川口貴久(東京海上日動リスクコンサルティング 主任研究員)
2018年9月6日、米司法省は、複数のサイバー攻撃を理由に北朝鮮国籍のPark Jin Hyok氏を起訴したと発表した。起訴状によれば、Park氏が関与したのは、米ソニー・ピクチャーズエンタテイメント(SPE)社へのサイバー攻撃(2014年11月)、約6,600万ドルが盗まれたバングラデシュ中央銀行の不正送金(2016年2月)、世界的に感染爆発した身代金要求型マルウェア(ウイルス)「WannaCry」(2017年5月)等である。また米財務省はPark氏と彼が勤務する企業(中国大連に所在するChosun Expo Joint Venture社)を経済制裁の対象にしたと発表した。他方、北朝鮮の国営通信社は9月14日付の論説で、Park Jin Hyokなる人物は存在せず、米国の対応は「悪らつな誹謗・中傷」と反論している。
サイバー攻撃の実行者を特定するプロセスは、アトリビューションと呼ばれるが、サイバー空間でのアトリビューションは容易ではない。過去、米国は中露をサイバー攻撃の実行国として特定し、各種制裁を課してきた。例えば、2012‐2015年頃に顕在化した中国政府・人民解放軍関係組織による米民間企業へのサイバー攻撃と機密情報窃取、ロシアによる2016年米大統領選挙に係るサイバー攻撃やSNS上での欺瞞情報(フェイクニュース)の流布、等である。しかし、中露ともにサイバー攻撃に関与した事実はない、と反論している。
アトリビューションは複雑なプロセスであり、いくつかの階層がある。少なくとも、①技術的アトリビューション、②政治的アトリビューション、③法執行アトリビューションの3つは注意深く区別した方が良い。これらは目的が異なり、期待される証拠レベル、時間軸は異なる。3つのアトリビューションを、冒頭のWannaCryを例にとって紹介する。
第一に、セキュリティ会社やインシデント対応機関によるアトリビューションである。サイバー攻撃に用いられたマルウェアそのものやサイバー攻撃の指令を送るサーバの通信ログから、攻撃者を特定する。こうした技術的アトリビューションはサイバー攻撃の被害拡大防止に用いられ、時間軸としては短い。
2017年5月12日午後(日本時間では同日夜遅く)、WannaCry感染が世界中で爆発的に拡大した。15日(日本時間16日)、Googleの研究者メータ(Neel Mehta)氏がTwitterに「#WannaCryptAttribution」のハッシュタグとともに謎のメッセージを投稿した。セキュリティ会社Kasperskyの分析によれば、この投稿文はWannaCryの初期型亜種(2017年2月)のコードと北朝鮮のハッカー集団Lazarus Groupが過去に作成したツール(2015年2月)のコードの一致を示唆するものであり、WannaCryの背景に北朝鮮が存在することを意味する。別のセキュリティ会社Symantecも同様の結論を示唆した。これらは全てWannaCryの感染爆発から3-4日以内の出来事である。
第二に、政治的決断としてのアトリビューションである。これは、サイバー攻撃を実行した政府を公式・非公式に非難し、サイバー攻撃の責任を問うための根拠集めと判定である。アトリビューションを公開して、特定の政府・組織を非難することは、名指し批判(name & shame)と呼ばれる。勿論、政治的アトリビューションは、技術的評価に加えて、情報機関によるあらゆる情報源からの評価(HUMINTを含む)をふまえたものであるが、どの程度の確度が必要とされるかはケースバイケースである。
WannaCry 感染爆発から約7カ月後の12月18日、米テロ・国土安全保障担当大統領補佐官ボサート氏(Thomas Bossert)はWSJ紙に寄稿し、WannaCryは北朝鮮の犯行と主張した。同じタイミングで、日英加豪NZの5か国も北朝鮮を実行犯と非難した。これは米国による政策調整の結果だが、同盟国を説得するに十分な証拠・根拠があったことを示唆する。
第三に、刑事訴追や経済制裁等の法執行のためのアトリビューションであり、前2つのタイプよりも高い信頼性が期待され、比較的時間を要する。これは法的に耐えうる証拠集めと判断、諸外国の法執行機関との連携・手続きに用いられるもので、少なくとも攻撃を実施した個人または組織を特定しなければならない。
冒頭のPark氏の起訴は、法執行のためのアトリビューションが実現した、ということだ。Park氏の起訴はWannaCryについていえば、事案発生から1年4か月だが、冒頭の別の事案、SPE社へのサイバー攻撃からは3年9ヶ月もかかっている。
オバマ大統領(当時)は退任直前、サイバー攻撃について「情報機関による評価があったとしても、発生した事案を特定政府まで遡ることは難しいし、常に法廷で証明可能なものでもない」と語っている 。ただし、そもそもアトリビューションを公開することは必ずしも良いことではない。アトリビューションを公開すれば、こちらの能力や手の打ちが攻撃者に晒され、攻撃者は攻撃パターンを変化、高度化させる(そのため、米当局はPark氏の訴追をまとめて行ったのかもしれない)。サイバー攻撃のアトリビューションは不可能ではないものの、そのプロセスや開示要否判断は難しい問題である。