ恐怖を感じます。
「Hajime」は、2017年当時、一時40万台以上感染したと見られていましたが、その後、感染数は減少し10万台まで減ったと思われていますので、現在は、数千~数万台規模に減少していると思われます。
そして、「BrickerBot」に関しては、感染数は確かでは無いようですが、一説では100万台とも200万台とも言われるIoT機器を破壊したと言われているようです。
もう、こうなるとサイバーテロと同じレベルです。何かを始めるのに、「思い込み」は必要ですが、こうなると、もはや手の付けようがありません。まさに、「狂信者」です。
今後も、サイバー空間は危険に満ちた空間になると思います。また、今後、サイバー空間は、さらに皆さんの身近な存在になって行きますので、常に注意しながらアクセスするようにして下さい。
それでは次回も宜しくお願いします。
以上
【画像・情報提供先】
・Wikipedia(http://ja.wikipedia.org/)
・NHKオンライン(https://www.nhk.or.jp/)
・Targeted Individuals IN JAPAN(https://tiinjapan.wordpress.com/)
・ギズモード・ジャパン(https://www.gizmodo.jp/)
・GIGAZINE(https://gigazine.net/)
・THE ZERO/ONE(https://the01.jp/)