< 発災施設の概要 >
■ 被害があったのは、サウジアラビアの石油化学の会社である。具体的な社名は明らかにされていない。
< 事故の状況および影響 >
事故の発生
■ 2017年、サウジアラビアの石油化学の会社が、コンピュータを破壊する新しいタイプのマルウェアのサイバー攻撃を受けた。攻撃の手口はフィッシング詐欺の一種で、信用されている企業になりすまし、偽の雇用機会を装ったEメールを使い、ターゲットの会社のコンピュータに侵入するものである。
■ このサイバー攻撃は“APT33”というハッカー集団(クラッカー)によるもので、
この“APT33”はイラン政府の関与が疑われる諜報活動グループである。サウジアラビアをターゲットにしたイランによるサイバー攻撃は2002年と2016年の2回行われたが、今回も同様にイランが仕掛けたとみられている。
■ この情報は、2017年9月20日(水)、サイバーセキュリティ会社のファイア・アイ社(Fire
Eye Inc.)が報告したもので、サウジアラビアだけでなく、米国、韓国の石油化学会社や航空会社をターゲットにしたサイバー攻撃で、イラン政府が関与している疑いがあるとしている。
韓国の企業が狙われている背景ははっきりしないが、韓国とサウジアラビアの石油化学の共同事業に関連しているのではないかという見方がある。
■ ハッカー集団(クラッカー)は、対象のコンピュータに一度侵入してから4~6か月間、システム内に留まっていたとみられる。この間、データを盗み出すことができるが、マルウェアの跡を残すことになった。ファイア・アイ社では、このマルウェアを姿が変わるという意味の“シェープシフト”(Shapeshift)と呼んでいる。このプログラムを作成するコーディングにイランの公用語であるペルシャ語が引用されていたという。また、イラン政府のハッカー組織であるナスル研究所(Nasr
Institute)が攻撃に関与した証拠があるという。
■ 2012年8月、サウジアラビアのサウジ・アラムコ社(Saudi
Aramco)とカタールの天然ガス生産者であるラスガス社(RasGas)をターゲットにしたサイバー攻撃“シャムーン”
(Shamoon)の背後には、イランが関与していたとみられている。このウイルスはハードドライブを機能しないようにし、コンピュータ画面に燃えているアメリカの旗の画像を表示する。サウジ・アラムコ社は、最終的にネットワークを閉鎖し、30,000台のコンピュータを破壊した。
■ 2016年11月には、 “シャムーン”
の新型がサウジアラビア政府のコンピュータにウイルスを感染させた。この背後にもイランが疑いを持たれている。新型“シャムーン”
は、起動時に読み込まれるマスターブートレコードを消去し、コンピュータを機能不全にする。
この攻撃では、サウジアラビア政府機関だけでなく、エネルギー、製造、運輸業界の関連組織が被害に遭った。サウジ民間航空総局では、コンピューター数千台が破壊され、重要なデータが消去された。サウジ民間航空総局によると、運航や航行システムには影響がなく、攻撃を受けたのは事務管理システムであるが、数日間の業務停止を余儀なくされたという。このサイバー攻撃は、11月17午後8時45分、不正なプログラムが作動して狙った組織のコンピューターのデータが消去され始め、コンピュータ画面に死亡した3歳のシリア難民の男の子の画像が表示されたという。被害に遭ったコンピューターは、その後再起動できなくなった。
被 害
■ 企業のコンピュータが何らかの影響を受けていると思われるが、被害の有無や程度はわからない。
< 被害の原因 >
■ 被害の原因は、意図的なコンピュータへのサイバー攻撃である。この攻撃を行ったのは“APT33”というイラン政府の関与が疑われる諜報活動グループとみられている。
< 対 応 >
■ ファイア・アイ社は、ハッカー集団とそのサイバー能力を特定することで、関連する脅威を事前に検知し、対応できるとしている。
補 足
■ 「イラン」(Iran)は、正式にはイラン・イスラム共和国で、西アジア・中東のイスラム共和制国家である。世界有数の石油産出国であり、人口は約7,500万人で、首都はテヘランである。
「サウジアラビア」(Saudi
Arabia)は、正式にはサウジアラビア王国で、西アジア・中東に位置し、サウード家を国王にした絶対君主制国家で、人口約3,000万人の国である。世界一の原油埋蔵量をもち、世界中に輸出している。首都はリヤドである。
サウジアラビアはイスラム教スンニ派が85%で、シーア派のイランとは敵対関係にある。サウジアラビアとイランは国交断絶の状況にある。
■ 「ファイア・アイ社」(FireEye
Inc.)は、2004年に設立されたコンピュータ・ネットワークのセキュリティ・サービスを行う米国の企業である。カリフォルニア州のミルピタスに本社があり、日本法人も設立している。
ファイア・アイ社は、ウェブサイト、電子メール、ファイル・ストレージ、エンドポイント(パソコン、ラップトップ、携帯機器)のサイバー・セキュリティの脅威を検出、防止、軽減するためのソフトウエアを提供し、クラウド型サービスや技術支援・保守を提供する。同社のウェブサイトによると、世界67か国以上の6,000を超える組織に導入され、 フォーブス誌による世界のトップ企業ランキング2,000社(フォーブス・グローバル2000)の中で650社以上で利用されているという。
■ 「マルウェア」(Malicious
Software: Malware)は、悪意のもとに開発・利用されたソフトウェアの総称で、コンピュータ・ウイルス、ワーム、スパイ・ウェアなどである。
■ 「ハッカー」とは、元来、コンピュータ技術に精通した人のことである。これが転じて、コンピュータ技術を悪用して他人のコンピュータに侵入・破壊を行う者を指すことが多い。しかし、これは誤用が定着したものなので、使用すべきでなく、技術を悪用する者は「クラッカー」(破壊者)と呼んで、「ハッカー」とは区別すべきだという意見がある。
これと同様に、「ハッキング」は、コンピュータやソフトウェアの仕組みを研究・調査する行為をいい、ハッキングそのものは、高い技術レベルを必要とするコンピュータ利用といった意味合いであり、善悪の要素を持たない。コンピュータの破壊などを伴い他者に迷惑をかけるものや、秘匿されたデータに不正にアクセスすることなど、悪意・害意を伴うもののことは「クラッキング」と呼び、明確に否定的意味合いがある。
「ハッキング」 を「クラッキング」と同じ意味で使われることが多いが、誤用だという意見から使用すべきでないとする人も多い。
■ 「サイバー攻撃」(CyberAttack)は、インターネットの通信機能を悪用して情報技術関連のインフラを破壊する行為である。具体的な手口は、「膨大な量のメールを送付する」、「大規模なデーター量の添付ファイルを付けたメールを送付する」、「ウェブサイトに侵入してデータを改ざんする」、「ユーザーを偽のウェブサイトへ誘導(フィッシング)し、悪意のあるプログラム(マルウェア)をダウンロードさせる」、「トロイの木馬を利用して、他のユーザーのパソコンを遠隔操作可能にする」、「特定のウェブサイトに一斉にアクセスすることで、機能不能にする」などの方法があるという。
■ 北朝鮮のサイバー攻撃の事例
ファイア・アイ社は、
2017年10月18日、
「北朝鮮の攻撃グループがスピア・フィッシング攻撃で複数の米国電力企業を標的に」と題するプレス・リリースを発表した。これによると、北朝鮮政府との関連が濃厚とされるハッカー集団(クラッカー)が複数の米国電力会社をターゲットにしたサイバー攻撃を仕掛けてきたという。攻撃の手口はフィッシング詐欺の一種で、送信されてきたスピア・フィッシング・メールを検知、阻止したという。
このサイバー攻撃は、初期段階の偵察活動であり、直ちに破壊的な結果をもたらすものではない。過去の経験から判断すると、仮に検知されなかった場合でも、破壊的な攻撃の準備には数か月かかると考えられるという。これまでのところ、北朝鮮の関与が疑われる活動は一貫しており、サイバー・スペースで不当な先制攻撃を仕掛けるというより、抑止力の誇示が目的だと考えられる。しかし、北朝鮮のサイバー攻撃は大胆で、国力誇示のために、手の内や帰属先が相手に知られる可能性を厭わないという。彼らは戦争の抑止や、武力衝突時に混乱を生じさせる手段として、韓国、米国およびその同盟国を中心に、今後もエネルギー業界を標的にすると考えられると指摘している。
