米国土安全保障省(DHS)は今年6月、wiperを使ったイランからの脅威が増しているとして警戒を促す声明を発表した。wiperは2012年8月にサウジアラビアの国有石油会社、サウジアラムコがサイバー攻撃によって3万台ものコンピューターが破壊された攻撃で使われたマルウェアだ。サウジアラムコへのサイバー攻撃はイランの関与が指摘されている。wiperはイランのサイバー兵器なのだろうか?
2012年8月のサウジアラムコへのサイバー攻撃でwiperは、shamoonというマルウェアの破壊的な機能を担うコンポーネントとして登場した。3万台を超すコンピューターのファイルを破壊し、MBR(マスターブートレコード)を上書きしたのだ。wiperの破壊的な機能をもつワイパーマルウェアshamoomは、その後、2016年11月に再びサウジアラビアへのサイバー攻撃で登場した。2016年に被害を受けたのはサウジアラビアの航空・運輸、エネルギー部門などの政府機関や中央銀行だった。アメリカのサイバーセキュリティ企業のマカフィーによると、2016年に使用されたshamoonは、2012年のshamoonの90%を再利用したものだった。
shamoomはさらにその2年後の2018年12月、バージョンアップをしてイタリアのサン・ドナート・ミラネーゼに本部があるエンジニアリング企業のSaipemの中東にあるサーバーなどを攻撃した。Saipemはサウジアラムコと取引関係にあり、2019年1月にはサウジ沖の海底油田2カ所の開発を総額約13億ドルで請け負う契約を締結していることから、shamoomによる攻撃はその直前に行われたということになる。
こうした一連のshamoomによる破壊的なwiper攻撃を行っているのは、イランもしくはイランと関係するハッカー組織との見方が有力だ。2012年のサウジアラムコに対するサイバー攻撃では、Cutting Sword of Justiceと名乗る者がPastbinに声明を投稿し、シリア、バーレーン、イエメン、レバノン、エジプトなどで起きている犯罪や残虐行為をサウジが支援していると批判し、サウジアラムコへのサイバー攻撃に関する詳細情報を明かしたことから、このグループが攻撃を行ったとみられている。破壊されたサウジアラムコの約3万台のコンピューターにはアメリカの国旗を焼く画像が残されており、サイバー攻撃の動機には政治的な背景があることは明らかだった。また、その攻撃は金銭窃取や情報窃取といったものではなく、コンピューターを破壊することを目的としており、その主要な役割を担ったのがwiperだった。
アメリカのサイバーセキュリティ企業、FireEyeは同社が追跡しているサイバー攻撃者一覧を明らかにしている。FireEyeが追跡するサイバー攻撃者とは、国家などの強固な基盤を持ち一定のターゲットに長期間にわたりAPT(Advanced Persistent Thret:標的型攻撃)を仕掛けているグループだ。その一覧の中で「関与が疑われる国家\組織」にイランをあげているのは3グループ、APT39、APT34、APT33だ。うちAPT33については「米国、サウジアラビア、韓国に拠点を置く複数の業種の組織を標的としています。同グループは、軍用および民間用の航空機産業と、石油化学製品製造と関係のあるエネルギー産業に特に強い関心を示しています」とし、関連するマルウェアとしてshapeshift、dropshot、turnedup、nanocore、netwire、alfa shellという6つのマルウェアを記載している。
FireEyeが2017年9月20日に投稿した記事によると、APT33と関連するマルウェアdropshotはワイパーマルウェアのshapeshiftにリンクしており、shapeshiftはサウジアラビアの攻撃に使用された可能性があるという。また、APT33が使用しているマルウェアturnedupに書かれているハンドル「xman_1365_x」は、ソフトウェア開発をてがけるイランのBarnamenevisのプログラミングおよびソフトウェアエンジニアリングフォーラムのマネージャーで、イランのハッカーフォーラムに登録されているハンドルとの情報もあるようだ。さらにxman_1365_xはサイバー軍に相当するNasr Instituteに結び付くという。
しかし、FireEyeは、APT33自身がshapeshiftを使用していることは確認しておらず、APT33の活動実態はサウジアラムコを攻撃したグループとは異なるように見えるとしていて、破壊的な作戦を実行する複数のイランベースの脅威グループが別に存在する可能性を示唆している。FireEyeが2017年9月20日にAPT33とワイパーマルウェアshapeshift との関係を記した記事を発表した半年前の2017年3月10日、日経新聞のウェブ版に「Kaspersky Lab、データを破壊する新しいマルウェア『StoneDrill』を発見」という記事が載った。ロシアのサイバーセキュリティ企業、カスペルスキーが発見したStoneDrillとFireEyeの言うshapeshiftは同じマルウェアだという。
日経のニュース記事の3日前にカスペルスキーが配信した記事によれば、カスペルスキーは2016年11月に発生したサウジアラビアへのshamoon攻撃の調査過程でワイパーマルウェアのStoneDrillを発見した。StoneDrillとshamoonは異なるワイパーマルウェアだが、いくつかの類似点があるという。また、shamoonはリソース言語としてアラビア語とイエメンの言語が埋め込まれているが、StoneDrillは主にペルシャの言語が埋め込まれているという。カスペルスキーはStoneDrillとshamoonの関係について、それぞれの利益のために調整されたグループによって使用された可能性を示唆している。カスペルスキーとFireEyeの見解にもとづけば、shamoonはアラビア語やイエメンの言語を使用するグループ、StoneDrillはイランと関わりがあるとみられるAPT33のdropshotとリンクするが、StoneDrillの使用者はAPT33ではなく破壊的なサイバー攻撃を担うペルシャ語を言語とする別グループということになる。
ところで2012年8月にサウジアラムコがshamoonによるサイバー攻撃を受けた時、shamoonのプログラムコードにアラビア湾という言葉が使われており、イラン人がプログラムしたのであればアラビア湾ではなくペルシャ湾と表記するのではないかとの指摘があった。さらにサウジアラムコがshamoonによる攻撃を受けた4カ月前、イラン石油省にサイバー攻撃があり、石油省本部のコンピューターのハードディスクデータが消去されたとの報道が行われた。この時に使用されたマルウェアもwiperとされたが、2016年のshamoon攻撃で使用されたwiperにはない自らの存在をも除去するという高度な機能を有していたとされ、実際に攻撃に使用されたwiperマルウェアのサンプル分析ができないことから謎に包まれている。ただし、ロシアのサイバーセキュリティ企業のカスペルスキーは、同社説明によると国際電気通信連合(ITU)の依頼を受けてKaspersky Labが調査を実施し、Kaspersky Labはマルウェアのサンプルは取得できなかったものの、wiperによって攻撃されたいくつかのハードドライブイメージを取得して分析し、分析結果の詳細をネットに公開している。
調査結果によれば、2012年4月下旬までイランのコンピューターシステムを攻撃したwiperと呼ばれるマルウェアが存在したことは間違いないという。しかし、そのwiperは2012年8月にサウジアラムコへの攻撃で使用されたwiperとは異なるという。カスペルスキーの見解では、2012年8月にサウジアラムコを攻撃したワイパーマルウェアshamoonは、イラン石油省などを攻撃したwiperマルウェアのコピーキャット(模倣品)の可能性が高いという。つまり、高度なサイバー兵器とも言えるwiperマルウェアが2012年4月下旬頃までイランの石油省などを攻撃していた事実があり、その後、wiperマルウェアを模倣して作られたshamoonがサウジアラムコを攻撃したのではないか、ということだ。そうであるならばイランを攻撃したwiperは誰が作ったのだろうか?
【参考】
・2012年8月27日 日経 アラムコにサイバー攻撃 石油生産に影響なし
・ 2016年12月1日 プルームバーグ サウジアラビアに大規模なサイバー攻撃、空港当局のPC数千台を破壊
・2016年12月2日 CNN サウジ政府機関に時限式サイバー攻撃、システムを一斉破壊
・2017年4月25日 McAfee Shamoon Returns, Bigger and Badder
・2018年11月13日 ロイター Saipem says Shamoon variant crippled hundreds of computers
・Iran suspected for the attack on the Saudi
・The History of Ashiyane: Iran’s First Security Forum
・カスペルスキー 2017年3月7日 From Shamoon to StoneDrill
・日経 2017年3月10日 カスペルスキー、データを破壊する新しいマルウェア「StoneDrill」を発見
・イラン政府の関与が疑われる諜報活動グループ「APT33」が韓国を狙った理由
・ニューヨークタイムズ 2012年10月23日 In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back
・2012年8月29日 カスペルスキー What was that Wiper thing?
・ 2012年9月12日 カスペルスキー Shamoon The Wiper:詳細(パートII)
・ 2012年8月22日 カスペルスキー Shamoon the Wiperの詳細