海の向こうの“セキュリティ”

サイバー恐喝攻撃のリスクを下げるためのアドバイスとは

SNSを使った米国世論の操作:中国とロシアの違い/ランサムウェアやセクストーションなどの恐喝攻撃の実態

SNSを使った米国世論の操作:中国とロシアの違い

 ロシアがソーシャルメディアを使って欧米の世論を操作していると言われて久しいですが、そのような中、米セキュリティ企業Recorded Futureは、中国によるソーシャルメディアを使った米国世論の操作に関する調査報告書を公開し、その中でロシアとの違いなどを紹介しています。なお、今回の報告書は、2018年10月1日から2019年2月22日までの西側諸国のいくつかのソーシャルメディアから集めたデータを分析した結果に基づいています。

 今回の報告書はあくまで中国が米国の世論を操作するためにどのような目的でどのようにソーシャルメディアを使っているかなどを紹介する内容なのですが、興味深いのはロシアとの比較です。簡単に言ってしまえば、ロシアが米国を弱体化させたいのに対し、中国は自国のイメージを向上させたいという違いがあり、そのため方法も大きく異なっています。

目的

  • ロシア
    - 民主的なプロセスに対する米国の信念を蝕む
    - ロシアびいきの政策に対する支持を増やす
    - 西側諸国の同盟体制を阻む
  • 中国
    - 現在の国際体制における重要な役割とより大きな影響力
    - 「チャイニーズ・ドリーム」を広める

手法

  • ロシア
    - 名目上は「民間」企業
    - 「フェイクニュース」からハイパーパルチザン(hyperpartisan:党派色が極端に強く偏った)な内容に進化
    - ミーム(meme)の使用
    - 活動によって信頼を徐々に失わせ、混乱(chaos)を促進し、不満の種をまく
  • 中国
    - 好意的で非脅迫的であり、調整されたメッセージ
    - 小規模なアストロターフィング(やらせの草の根運動)またはコメントの洪水(comment flooding)
    - 既知の「五毛党」に相当するものはない

内容

  • ロシア
    - 「フェイクニュース」の多くはロシアによる偽情報活動で発生したが、拡散したメッセージは必ずしも誤りとは限らない
    - 真実でも嘘でも、ロシアのアカウントによって広められた内容はほとんどいつもハイパーパルチザンであり、扇情的で混乱をもたらすものである
  • 中国
    - 報道機関は「チャイニーズ・ドリーム」が世界全体にとって常に変わることなく好ましく有益であると示すために、偏った歪んだストーリーを作り出す
    - ソーシャルメディアカウントは中国の政治や文化について歪んだ、感傷的すぎる(saccharine)ストーリーを提示する有料広告で米国のユーザーをターゲットにしている。

方法論

  • ロシア
    - 多数のテーマが全てのプラットフォームをまたがって強固なものになっている
    - 1人の候補者に対する明確な優遇
    - 現実世界のインパクト、米国の投票者に影響を与える試み
    - 特定の政敵を標的に
    - 分離主義や反乱扇動のメッセージ
  • 中国
    - 国営メディアが深く関与している
    - 中国という国と党についての歪んだ、感傷的すぎる「ニュース」
    - メディアプラットフォームをまたがって毎月イベントが開催された
    - 2018年の中間選挙の際に投票者に影響を与えるような大規模な試みはなかった

 Recorded Futureという「Threat Intelligence」を専門に扱う米国企業がまとめた報告書としては「さもありなん」と思える内容ではありますが、どのように受け取るかは読者の皆さんそれぞれの判断にお任せします。

ランサムウェアやセクストーションなどの恐喝攻撃の実態

 ランサムウェアをはじめ、なんらかのデータを「人質」に取るなどして金銭を要求するITを使った恐喝事件が多発する中、セキュリティ企業Digital Shadowsはこのような恐喝に関する調査結果を発表しました。

 まず、2018年から2019年にかけて起きた恐喝攻撃のうち代表的なものについて時系列でまとめたのが以下の図です。

 個々の項目については以下の通り。

SamSam
- ランサムウェアの一種で2015年から活動
- JBossソフトウェアを攻撃
- 米国や欧州、アジアの組織に対する攻撃で使用

Sextortion
- 受信者がポルノを観ている映像を持っていると主張するスパムキャンペーン
- 中には動画を公開すると脅すものもある

Hitman
- 受信者がビットコインで金を支払わなければ殺すと脅すスパムキャンペーン

thedarkoverlord(TDO)
- ヘルスケアやエンタメ業界に対するキャンペーンで知られる恐喝犯

Ryuk
- ランサムウェアの一種で2018年から活動
- Hermesの一種から進化したものでフィッシングまたはEmotetとTrickbotキャンペーンで流布

 また、Digital Shadowsは恐喝犯が悪用するものとして以下の3つを挙げています。

1)漏えいした認証情報
 攻撃者は、大規模な恐喝キャンペーンを実施し、被害者が侵害されたと納得するように、安価ですぐに使える侵害済みの認証情報を使う。

2)慎重に扱うべきデータ
 被害者を直接恐喝するだけでなく、恐喝犯はオンラインフォーラムにコーナーを設置して企業の文書や知的財産のような慎重に扱うべきデータを売りに出している。被害者に身代金を支払わせる代わりに一般大衆から収益をあげる方法としてクラウドファンディングの仕組みも使われている。

3)技術的脆弱性
 攻撃者はインターネットに直結したアプリケーションに悪用可能な脆弱性があるかスキャンする。そしてランサムウェアを仕込むことで、被害者のビジネスを混乱させて評判を落とすだけでなく、攻撃を止めるために高額な身代金を支払うように要求する。

 恐喝攻撃のうち、特にセクストーション(Sextortion)について、2018年7月から2019年2月までにDigital Shadowsが収集分析した結果は以下のようになっています。ただし、あくまでDigital Shadowsが収集できた範囲内の結果であり、これが全世界の状況を正確に表しているわけではないことに注意が必要です。

  • 攻撃対象となった被害者のメールアドレス数:約8万9000
  • 攻撃メール数:約79万2000
  • ビットコイン送金元アドレス数:3100以上
  • ビットコイン送金先アドレス数:92
  • 恐喝で支払われた総額:約33万2000ドル

 攻撃に用いられるメールは同じ形式で、まず攻撃が成功した「証拠」として既知のパスワードを記載し、被害者がアダルトコンテンツを観ている映像を持っていると主張して指定したビットコインアドレスに身代金を支払うように要求します。さらに、Ciscoのルーター(適応型セキュリティアプライアンス:ASA)の脆弱性「CVE-2018-0296」を悪用して被害者のPCにアクセスしたと示唆するメールを送る場合もあります。

 メールの送信元IPアドレスの場所を国や地域ごとにまとめたのが以下の図です。最も多いのはベトナムで全体の8.5%、次にブラジルの5.3%、インドの4.7%となっています。

 今回の報告書では上記以外にもさまざまな調査結果を紹介しており、中でもCレベルの重役や弁護士、医師といった裕福な人物に対する恐喝を手助けした共犯者には年棒36万ドル相当の給料が約束されていることはDigital Shadowsのプレスリリースでも大きく取り上げられています。また、恐喝の仕方を指南するガイドが10ドル以下で売られているなど、恐喝に手を染めるハードルが低くなっている現状も紹介しています。

 調査結果を踏まえ、Digital Shadowsは恐喝のリスクを下げるために以下のようなアドバイスをしています。

  • セクストーションのメールには返事をしない。無差別に大量送付されているものなので、スパムとして処理する。
  • 「HaveIBeenPwned」を使って過去に侵害されたアカウントを見つける。すでに公になっているアカウントに対してはパスワードを更新し、可能であれば多要素認証を有効にする。
  • ランサムウェアに備える。定期的なバックアップ、定期的なバックアップおよび復旧手順のテスト。
  • 攻撃可能な箇所を減らす。遠隔からのアクセスをVPN経由のみに制限する。古い、または不要な機能を無効化し、攻撃に対してシステムを堅牢化する。最も重要なシステムを特定し、公知の脆弱性に対するベンダー提供のパッチを適用する。
  • ユーザー権限に対するベストプラクティスを適用する。ローカルの管理者権限を削除し、典型的なランサムウェアが実行される一時フォルダーやデータフォルダーの実行権限を制限し、さらにアプリケーションのホワイトリストを実装する。
  • 電子メールのエンドユーザーをセキュアにする。強力なスパムフィルターや添付ファイルに対する制限によってスパムの恐喝メールやマルウェアがエンドユーザーのメールボックスに届かないようにする。
  • FBIのIC3(Internet Crime Complaints Center)に届け出る。

 もちろん、最後の項目は米国での話なので、日本なら通常の恐喝事件同様に警察に届け出ればよいのですが、上記のいずれの項目も特に恐喝に限定したものではなく、一般的なセキュリティ対策と基本的には同じです。改めて「基本が大事」ということを示すものであり、恐喝の被害が多い現状に特にあわてる必要はなく、これまで通りの対策を粛々と実施した上で、利用者に対しては恐喝メールの事例を紹介することで注意を喚起すればよいでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。