コメンタリー

2024 / 09 / 03 (Tue.)

ハクティビストによる日本へのサイバー攻撃とその対策 ~地政学的緊張の高まりを背景として(ROLES Commentary No.33)

aflo_112347973.jpeg 1.69MB


はじめに 
ロシア・ウクライナ戦争開戦以降、日本を含め世界各地においてサイバー攻撃の報道をしばしば目にするようになった。例えば、総務省の令和5年度版『情報通信白書』によると、「国立研究開発法人情報通信研究機構(NICT)が運用している大規模サイバー攻撃観測網(NICTER)が2022年に観測したサイバー攻撃関連通信数(約5,226億パケット)は、2015年(約632億パケット)と比較して8.3倍」に拡大している[1]。今やサイバー攻撃は珍しい事件ではなくなっていることがここからは窺われよう。 
サイバー攻撃の主な種類は、次の4つに大別できる。 
①攻撃対象のサーバーやネットワークに多量のトラフィックを意図的に送りつけることでシステムをダウンさせ、ホームページやオンラインサービスを利用不能にさせるなどして、正常なサービスの提供を妨害するDDoS攻撃 (Distributed Denial of Service) 
②正規の組織を装って、電子メールや偽のホームページから個人情報やログイン認証情報を騙し取るフィッシング攻撃 
③組織や個人を標的に、スパイウェアやマルウェアを用いて、機密情報の窃取などを行う標的型攻撃 
④攻撃者が被害者のデータやシステムを暗号化し、解除のための身代金を要求するランサムウェア攻撃 
 
政府機関や企業などは、こうしたサイバー攻撃の被害を受けても、組織に対する評判や顧客などの信頼を失うことなどの悪影響を危惧して、被害の公表をためらう場合が多い。しかし、ロシア・ウクライナ戦争やイスラエル・ハマス紛争に関連するサイバー攻撃、主にDDoS攻撃の被害は、被害者が公表しなくても度々報道されてきた。その多くは「ハクティビスト」と呼ばれる攻撃者に関連するものである。彼らは、政治的・社会的なメッセージを伝えるための手段としてサイバー攻撃を行うことから、自分たちのSNSに攻撃の成果を宣伝し、場合によっては、事前に犯行予告を出すことさえある。このため、被害者がその事実を公表しなくても、サイバー攻撃の事実が明るみになりやすい。 
本稿ではこの点に着目して、ここ数年の間に日本が経験したサイバー攻撃の事例を検証する。そして、ハクティビストによる日本へのサイバー攻撃の背景が、戦争などの地政学的緊張の高まりの増加が要因であることを示す。その上で、地政学的状況を注視することで、ハクティビストによるサイバー攻撃の予測や、攻撃が受けた場合の準備が可能であるということを主張する。 
 
1 ハクティビストとは 

ハクティビストという概念は、インターネットを通じて、主に政治的・社会的な主張を広めるため、政府や企業などへのサイバー攻撃を実行する主体を指すものとして、1990年代に登場した。 
ハクティビストとは、ハッカーと活動家(アクティビスト)をつなげた言葉であり、前述のように、政治的・社会的なメッセージの伝達を主たる攻撃目的とする。軍事的・政治的目的のために高度な技術で持続的にサイバー攻撃を行う国家支援型ハッカー集団を中心とするグループ(APT: Advanced Persistent Threat)や金銭的利益の窃取を目的とするサイバー犯罪組織と、ハクティビストの大きな違いはここにある。APTやサイバー犯罪組織はハクティビストのように自ら攻撃を名乗り出ることが少ないため、被害者が公表しない限り、攻撃の事実が詳らかにならないケースがほとんどである。これに対してハクティビストの目的は前述のようにメッセージ伝達であり、活動の実態を比較的掴みやすい。 
ソーシャルメディアの普及とともに、ハクティビストは、サイバー攻撃の犯行声明や成果を投稿するようになった。当初は、標的にした組織の不正を暴くなど勧善懲悪を目的とした、情報リークやウェブサイトの改竄が攻撃の中心であった。その代表例として、「WikiLeaks」[2]や「Anonymous」[3]が挙げられる。 
また、これら政治的・社会的な主張に基づくハクティビストのほか、標的のセキュリティ不足を明らかにし、自己顕示を満たすことを目的とするハクティビストもいる。2011年にソニーのウェブサイトを攻撃し、数百万件のユーザーデータを流出させた後、Twitterでその成果を投稿した、「LulzSec」はその代表例である。 
 ロシア・ウクライナ戦争開戦あたりから、親ロシア派のハクティビストのように、特定国の政府機関や企業などへのDDoS攻撃が増大している。最近のハクティビストには、地政学的緊張の高まりに応じて、あたかも国家の支援を受けて、サイバー戦争に加担していると思われるようなグループもいる。
 