ファイアー・アイによるサイバー攻撃対策の仕組みの例
(図はMarubeni-sys.comから引用)
|
所 感
■ 今回の事例は、国家間のサイバー攻撃の状況の一端を知ることができた。
2016年10月に起った
「イランでサイバー攻撃が疑われる中、精油所でタンク火災」事故では、イランがサイバー攻撃を受けており、イランとサウジアラビアの二国間で攻撃しあっている。今回の石油化学の会社をターゲットにしたサイバー攻撃は、石油化学会社の工場の制御システムに侵入したものではないようである。おそらく、2016年のサウジアラビアの航空会社のケースのように攻撃を受けたのは事務管理システムではないだろうか。
これが両国のサイバー攻撃に関するハッキング技術のレベルなのか、もっと重大な被害を与えるまでの前哨戦(偵察活動)なのか分からない。しかし、目で見えないサイバー空間で戦いが行われていることを認識しておかなければならないだろう。
備 考
本情報はつぎのインターネット情報に基づいてまとめたものである。
・Nbcnews.com
, Iran-Linked Hackers Said to Be
Attacking U.S. Companies,
September 20, 2017
・Thehackernews.com , APT33: Researchers Expose Iranian Hacking
Group Linked to Destructive Malware,
September 20, 2017
・Fireeye.jp, ファイア・アイ、イランのハッカー集団「APT33」の
活動内容と技術詳細を明らかに, September
22, 2017
・Hazardexonthenet.net, Iranian group suspected of hacking Saudi
aviation and petrochemical industries,
September 22, 2017
・Wired.jp,
世界最大の石油企業、ワークステーション3万台に攻撃, August
28, 2012
・Jp.reuters.com, サウジにサイバー攻撃、ウイルス「シャムーン」 4年ぶりに新型, December 01, 2016
・Fbloomberg.co.jp, サウジアラビアに大規模なサイバー攻撃、空港当局のPC数千台を破壊, December 01, 2016
・Cnn.co.jp, サウジ政府機関に時限式サイバー攻撃、システムを一斉破壊, December 02, 2016
・Fireeye.jp, 北朝鮮の攻撃グループがスピア・フィッシング攻撃で複数の米国電力企業を標的に, October
18, 2017
後 記: 今回の事例は貯蔵タンクに直接関係のない話ですが、サイバー攻撃というものを知っておくのもよいと思い、取り上げました。この分野の言葉は何気なく使っていますが、実際よく分かっていないので、基本的なところだけ勉強してみました。しかし、実際、取り付く島がないというところですね。
あえて感想をいえば、ハッカー集団には、大きく2つがあるのではないでしょうか。純粋にコンピュータ技術を深める個人やグループで、ハッカー学会というようなものを組織しそうな人たちです。これらの人たちは、宇宙物理学(天体物理学)の分野で行われているように、お互いにコミニュケーションを取り合いながら、切磋琢磨しているのではないでしょうか。ここで収まっていれば、大きな問題は起きないでしょうが、怖いのは国の政府が組織するハッカー集団です。コンピュータ技術者だけでなく、あらゆる分野の技術者が動員され、軍事兵器化されることです。これから先の話は映画の世界だけに留まっておいてほしいですね。
0 件のコメント:
コメントを投稿