海外における個人情報流出事件とその対応「Shady RAT作戦」（1）ペタバイト単位の情報を不正取得

●中国による過去最大級のサイバー攻撃か？
ITセキュリティベンダの大手であるマカフィーが、ブログとホワイトペーパーで、諜報機関が過去5年間にわたり72以上の政府や世界的企業、非営利組織をターゲットにしたサイバー攻撃を行っていたと明らかにした。

ブログは8月2日付けで、同社の脅威研究担当副社長であるDmitri Alperovitch氏が書いたものだ。マカフィーはこの一連の事件を「Operation Shady Rat」と名付けている。Ratはバックドアプログラムのひとつ、Remote Access Tool（リモートアクセスツール）の頭文字だ。

そして、攻撃を受けたことを現時点で確認した72の組織を、米国の連邦および州政府、韓国政府をはじめとする数カ国の政府機関、重工業、エネルギー、電子産業、ITといったハイテク企業、軍事産業、不動産、国際スポーツ機関、シンクタンクなど32のカテゴリーに分類している。政府機関で特に攻撃を受けたのは、米国の14機関だ。企業名については守秘義務があるということで、明らかにしていない。

政府機関に限らず企業も含めて国別でみると、最も被害を受けたのが米国の49の機関、さらにカナダが4機関、韓国と台湾が3機関、日本、スイス、英国が2機関、あとはインドネシア、ベトナム、デンマーク、シンガポール、香港、ドイツ、インドが各1機関だ。国際オリンピック委員会（IOC）をはじめ、数カ国のオリンピック委員会、さらには、2008年のオリンピックというから北京五輪の後には世界反ドーピング機構も攻撃を受けている。地球規模で民主主義の振興を行う民間組織や、米国の国家安全に関するシンクタンクもターゲットとなっていた。

興味深いことに、特定の企業や組織を長期的に攻撃してきたのではない。サイバー攻撃が行われた5年間に、ターゲットは推移している。2006年、すなわち攻撃が始まった当初は活動もさほど活発ではなく、韓国の建設会社や政府機関、ASEAN事務局などに侵入していた。しかし2007年になって、攻撃は260%に増加。米国の国防関連の企業をはじめ五輪委員会など、29の機関が被害を受けた。昨年から今年にかけては、侵入はあまり行われていないものの、これまでで最大規模のハッキングキャンペーンだったとして注目を集めている。

●ペタバイト単位のデータを不正に取得
事件については、Jim Finkle氏がマカフィーから詳しく聞いていて、ロイターの記事でQ&Aとしてまとめている。盗まれた情報、データの価値については、マカフィーは「知的財産における富の移転としてはこれまでで最大」との言葉を用いて、重大性を強調している。サイズについてもペタバイトレベルで不正に取得していたと見ている。

盗まれた情報は、「攻撃者が求めていたデータは、軍事、外交、経済上で優位に立つためのものだ。そのほか、特定の産業にいて、知的財産の面で最も価値のあるものと考えるものが、（犯人たちの）狙っていたものだ」という。そして例として、メールの履歴や交渉の書類、電子回路図などを挙げている。

事態が発覚したのは、2009年初旬にマカフィーの顧客で米国防省から業務を請け負っている企業のネットワークで、疑わしいプログラムを確認したことがきっかけだ。フォレンジック調査で、この企業のネットワークはこれまでに見たことがないマルウェアの被害を受けていたことが分かった。

ただし今回、被害を受けていた組織が明らかになったのは、マカフィーが攻撃側のサーバに保管していたログを発見したことによる。これは今年3月のことで、被害機関と、感染の詳細について調べることができた。

●疑われる中国政府の関与
気になる犯人、犯行グループの正体については、Alperovitch氏は国家が攻撃の背後にあるとの考えを示したが、国名は明確にしていない。また、C&Cサーバは国名を特定していないものの、西洋諸国にあったと発表している。

保守系シンクタンクの戦略・国際問題研究所（CSIS）のサイバー攻撃の専門家であるJim Lewis氏は、中国の可能性が最も高いとしている。確かに、

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)