中東で何が起きているのか?サウジアラビアとイランをめぐるサイバー攻撃

無人機による攻撃で石油施設に大きな被害を受けたサウジアラビア国営石油会社のサウジアラムコ。世界最大規模の原油生産を誇る同社施設への攻撃が世界の石油市場を“直撃”している。イエメンの親イラン組織フーシが犯行声明を出したが、アメリカとサウジアラビアはイランが攻撃を行ったとの見方をしている。サウジアラムコに対しては7年前の2012年には3万台ものコンピューターが破壊されるサイバー攻撃が行われた。中東におけるサイバー事象と政治・経済情勢はリンクしているように見える。

シマンテックが最近配信したブログ記事に、サウジアラビアのITプロバイターを標的にしたサプライチェーン攻撃について分析した投稿がある。サプライチェーン攻撃とは、特定の企業等をサイバー空間で攻撃する際、ターゲットに直接攻撃を仕掛けるのではなく、サプライチェーンを標的にして攻撃する手法で、コンピューターによるネットワーク化が進むことで健在化してきた攻撃手法だ。シマンテックのブログによると、少なくとも2018年7月から活動しているTortoiseshellというグループが顧客への侵害を目的にサウジアラビアのITプロバイダーを標的に攻撃をしており、直近では今年7月に活動が行われたという。シマンテックでは攻撃を受けた11の組織を特定しているという。侵害を受けたネットワークでは数百台のコンピューターがマルウェアに感染したが、被害を受けたコンピューターではTortoiseshellの攻撃ツールが展開する1カ月前にPoison Frogというツールが展開していたという。Poison Frogというのはバックドアで、BondUpdaterというツールの一種であり、BondUpdaterは中東の組織に対する攻撃でこれまでも使用されていたものだという。

パロアルトネットワークスなどのサイバーセキュリティ企業等によると、今年3月、@ Mr_L4nnist3rというハンドルネームを持つ者がツィッターやハッキングフォーラムに登場し、OilRigと呼ばれるハッカーグループのデータへのアクセス権があることを主張した。その後、ツィッターに新たに@dookhteganというハンドルネームをもつ者が登場し、さらにSNSのTelegramチャンネルではLab Dookhteganというハンドルネームをもつ者によりOilRigグループのハッキングツールがリークされるという事件があった。リークされたデータについてサイバーセキュリティの分析機関が検証した結果、真正なデータだと判断された。つまり何者かがOilRigのデータを漏らしたのだ。データがリークされたOilRigは、サイバーセキュリティの世界でイランの脅威と考えられているハッカー組織で、米国家安全保障局(NSA)の2018年版の報告書「Foreign Economic Espionage in Cyberspace」でも「歴史的にはサウジアラビアを標的にしていたが、アメリカの金融システムやIT企業への攻撃も増加している」とOilRigについて記している。さらに、FireEyeはOilRigについて、イラン政府に代わって機能していると評価している。 OilRig は、別にAPT34としてセキュリティ企業等が監視してきたグループと活動が同じであることがわかり、今はOilRigとAPT34は同一グループとされている。

シマンテックのブログ記事によれば、サウジアラビアのITプロバイターを標的にしたサプライチェーン攻撃でTortoiseshellの攻撃ツールが展開する1カ月前にはPoison Frogが展開していたという。そのPoison FrogをバッグドアとするツールBondUpdaterは、Lab Dookhtegan がTelegramチャンネルにリークしたデータから、イランの脅威とされるOilRigと関係しているツールであることが判明しているため、シマンテックのブログ記事はサウジアラビアのITプロバイダーへの攻撃もイランと関わりがあるOilRigによる攻撃の可能性を示唆させる。ただし、ブログの記事では2つのツールキットの活動に時間的な差があることや、攻撃に関心を示しているグループが複数ある状況を踏まえ、リークを受けてOilRigとは関係のないグループがPoison Frogを使用した可能性もあるとの見解を示している。

今回、無人機による攻撃を受けたサウジアラビア国営石油会社のサウジアラムコは2012年8月には大規模なサイバー攻撃を受けている。この時は3万台以上のコンピューターに影響があったが、石油生産施設は独立したシステムを構築していたため石油生産への直接の影響はなかった。この時、攻撃に使用されたのがshamoonと呼ばれるマルウェアだ。シマンテックによればshamoonは侵入したコンピューターのファイルを破壊し、MBR(マスターブートレコード)を上書きしてコンピューターを破壊するサイバー兵器とも言えるマルウェアで、攻撃を受けたサウジアラムコのコンピューターには燃やされているアメリカの国旗の画像だけが残されていた。シマンテックの分析によれば、shamoonコンポーネントに含まれるwiperがコンピューターの破壊機能を担っている。shamoonは2012年8月のサウジアラムコの攻撃で使用されて以降、姿を消していたが、2016年11月に破壊力を増して再び登場した。2016年に攻撃されたのもやはりサウジアラビアで、政府機関やエネルギー、運輸業界などの関連組織がターゲットになった。攻撃は現地時間の2016年11月17日午後8時45分に開始されるようにセットされ、破壊したコンピューターにはアメリカの国旗を焼く画像ではなく地中海で溺死したシリア難民の子供の遺体の画像が残されていたという。マカフィーによると2016年に使われたshamoonは、2012年に使われたコードの90%を再利用したものだという。

その2年後の2018年12月には、イタリアのエンジニア会社のSaipemの中東のサーバーがサイバー攻撃を受け、使われたマルウェアがshamoonだったことが同社の発表で明らかになった。Saipemの最大の顧客はサウジアラムコで、2019年1月にはサウジ沖の海底油田2カ所の開発を請け負う総額13億ドルの契約をサウジアラムコと締結している