2 ハクティビストによる日本へのサイバー攻撃の事例 
 
今度は、ハクティビストが関与した日本へのサイバー攻撃事例を紹介してみたい。ハクティビストによる日本への攻撃は以前から行われていたが、ロシア・ウクライナ戦争が始まって以降、その数は顕著に増加した。以下はその中の代表的な事例である。 
(1)東方経済フォーラム及び東部軍管区大演習と同期して実施されたDDoS攻撃(2022年9月) 
〇 被害の概要 
親ロシア派のハクティビストであるKillnetは、ロシア・ウクライナ戦争の開戦以降、ウクライナ支援国に対しサイバー攻撃を続けていた。日本への大規模な攻撃としては、2022年9月6日から8日にかけて行われたものが挙げられる。日本の行政総合ポータルサイト(e-Gov)などの4省庁が管理する23のサイトや地方税ポータルサイト(eLTAX)などがサイバー攻撃を受け、一時的に利用できない状況となった。さらにJCBカード・名古屋港管理組合・東京メトロ・大阪メトロのホームページ、SNSの「mixi」や「5ちゃんねる」へのアクセス障害が発生した。 
〇 犯行声明 
Killnetは、攻撃直後からその成果をSNSで投稿し始めた。攻撃開始日の翌9日、日本がウクライナ支援国であるなどとして、「日本政府に対し宣戦布告」する旨も投稿した。さらに日本のメディアやSNSで自らの攻撃が取り上げられたことにも言及した。 
〇 背景 
Killnetによる攻撃の背景は、次の二つと考えられる。第一に、9月5日から8日にかけて、ロシア極東のウラジオストクでは東方経済フォーラムが開催されていた。ロシアによるウクライナ攻撃の最中であったため、西側諸国の多くは同フォーラムへの参加を見送った。2021年まで参加していた日本も代表団を送らなかった。 
第二に、ロシア軍東部軍管区の大規模演習「ヴォストーク2022」が挙げられる。同演習が実施されたのは9月1日から7日にかけてであり、実施地域には北方領土や日本周辺海域も含まれていた。中でもサイバー攻撃が実施された9月6日には、プーチン大統領がショイグ国防相(当時)及びゲラシモフ参謀総長とともに現地を視察していた。サイバー攻撃は「ヴォストーク2022」において演練された物理空間での軍事作戦と同期していた可能性がある。 
 
(2)日本政府によるウクライナ支援とロシアへの追加措置と同期したDDoS攻撃(2023年2月) 
〇 被害の概要 
2023年2月13日から18日にかけて、石油連盟やJR東日本などのウェブサイトにサイバー攻撃が行われた。攻撃主体は前述のKillnetと、同じく親ロシア派のハクティビストであるNoName057(16)である。さらに、両者は3月1日から再び石油連盟などのウェブサイトを攻撃し、アクセス障害を発生させた。 
〇 犯行声明 
KillnetおよびNoName057(16)は、2月13日からの攻撃で、石油連盟やJR東日本のほか、政府機関、電気機器メーカー、建設機械メーカーや証券会社などのウェブサイトを攻撃したことをSNSで明らかにした。続く、3月1日の攻撃については、2月のサイバー攻撃で成功したと主張する標的への再攻撃であるとしている。 
〇 背景 
KillnetおよびNoName057(16)は、攻撃理由を二つSNSに投稿していた。その第一は、2月13日以降の攻撃に関するものである。これは、2月1日、ウクライナ政府が、日本政府は1億7,000万ドルの復興支援金を拠出した旨を発表したことへの報復とされている。さらに、2月6日、日本政府が、指定上限価格を超える価格で取引されるロシア原産の石油製品輸入禁止の追加措置を発表したことも攻撃理由に挙げられた。 
第二は、3月1日の攻撃に関するものである。これは、2月28日、日本政府がロシアの個人および団体に対する資産凍結等の措置を発表したことを理由としていた。 
 
(3)国連安保理におけるイスラエル・ハマス停戦案に対する日本の反対と同期したDDoS攻撃(2023年10月) 
〇 被害の概要 
10月7日にパレスチナ武装組織ハマスがイスラエルで大規模なテロ攻撃を仕掛けた直後から、それぞれを支持するハクティビストによるサイバー攻撃が始まった。日本に対しては、10月25日、親パレスチナ派の
IRoX Teamが、セキュリティ対策が甘かった東京目黒区のペットサロンのホームページを改竄した。さらに、11月1日、同じく親パレスチナ派のTeam insane Pakistanは、経団連や東京スカイツリー、NTT PCコミュニケーションズ、Jパワーなどのウェブサイトを攻撃し、一時的にアクセス障害を発生させた。 
〇 犯行声明 
IRoX Teamは、ペットサロンを攻撃した成果をSNSで宣伝した。また、Team insane Pakistanは、合計13の日本のウェブサイトを攻撃したことをSNSに投稿した。 
〇 背景 
10月16日、日本は、国連安保理でロシアが提出した停戦案に反対した。その後、IRoX Teamは、日本がイスラエル支援国の一つであると断定し、SNS上で攻撃の成果を投稿した。さらに、Team insane Pakistanは、日本のサイバーセキュリティシステムの多くはイスラエル製であることなどを理由に挙げ、攻撃を正当化した。
 
(4)その他 
 次に、最近の事例を紹介してみたい。目立った報道は無かったが、ハクティビストのSNS投稿からは、地政学的緊張の高まりの増加を要因とした日本へのサイバー攻撃が続いていることがわかる。 
 例えば2024年2月19日、「日本ウクライナ経済復興推進会議」が東京で開催された。その報復として、親ロシア派ハクティビストによるDDoS攻撃が日本に対して行われた。前述のNoName057(16)が他の親ロシア派ハクティビストと共同で、2月19日から23日にかけて行ったものである。彼らのSNS投稿によると、標的は社団法人、政府機関・地方自治体や資源関連企業などであった。
7月12日、ストルテンベルグNATO事務総長が共同通信の単独インタビューで「日本との合同演習を拡大したい」旨を発言した。これを理由として、NoName057(16)は、7月15日および16日に政党や公共交通機関、証券会社などへのDDoS攻撃を行ったと投稿した。
7月17日、一部日本メディアは、米欧が凍結したロシアの資産で返済するウクライナ支援基金に対し、日本政府は円借款で拠出する検討を開始したことを報じた。翌18日、NoName057(16)は、上記理由に加えて、NATO首脳会談の席上、岸田総理がNATOと連携したウクライナ支援を実施する旨も公言したことへの報復として、日本へのDDoS攻撃を行ったと投稿した。他の親ロシア派ハクティビストと共同して21日まで、公共交通機関、社団法人、機械メーカー、金融機関などを攻撃したとしている。
なお、岸田総理は、G7首脳会議参加中の6月13日にゼレンスキー大統領とともに、二国間協定に署名した。さらに、15日にはウクライナ平和サミットにも参加したことから、これらを理由とした、親ロシア派ハクティビストによる日本へのサイバー攻撃の予測可能性が考えられた。事実、G7首脳会議開催国イタリアやウクライナ平和サミット開催国スイスに加えて、平和サミット参加国のポーランドとルーマニアへのDDoS攻撃が行われた。 
このため、日本を含めた他の参加国もサイバー攻撃の標的となる可能性が予測されたが、実際には日本への攻撃は低調であった。その背景としては、ウクライナ軍による6月23日のセバストポリ市内へのATACMS攻撃により、海水浴中のロシア人観光客に被害が発生したことが挙げられる。これに対して複数の親ロシア派ハクティビストがかなり強い内容の報復を宣言した後、実際にウクライナへのDDoS攻撃が集中的に発生した。この結果、日本への攻撃が後回しになったものと考えられる。
 
3 対策 
以上、日本へのサイバー攻撃の事例を見てきた。地政学的緊張を高める政治的・外交的イベントや突発的な事象の
発生が、ハクティビストによる攻撃を招くことがこれらの事例からわかった。 
ということは、ハクティビストの攻撃は、地政学的な動向に関する定期的なモニタリングによって、ある程度予測できる。事例で紹介した通り、政治的・外交的イベントの予定や発表、突発的な事象の発生により、ハクティビストによる日本へのサイバー攻撃が実行されてきた。これらは、ニュースなどを通じて知ることが十分可能である。 
インターネットを利用した、行政サービスを提供する政府機関や、各種サービスを提供する民間企業も、サイバー攻撃によって、自ら被害を受けるだけなく、利用者にサービス中断の実害を及ぼしてしまう。
さらに、これらサービスを利用する個人は、インターネットサービスが常に運用されているとの誤った認識を持ちやすい。しかし、突然の攻撃によって、それが思い込みだったと痛感させられる。
攻撃の被害を防止、あるいは、軽減させるためには、政府機関も民間企業も個人も、サイバーセキュリティには、推奨されている機器・システムの設定見直しや脆弱性の有無の確認、ソフトウェアの更新などの技術的対策強化に加えて、地政学的な動向を知るための情報収集の重要性も高まっていると言えよう。 
 
4 結論 
現在ではインターネットによって、いつでもどこでもチケットの予約やオンラインバンキングなどのサービス利用が可能である。しかし、2022年9月のKillnetによるJR東日本へのDDoS攻撃によって、乗車券予約が一時的にアクセスできなくなったと言われており、いつ、インターネットサービスがサイバー攻撃の標的になるかわからない。 
まだ先の見えないロシア・ウクライナ戦争やイスラエル・ハマス紛争だけなく、あり得るかもしれない中台有事など、これからも世界各地で生起する地政学的緊張の高まりを背景にした日本へのサイバー攻撃は逃れることができない。 
 普段からニュースなどを読むことによって、地政学的緊張の高まりを感じ取れたら、政府機関や企業は、インターネットサービスの中断を前提にした事前の対処や攻撃を受けた場合の被害軽減策を準備できるであろう。また、個人は、いざという時、インターネットに頼らなくてもサービスの利用継続ができるように、駅や銀行の窓口へ行く心づもりや、キャッシュカードなども準備する。このような、サイバー攻撃へのレジリエンスを高める手立ても、一つのサイバーセキュリティと言えるだろう。
 
[1] 総務省|令和5年版情報通信白書|サイバーセキュリティ上の脅威の増大 (soumu.go.jp)
[2]米政府の不正行為や権力乱用を暴露するため、アフガニスタン戦争やイラク戦争などの米国機密文書をTwitterやFacebookで公開した。
[3]アラブの春の民主化運動支援を目的に中東の政府のウェブサイトへのDDoS攻撃の成果をTwitterに投稿した。

Recent Publication

コメンタリー

2024.12.11 (水)

カムチャッカ半島の露原潜基地に関する観測手法と新動向(ROLES SAT ANALYSYS No.12)

#ロシア

#衛星画像分析

研究会「安全保障政策研究のための衛星画像分析」

コメンタリー

2024.11.25 (月)

ロシア北極圏における核実験場の動向 その2(ROLES SAT ANALYSYS No.11)

#ロシア

#衛星画像分析

研究会「安全保障政策研究のための衛星画像分析」

コメンタリー

2024.10.15 (火)

東野篤子「日本のウクライナ支援の実態とその課題」(ROLES Commentary No.35)

研究会「東欧、中・東欧、バルカン諸国の自由・民主主義の帰趨」