2016/05/12

【世界のサイバー事件簿①】あなたのPCがサイバー攻撃に使われている? エストニアのサイバー事件

Webに侵入して内容を改ざん、大量のアクセスを集中させて機能不全に陥らせる。インターネットの通信機能を悪用して、IT関連のインフラを妨害・破壊するサイバー事件は、今もこの世界のどこかで起こっている。それは人ごとではなく、我々の身近な危機でもある。本連載では、世界各国で起こったサイバー事件にスポットを当て、その驚きの攻撃手法を解説しつつ、事件の全貌を明らかにしていこう。

パンも買えない!? IT立国エストニアがサイバー攻撃で完全にマヒ

英語で、第一次世界大戦を「WW1(World War I)」、第二次世界大戦を「WW2(World War Ⅱ)」と略すことがある。第1回目にご紹介するエストニアのサイバー事件は、のちに専門家から「WW1(Web War I)」と呼ばれることとなる。世界で最初の"第一次ウェブ大戦"である。


2007年4月27日。バルト海に面した北欧の小国エストニアは、異様な朝を迎えた。それは大統領府のウェブサイトの異常から始まった。世界中から大量のアクセスが押し寄せ、そのあまりの量にサーバーが耐えきれずにダウン、サイトは使用不能に陥った。サイバー攻撃である。

攻撃のターゲットはさらに拡大し、ほぼすべての政府機関、通信機関、主要メディア、主要銀行2行などが狙われ、エストニアという国の根幹を支えるコンピュータシステムやネットワークが次々とダウンしていったのだ。

このサイバー攻撃は世界50カ国以上、約100万台のパソコンによって行われ、同国へ流入した総トラフィック量は、通常時の400倍以上であったという。これにより、銀行業務をはじめ、国内の各種インターネットサービスはほぼ使用不能となる。

......もしこれが、エストニアではなく別の国であれば、「WW1」と呼ばれる歴史的な事件にはならなかっただろう。

実はエストニアは1991年の独立後、「IT立国」を国策に掲げ、世界初のインターネットによる国政選挙を行うなど、世界で最も進んだインターネット利用国のひとつであった。国民の大半が現金をもたずに電子マネーを使っていたエストニアで、電子マネーが使えない日が数日続き、銀行業務のオンラインシステムなども停止。一時はパンやミルクすら買えない状況に陥り、国家の機能が完全にマヒしたのだ......。

身に覚えのない出前が届きまくる!? DDoS攻撃とは?

エストニアが受けたサイバー攻撃について解説しよう。行われたのはDDoS(ディードス)攻撃というものだ。DDoSとは「Distributed Denial of Service」の略語である。日本では「分散型サービス妨害攻撃」などと呼ばれる。

DDoS攻撃を知るためには、元となるDoS(ドス)攻撃の説明が必要だ。ターゲットとなるパソコンに、攻撃用のプログラムによって、処理能力を超えた大量のパケット(小さなデータの固まり)を送りつけ、システムやネットワークの機能をマヒさせるのがDoS攻撃だ。

簡単にたとえると、ひとりで経営している病院に500人の患者が一挙に押しかけて、業務不能の状態に陥れるようなものだ。この場合、攻撃者は自分の身元がわからないように、患者になる人間を雇うことになる。さすがに何万人も雇うことはできないため、その攻撃力は小さく、かつバレやすいという特徴がある。

そして、犯人が特定されにくく、大量かつ広範囲に行える攻撃法として考えられたのがDDos攻撃である。「分散型」とあるように、世界中のありとあらゆるところから大量のDoS攻撃を仕掛けるのだ。

病院のたとえでいえば、攻撃者が病院の名を語って、そば屋や中華料理店、ピザ屋など、街中のありとあらゆるお店から病院への出前を頼むようなイメージ。病院には、ひっきりなしに出前の人間が訪れ、大混雑になって業務不能に陥るというわけだ。

DDoS攻撃を簡単に説明すると、攻撃者がターゲットの名前を偽り、あらゆる店から出前を取りまくるようなもの

このDDoS攻撃のポイントは、善意の第三者を巻き込んでいる点にある。出前を持ってくる人に悪意はないし、注文の電話は病院がしたことになっているわけだから犯人は見つけにくい。しかも、攻撃者は自分ではウソの注文の電話を掛けるだけでよいのだ。

サイバー攻撃に使われたのはあなたのパソコンかもしれない

実際に、エストニアが受けたDDoS攻撃はさらに巧妙だ。攻撃者は、まず「ボット」を利用する。「ボット」とはロボットに由来するもので、他人のコンピュータを乗っ取り、遠隔操作する悪質なソフトウェア(マルウェア)のことだ。

この「ボット」に感染した"ゾンビコンピュータ"は、感染を拡大させて1万台、10万台と増えていく。そして「ボット」は、攻撃者が秘密裏に用意した「C&C(Command & Control)サーバー」と呼ばれる一種の司令塔に定期的にアクセスして指示をあおぐ。攻撃者はC&Cサーバーを通じて、世界中のボットにこう指示を出すのだ。「○月○日○時に、このURLを攻撃せよ」と。すると、その決行日時に、世界中のコンピュータに感染した「ボット」のプログラムがターゲットへの攻撃を開始するのだ。

司令塔である「C&Cサーバー」から、さまざまなパソコンに「ボット」を侵入させてゾンビコンピュータに。そこから一斉に攻撃を行う

恐ろしいのは、「ボット」によってパソコンを乗っ取られたことに、持ち主はまったく気づかない点。もしかするとエストニアへのサイバー攻撃はあなたのパソコンに潜んだ「ボット」からなされた可能性もあるというわけだ。

エストニアはDDoS攻撃への対策として、フィルターによるトラフィックの抑制、サイトの移転などの対応を行ったが、そもそもネットがほぼ使えない状態であったからメールは利用できず、関係者同士のスムーズな連携も難しく、迅速な対処を行うことは困難を極めたという。

そして、激しいサイバー攻撃は、開始から3週間後に終わった。潮が引くように、エストニアのサイバースペースが通常量のトラフィックに戻ったのだ。攻撃者はエストニアに十分な混乱をもたらしたと満足したのかもしれないし、将来のサイバー攻撃の研究に役立つ十分なデータを得たので、攻撃を続ける必要がなくなったからだという声もある。

では、肝心のサイバー攻撃を仕掛けた犯人は誰なのか? 今のところ「隣国のロシア」という説が有力だ。これは、エストニアでロシア系住民が暴動を起こした翌日にサイバー攻撃が始まったこと、初期段階では攻撃の発信元の大半がロシア国内からのものであったこと、かつてエストニアが隣接する大国、ソ連の支配下にあった歴史などから推測されている。

当然、エストニア政府はロシアを激しく非難したが、ロシア政府は「ハッカーがロシア政府のコンピュータに侵入して悪用したのであって、我々は関係ない」と即座に否定している。

前述のように、DDoS攻撃の犯人を特定するのは極めて困難だ。攻撃に使用された"ゾンビコンピュータ"に目標の指示を出した者がいるはずだが、その指令の道筋を上流にたどっていき、見つけたその指令サーバーがロシア国内にあったとしても、それ自体がまた乗っ取られており、真犯人によって遠隔操作されている可能性も否定できないからだ。どれほど証拠があったとしても、犯人がロシアであるという確証はとれない。そこがDDoS攻撃の巧妙な点である。

もしもマイナンバー制度がサイバー攻撃を受けたら......?

話は変わって、日本ではこのところ、大企業や官庁へのDDoS攻撃事件が頻繁に起きている。エストニアのサイバー事件は、そんな日本にある警告を発しているようにも見える。

IT立国を目指したエストニアは、事件当時、すでに書類をデジタル化したペーパーレス行政を実現し、選挙も電子投票で行っていた。それを可能にしたのが、全国民が持つ電子IDカードだ。このカードには身分から納税まで、さまざまな個人情報が記録され、電子投票にもこのカードが使われた。日本のマイナンバー制度にそっくりのシステムが、2007年の時点で構築されていたのである。

もしも、日本のマイナンバーのシステムがエストニアのようなサイバー攻撃を受けたら......。24時間体制でサイバー攻撃の監視などを行う株式会社ラックの伊東 寛氏によれば、個人情報が盗まれる可能性は低いという。しかし、システム全体がマヒ、あるいは破壊されることは十分に考えられるというのだ。

マイナンバーのシステムは、さまざまな公共機関の既存のデータベースを統合した複雑な構造になっている。プログラムは人間が入力するから間違うこともある。そして、プログラムが大規模になり、複雑になればなるほど、思いもよらないバグやミス、つまり弱点が増えていく。そのぶん、悪意あるハッカーにシステム内に侵入される可能性が皆無とはいえないのだ。

マイナンバーのシステムがサイバー攻撃によってダウンしたとき、エストニアの人々のように、私たちがパンやミルクを買えなくなるということは、まずないであろう。それは我々日本人が、エストニアの人たちのように電子IDカードに依存した生活をまだ送っていないからだ。

とはいえ、データベースが攻撃され、多くのデータが失われたなら、社会保障や税務といった国の業務が大混乱をきたすだろう。IT立国の手本といえるエストニアを襲ったサイバー事件は、日本のマイナンバー制度への警鐘ともいえるだろう。

文:村上ぬう
イラスト:イワイヨリヨシ
取材協力:株式会社ラック 伊東 寛