正体不明のハッカー集団による攻撃を受け、サウジアラビアの石油精製施設が操業不能となる──。そんな事件が、2017年8月に発生した。その後の調査でこの攻撃に、過去最強の破壊力をもつマルウェアが使われていたことが明らかになっている。オイル漏れや爆発を防ぐプラント内安全システムの無効化を狙う攻撃だった。
この大胆不敵なサイバー攻撃から3年が経過したいま、ロシアの研究組織が責任を問われようとしている。米財務省は10月23日(米国時間)、ロシアの化学・機械工学中央科学研究所を制裁対象とする決定を下したのだ。
この研究所がサウジアラビアの石油精製会社ペトロ・ラービグの安全装置を破壊するハッキング行為に加担したことは、18年10月にすでに明らかになっている。攻撃に使用されたのは「TRITON(トリトン)」または「Trisis(トライシス)」と呼ばれるマルウェアだ。
もともとTRITONは、フランスの重電メーカーであるシュナイダーエレクトリックによる「Triconex」ブランドの安全システムの脆弱性を突くために開発された。ところがペトロ・ラービグの事例では、フェイルセーフ装置(故障や誤操作の際に安全側に働くシステム)を作動させることで、プラント全体を機能不全に陥らせたのである。
この制裁措置によってロシアの化学・機械工学中央科学研究所は、実質的に米国内や対米国の活動停止を余儀なくされる。また米国政府は今回の措置によって、壊滅的な危険をはらむサイバー攻撃について、相手がロシアであろうとほかの国であろうと責任を追及する姿勢を初めて示したことになる。
明らかになっていたロシアの関与
産業用の制御システムを直撃するマルウェアとして存在が明らかになったものは、TRITONがわずか3例目だ。またTRITONの使用が公表されているのは、サウジアラビアの企業が攻撃されたこの事件だけである。
しかし、今回の制裁措置を発表したスティーヴ・ムニューシン財務長官の声明が、米国のインフラを脅かすいかなる同様の攻撃も許さないというメッセージであることは明白だ。「ロシア政府は、米国ならびに同盟国を標的とする危険なサイバー活動に関与し続けている」とムニューシンは指摘した上で、「わたしたち政府は国家崩壊を企てる者から米国の重要インフラを果敢に守り続ける」と続けた。
ロシア語の頭文字を組み合わせた「TsNIIKhM」の名で知られるこのモスクワの研究所と、TRITONの間に何らかのつながりがあることは、セキュリティ企業FireEyeの調査で18年に明らかになった。攻撃に使われたツールが、この研究所に所属する何者かによって、未確認のマルウェア検査プラットフォーム上でテストされていた痕跡が見つかったのだ。
また証拠となったファイルのひとつには、あるハッカーの呼称が記されていた。それはまさしく、TsNIIKhMに教授として所属していたひとりの人物が、あるソーシャルメディアのプロフィール欄に載せていたハンドルネームによく似た名前であることが判明したのである。
今回の制裁措置は、こうした推論を公式に認めるものであり、3年前のサイバー攻撃におけるこの研究所の役割について改めて説明責任を課すことにもなる。「米政府がTsNIIKhMを世界の安全に対する深刻な脅威と見なしているということです」とFireEyeの情報部門でディレクターを務めるジョン・ハルトキストは語る。「あの研究所で、人命を脅かす道具の開発が行われていることは間違いありません」
TRITONを仕掛けたたハッカー集団は、産業サイバーセキュリティ企業のDragosによって「Xenotime(ゼノタイム)」と名づけられた。Dragosと米国電気情報共有分析センター(E-ISAC)によると、ハッカーたちは公共事業各社のネットワークへの侵入をもくろみ、米国の送電網に関する調査も進めているという。
またFireEyeの調査によって、このハッカー集団がサウジアラビアとは別の国の公共施設のネットワークにも侵入していたことがわかった。ただし同社は、ターゲットとなった施設の詳細を明らかにしていない。なお、ペトロ・ラービグへの攻撃後、TRITONを使ったハッキング行為は確認されていない。
「今回の制裁は正当かつ歓迎すべき」
米国政府機関は、国家ぐるみで数々のサイバー攻撃や侵入行為に関与したロシアのハッカーたちを名指しで糾弾し、何年も前の事件にさかのぼって処罰を加えようとしている。今回の制裁措置は、こうした気運がにわかに高まるなかで決定された。
米司法省は10月22日、ロシアの諜報機関である軍参謀本部情報総局(GRU)で働く6名のハッカーを起訴している。「Sandworm(サンドワーム)」の名で知られるハッカーたちにかけられた容疑は、5年にわたるさまざまな破壊行為だ。これにはウクライナの停電事件や、未遂ながら史上最強の破壊力をもつとされるマルウェア「NotPetya」が使われた18年冬季オリンピック大会の妨害工作も含まれる。
また同日、米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)は、「Berserk Bear」または「Dragonfly」と呼ばれるロシアの別のハッカー集団に関する勧告を発表した。米国各州や地方の政府機関、米国の航空会社に対し、この集団が大規模な侵入行為を働いているとの内容である。
一方で、ロシアの凶悪なハッカーたちのなかから特定の研究機関を名指しで制裁の対象とするのは、かなりまれなやり方だとジョー・スロウィクは指摘する。彼はDragosでサイバーセキュリティ関連の調査を担当しており、ハッカー集団であるXenotimeの動きをつぶさに追っている。スロウィクによると、TsNIIKhMはロスアラモスやローレンス・リバモアといった米国の国立研究所に匹敵する施設で、数々の権威ある学会での発表実績をもつ研究スタッフが揃っているという。
「そのせいでTsNIIKhMは、イスラエル諜報特務庁やイランのイスラム革命防衛隊と同様に、米財務省にとって手出しができない存在になっていたのです」と、スロウィクは言う。「ひとつの学術機関をまるごと敵に回す行為は、普通ならありえないことです。前代未聞の結果を引き起こすことになるでしょう」
事件から3年が過ぎたとはいえ、それでもTRITONがもたらした脅威の大きさを考えれば、今回の制裁は正当かつ歓迎すべきものだとスロウィクは断言する。
「TRITONは、サイバー空間と現実世界の両方でシステムを混乱させたり何かを破壊したりするだけでなく、インターネットの力を殺人が可能なレヴェルにまで引き上げてしまいました」と、スロウィクは言う。「数年がかりではあったものの、米国政府は確固たる態度を示しました。明確な意図の有無を問わず、人命を傷つけたり危険に晒したりする恐れのあるサイバー行為は、決して許さないという警告を発したのです」
※『WIRED』によるハッキングの関連記事はこちら。
TEXT BY ANDY GREENBERG
TRANSLATION BY MITSUKO SAEKI