個人情報には見向きもしない、ロシア発のサイバースパイ活動「APT28」：ファイア・アイCTOに就任した名和氏が解説

　ファイア・アイは2014年11月25日、ロシア政府から支援を受けた標的型攻撃と思われる「APT28」に関する説明会を開催した。11月1日付で同社最高技術責任者（CTO）に就任した名和利男氏は、「この攻撃は、経済的利得の窃取を目的としたものではなく、旧来のインテリジェンス活動（諜報活動）に酷似したものだ」と指摘し、安全保障の観点から、本当の意味での官民連携、さらには官官連携や民民連携を通じて積極的にサイバー攻撃を検知していく体制作りが求められると述べた。

　APT28は、米ファイア・アイが2014年10月28日に発行したレポートによって明らかになった、ロシア政府の支援を受けていると思われている一連の攻撃を指している。2014年6月以降、バルト三国やウクライナ、グルジア（ジョージア）地域での緊張が高まった時期に、APT28によって偽造ドメインを通じたマルウェア配布や高度なフィッシングメール攻撃などが観測されたという。

ファイア・アイ 最高技術責任者（CTO）に就任した名和利男氏。サイバーディフェンス研究所との兼務になるという

このマルウェアは「IDやパスワード、個人情報といったデータには見向きもせずに、特定のキーワードを探し求めるように作られていた。自分自身も疑似環境上で動かしてみたが、『数を打てば当たる』式のこれまでのマルウェアとは挙動が異なっており、見つけられないよう非常に慎重に作られていた」（名和氏）そうだ。昔は、いわゆるインテリジェンス活動によって、相手の政府組織や軍組織の内部情報を得ていたが、今や軍もITシステムに依存している。そこでマルウェアを用いたサイバースパイ活動が展開されていると考えられる。

　そもそもAPT28で使われているマルウェアは、今をさかのぼること6年前、2008年8月に発生したグルジア（ジョージア）に対するサイバー攻撃でも確認されていたという。その後、長期間にわたって共通のプラットフォーム上で計画的に進化、発展を遂げ、2014年の攻撃にも使われた形だ。

　「APT28による偽造ドメインサイトで配布されたマルウェアには、モジュールやAPIなどに使い回しされたものが多い。ある特定のチームが作ったものと考えるのが自然だ」（名和氏）。そしてそのチームは、断言はできないが、ロシア語圏に拠点を置く可能性が高いという。ソフトウェア解析で明らかになったロケールや言語の情報を確認すると、少なくとも103種見つかったAPT28関連マルウェアのうち、過半数を超える59種がロシア語環境で開発されていたことが明らかになった。

　同氏は、APT28が軍事演習や偶発的衝突といった地政学的な出来事に深く関わっていることを踏まえ、日本周辺を取り巻く情勢を考えると、この種の攻撃は国内でも「潜在化した事象として存在している可能性は否めない」と指摘。現に日本でも、APT28で利用されたものに酷似したマルウェアの一種、ドロッパーが検出されているという。

　名和氏によると、機密情報の収集を狙ったサイバー攻撃に対処するには、潜在化した事例を見ぬく力が必要になっているという。何らかの顕在化した事例を調べると、その背後には多くの潜在事例が潜んでいることが明らかになるケースが多い。「今や、検知不可能な事象が大半であるという認識を持つことが大事だ」（同氏）。

　経済的利得を狙う攻撃からの防御も重要だが、同時に、自らが国家を狙うサイバー攻撃の踏み台として使われる可能性を認識し、「表面化しない事象をどうやって見つけるか」「PCやネットワークのどこをチェックすれば見つけられるか」といった情報の速やかな共有などを通じて積極的な検知に取り組むべきと述べている。