シマンテックによるとSaipemへの攻撃で使われたshamoonは、消去機能をもつマルウェアFileraseが加えられて破壊力が増加しているという。シマンテックによるとSaipemはshamoonの攻撃を受ける前にElfin(別名APT33)というグループから攻撃を受けており、同グループが使用しているStonedrill マルウェアにも感染していたという。Stonedrillは、ロシアのサイバーセキュリティベンダーのカスペルスキーが2016年に再登場したshamoonの探査の過程で新たに発見したマルウェアだ。FireEyeによるとAPT33は2013年頃よりサイバースパイ活動を展開しており、アメリカ、サウジアラビア、韓国を拠点にしている企業をターゲットにし、特に航空業界や石油化学生産と関連のあるエネルギー業界の企業に高い関心を示している。2016年半ばから2017年前半にかけてアメリカの航空業界に不正アクセスしたほか、航空部門を擁するサウジアラビアのコングロマリット(複合企業)をも標的とし、2017年5月にはサウジアラビアの企業と韓国のコングロマリットを標的にしたとみられるという。FireEyeはAPT33の活動時間がイランの時間帯と合致する点やイランのハッカーツールやネームサーバーを複数使用している点、国家の利益と緊密な関係のあるエネルギー業界や航空業界を標的としている点などからAPT33はイラン政府の支援を受けているイランのハッカー組織との見方をしている。

シマンテックによると、2018年12月にshamoon攻撃を受けたSaipemは、その直前にイラン政府の支援を受けたハッカー集団ともみられているAPT33によるStonedrill攻撃を受けていて、そのStonedrillはカスペルスキーが2016年のshamoon攻撃について探査をしていた時に発見したマルウェアであることを考えれば、shamoonとStonedrill、そしてAPT33との間にはなにかしらの関係があるように見える。シマンテックもSaipemへの攻撃に関し「Elifin(APT33)とshamoonの攻撃が近接していることを考えると、2つのインシデントにはなんらかのつながりがあるのかもしれません」と評価している。

ところで2012年8月にサウジアラムコが破壊的な機能を担うwiperを有するshamoonによるサイバー攻撃を受けた4カ月前、2012年4月にはイラン石油省にサイバー攻撃があり、石油省本部のコンピューターのハードディスクデータが消去されたとの報道が行われた。4月23日のニューヨークタイムズの記事は、イラン学生通信社の報道としてマルウェアの作成者名からwiperと呼ばれるコンピューターウィルスが石油省を標的にしたと伝え、イラン当局は3月に攻撃に気づいたがマルウェアを除去できなかったとイランの報道を受けて報じている。wiperがメディアに初めて登場したのはこの時だ。その4カ月後にサウジアラムコがサイバー攻撃を受けてwiperは大きく注目されることになった。

shamoon攻撃にはイラン政府が関与しているとの見方が根強くある一方、shamoonで使われるwiperの攻撃を最初に受けたのがイラン石油省との報道がある。ニューヨークタイムズの2012年10月の記事は、shamoonのプログラムのコードには「アラビア湾」という言葉が使われているが、イラン人はアラビア湾ではなく「ペルシャ湾」を使うことを指摘、サウジアラムコに対する攻撃はイランへのサイバー攻撃に対する報復ではないかとしている。一方、当時の米国防長官のレオン・E・パネッタ氏はサウジアラムコに対するサイバー攻撃についてサイバー脅威の大幅な拡大であるとの認識を表明している。AFPの当時の記事はイランのサイバー戦能力が急速に増強していることを驚きをもって受けて止めているとの米シンクタンク研究者の見解を伝えるともに、スタックスネットによる攻撃を受けたことでイランがサイバー戦の強化に走ったのではないかとの見解を記している。

【参考】

Tortoiseshell Group Targets IT Providers in Saudi Arabia in Probable Supply Chain Attacks

Behind the Scenes with OiRig

Hacking (Back) and Influence Operations

APT34 hacked back by Lab Dookhtegan

Source code of Iranian cyber-espionage tools leaked on Telegram

New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit

米国家安全保障局2018「Foreign Economic Espionage in Cyberspace」

Hacker Group Exposes Iranian APT Operations and Members

世界最大の石油企業、ワークステーション3万台に攻撃

謎のマルウェアがエネルギー部門のコンピューターに大混乱をもたらす

Shamoon 攻撃

In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back

国家関与の高度で危険な18のマルウェア

以前より破壊的になって復活した Shamoon

CNN サウジ政府機関に時限式サイバー攻撃、システムを一斉破壊

Mcafee Returns, Bigger and Badder

Shamoon: 破壊的な脅威が、新たな武器を備えて再び復活

ロイター Saipem servers suffer cyber attack in Middle East

ロイター Saipem says Shamoon variant crippled hundreds of computers

サイペム、サウジで海底油田開発を受注

カスペルスキー StoneDrill:Shamoonに似た強力なワイパー型マルウェア

カスペルスキーFrom Shamoon to StoneDrill

ファイア・アイ、イランのハッカー集団「APT33」の 活動内容と技術詳細を明らかに

シマンテック Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.

ニューヨークタイムズ Facing Cyberattack, Iranian Officials Disconnect Some Oil Terminals From Internet

ニューヨークタイムズ In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back

AFP 中東を舞台に「サイバー戦争」、米・湾岸諸国の石油企業が標的に

ニューヨークタイムズ Panetta Warns of Dire Threat of Cyberattack on U.S.

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください