第429号コラム:名和 利男 理事
(株式会社サイバーディフェンス研究所 専務理事/上級分析官)
題:「2016年リオ・オリンピックに関連したサイバー攻撃の発生状況と対処体制」
第31回オリンピックが、2016年8月5日から同年8月21日の間、ブラジル・リオデジャネイロにおいて開催され、同年9月7日から18日には、リオ2016パラリンピック競技大会が開催される予定となっています。
前回、2012年のロンドン・オリンピックが、史上初の「デジタル・オリンピック」と言われるほど、様々なシーンで情報通信技術の積極的な活用がありましたが、今回のリオ・オリンピックは正真正銘の「マルチプラットフォーム・ゲーム」として、幅広いチャネルと多種多様なデバイスの活用がありました。そして、当初の予想通り、リオ・オリンピックに関連した様々なサイバー犯罪やサイバー攻撃が発生しました。本コラムで、その一部を紹介したいと思います。
- サイバー犯罪
World Bankの統計データによると、ブラジルで利用されているATM機器は世界で最も多い部類に入っています。そのため、ATM機器の製造や保守に係るビジネス競争が激しく、十分なセキュリティ対策が取られているとは言いがたいところが散見されていました。その一つがスキミング対策です。サイバー犯罪者は、ATM内部にChupa Cabrasと呼ばれるスキミングデバイスを設置し、それを利用した観光客のクレジットカード情報を窃取することに成功しました。2014年のブラジル開催のFIFAワールドカップでは、リオデジャネイロの国際空港で14つのATMで確認されましたが、2016年のリオ・オリンピックにおいては、開催場所周辺で、改良されたChupa Cabrasに加え、様々な手段によるスキミング行為が確認されました。
また、観光客のクレジットカードを狙う他の手段として、POSレジも狙われました。FighterPOSと言われるPOS内部の情報を摂取するマルウェアの感染が発生し、多くのクレジットカード情報が流出しました。
- ネット詐欺
2014年のFIFAワールドカップ同様に、リオ・オリンピックをテーマにした偽サイト、チケット販売の偽サイト、及びその他のオリンピックに関連性を持たせた偽サイトが相次いで出現しました。いずれもID/パスワード等の機微情報や個人情報の窃取を目的としたものでした。
特に、2016年3月から発生したフィッシング詐欺キャンペーンでは、悪意のあるペイロードが埋め込まれたPNGイメージを含むPDFファイルを添付されたメールが急増しました。これは、ここ数年のブラジルにおけるサイバー犯罪で、よく確認されていたネット詐欺の手段でした。
- 無線ネットワーク
2016年のリオ・オリンピックは、2012年のロンドン・オリンピックに比べて、3G/4Gモバイルデータアクセスが50%増加しました。これに伴い、個人情報を摂取するために悪意のあるWiFiホットスポットの設置が目立ちました。SSIDには、公式のオリンピックネットワーク或いは会場名の名称が使われていたため、多くの観光客が安易に接続してしまったようです。
他の国際的な大規模イベントで見られることですが、多くの外国から来訪する外国人は、ローミングコストを避けるため、最寄りのWiFiネットワークに接続する傾向があります。
- Boletos(ブラジルにおける支払伝票)詐欺
ブラジルにおける銀行決済のうち18%がオンラインシステム上で行なわれています。その多くで、ブラジル連邦銀行が定めるBoletosと呼ばれる支払い伝票が利用されています。
以前より、ブラジルではBoletosのアプリが動作するデバイス上やWebブラウザ内に残存する入力情報の窃取するサイバー攻撃が発生していました。特に、リオ・オリンピック期間中は、Bolware(Boletoのバーコードを書き換え、犯罪者の口座に入金させる)、Broban(フィッシング詐欺メールにより、悪意のあるブラウザのプラグインや拡張機能をインストールさせる)、Onyx及びEupuds(Eupudsは、Webブラウザのメモリに悪意のあるコードをインジェクトしてBoletos情報を書き換える。Onnyは、Mac OSやLinux OS上で動作し、悪意のあるサーバから新しいバーコードイメージをダウンロードして表示させる)等のマルウェアの感染が目立ちました。
- ハックティビスト活動と攻撃キャンペーン
2014年のFIFAワールドカップに対するブラジル政府からの巨額支出が、現在のブラジルの深刻な財政難の原因の一つであるとし、2015年7月頃から、リオ・オリンピック2016に反対を示唆するメッセージがSNS上で流れ始めました。
2016年1月31日、Twitter上で、リオ・オリンピックへの反対を強く主張するイメージが投稿され、2月2日から、OpOlympicHackingのハッシュタグをベースに活発な議論が始まりました。これを受けて、一部のネットユーザーが攻撃キャンペーンを開始しました。
2016年2月、Petrobas(リオデジャネイロの電力会社)、Petronect(国営石油公社ペトロブラスのビジネスベンダーのためのポータルサイト)、Accenture(アイルランドベースのコンサルティング会社)へのシステム侵入が成功して窃取した情報として、社員の1,100名以上の名前、ユーザ名、パスワード、メールアドレスが、有名投稿サイトに掲載されました。その後、攻撃者を名乗る者が、それぞれのサイトへのSQLインジェクションが成功したというメッセージを流しました。これに触発された他の攻撃者が、パトスデミナス市のシステムに侵入したと主張し、内部から窃取したとする情報を同じ有名投稿サイトに掲載しました。
その後、この執筆時点(2016年9月8日)までの間に、さまざまな公的機関や有名企業の内部情報が晒されました。その他、ブラジルの社会保障省、国立通信局、リオ・オリンピック関連サイトが、何かしらの手段によるサイト停止や規模の大きいDDoS攻撃によるアクセス不能状態に何度も追いやらました。
このようなサイバー犯罪やサイバー攻撃に対して、ブラジルは様々な体制を組んで対処に臨んでいました。その対処体制の中でも、もっとも目立った成果を発揮したのが、Center for Cybernetic Defense(CDCiber)でした。CDCiberは、2012年9月に、ブラジル陸軍内に設置された合同部隊で、国防省配下でサイバー攻撃対処を任務としていました。特に、2014年のFIFAワールドカップ、2016年のリオ・オリンピック時には、重要インフラ事業者に軍の担当者がリエゾンを派遣し、軍による指揮命令系統を確保し、即時対処可能な体制を整えていました。
特に、リオ・オリンピック開催時のCDCiberは、軍の3つの部隊や他の独立した治安当局と共に、200名体制で臨み、オリンピックゲームの運用において重要性の高いデータストレージ、トランザクション、データ処理の保全を任務としていました。
オリンピックゲームに限らず最近の国際的なスポーツイベントにおいて、多種多様なサイバー犯罪やサイバー攻撃が発生しています。それぞれの発生事象や背景などを見る限り、開催地における治安・犯罪傾向、社会情勢、政情、経済格差、そして社会
インフラにおけるICTやサイバー空間の利用依存度によって、発生するサイバー犯罪やサイバー攻撃が大きく異なっています。
2020年には、東京において第32回オリンピック競技大会が開催される予定です。過去のオリンピックから学べることは多いですが、想定されるサイバー脅威を見積もるには、セキュリティ技術者だけでなく、安全保障、危機管理(治安)、軍事、経済、犯罪捜査、ICTやサイバー空間利用領域の社会インフラの事業者及び設備事業者等の専門家の知識や経験も必要になってくるといくだろうと、筆者は考えています。
【著作権は、名和氏に属します】