2016/07/28

【世界のサイバー事件簿④】あのニューヨーク・タイムズを襲った『9時5時勤務』のハッカー部隊とは?

インターネットの通信機能を悪用して、IT関連のインフラを妨害・破壊するサイバー事件は、今もこの世界のどこかで起こっている。本連載では、世界各国で起こったサイバー事件にスポットを当て、その驚きの攻撃手法を解説しつつ、事件の全貌を明らかにしていこう。

9月13日の添付書類

©Diana Beato

ニューヨーク市マンハッタン。タイムズスクエアのほど近くに、アメリカの三大新聞のひとつであるニューヨーク・タイムズ本社の高層ビルがある。2012年9月13日、出勤してきた記者たちはいつものようにメールのチェックを始めた。読者からの情報提供、記者会見の案内、企業からのニュースリリースといったいつもと変わらぬ大量のメールに目を通し、添付書類があれば開き、それがZIPファイルであれば解凍。そうして1日が始まった。このとき、その添付書類のどれかから、何者かが仕込んだマルウエア――悪意のプログラムがひそかに自分のパソコンに忍び込んだとも知らずに......。

翌2013年1月30日。ニューヨーク・タイムズは、同紙が4カ月にわたってC国のハッカーたちによるサイバー攻撃を受けていたという驚きの声明を発表した。ハッカーたちは、送り込んだマルウエアを使って全社員のパスワードを盗み出し、社員のパソコン53台を通じてシステムに侵入していたというのだ。しかも、その攻撃の時期は、ニューヨーク・タイムズがC国への批判的な記事を書いた直後のこと、つまり9月13日だったのである。

特に2人の記者のパソコンへの侵入をハッカーたちは執拗に繰り返していた。その2人とは、ニューヨーク・タイムズの上海支局長のデビッド・バルボーザ記者と、かつて北京に駐在していたことがある南アジア支局長のジム・ヤードリー記者だった。ハッカーたちの目的はニューヨーク・タイムズのシステムを破壊したり、データを改ざんしたりすることではなかった。この2人の記者がどこまで深く取材を進めているのかを知ることだった。ニューヨーク・タイムズの発表では、重要な情報の流出はなかったという。

セキュリティ会社マンディアントによる調査

ニューヨーク・タイムズが調査を依頼したのは、マンディアントというサイバー攻撃専門のセキュリティ会社だった。クリントン大統領の時代にサイバー対策を担当していたケビン・マンディアという元空軍将校が率いる、いわば民間のハッカー防衛部隊だ。彼らは発見した45種類にも及ぶマルウエアのプログラムの中身を徹底的に調べあげたのだ。

マルウエアは記者宛のメールの添付書類に「変装」して忍び込んでいた可能性が高い。何故ならそれがハッカーたちの常套手段だからだ。ハッカーは、たとえば国際会議への招待状や、社内人事に関する情報など、つい開いてしまいたくなるようなメールを擬装する。特にマルウエアは、ZIPなどの圧縮ファイルの形で送られることが多い。圧縮ファイルにするとアンチウィルスソフトが見つけにくくなるからだ。

知らない人からのメールの添付書類は開かない、というのはコンピュータウィルスにかからないための鉄則だが、ハッカーはつい開きたくなるようなメールを送りつけてくる

マルウエアのプログラマーにはクセがあり、それは「シグネチャー」と呼ばれる。つまりプログラムに記された無意識の「署名」だ。そういった「シグネチャー」を見つけ、ほかのマルウエアのプログラムと付き合わせていくことで、どこの国のどういった組織が作ったものかが推測できる。ときには、プログラムの中にそれぞれの国特有の文字がうっかり残されていることもあるという。そういった調査の末に、マンディアントはこれがC国でつくられたマルウエアだと確信した。

9時に始まり5時に終わるサイバー攻撃!?

マンディアントはC国のどこから、誰がハッキングしたのかを暴き出そうとして、あらゆる手がかりを探した。興味深いことに、ニューヨーク・タイムズへの侵入は、主にC国での午前9時から午後5時の時間帯に行われていた。そして、マンディアントの強者たちは、IPアドレスを丹念にたどり、ついに周囲を軍人向けの住宅に囲まれた、とあるビルを攻撃元として特定した。軍の勤務時間は9時から午後5時。ここに拠点を置いている部隊こそが、ニューヨーク・タイムズを攻撃したサイバー部隊だとマンディアントは結論づけたのだ。

朝9時にサイバー攻撃が始まり、夕方5時になるとピタリと攻撃が止まった!?

ニューヨーク・タイムズの声明から20日後、マンディアントは「APT1リポート」という調査結果を発表、その内容は全世界に衝撃を与えた。それは、このサイバー部隊がニューヨーク・タイムズだけでなく、さまざまな企業に対してもハッキングを行っていることを示唆するものだったからだ。

もちろん、C国政府はただちに否定し、「我が国のほうこそ被害者だ」と、アメリカもまた秘密裏にハッキングをしているではないかと非難した。マンディアントが特定した場所のビル周囲は、軍の部隊による厳戒態勢がしかれた。集まった外国メディア記者たちの取材も撮影も厳しく制限され、一時拘束されてカメラのメモリカードを没収された記者もいた。

名指しされた5人の兵士

「APT1リポート」の余波は2014年になってもまだ続いた。アメリカのホルダー司法長官が5月、このサイバー部隊に属する5人の兵士を、アメリカ企業をハッキングして秘密情報を盗んだとして刑事訴追すると発表したのである。その5人は名前だけでなく、顔写真つきで、いわば指名手配されたのだ。これは前代未聞のことである。

もちろん、C国政府が5人を引き渡すわけもなく、アメリカが彼らを逮捕することは永遠にないだろう。だが、アメリカはハッカーにとってもっとも受け入れがたい罰、「ネーム&シェイム」を彼らに与えたのだ。「おまえの仕業だ」と名指し(ネーム)されることはハッカーにとって最大の敗北であり、最大の屈辱(シェイム)なのだから。

文:村上ぬう
イラスト:イワイヨリヨシ
取材協力:慶應義塾大学大学院政策・メディア研究科教授 土屋大洋