サイバー犯罪に倍返し！米パイプライン停止事件が示した「攻撃こそ最大の防御」

「攻撃は最大の防御」とはよく言われることだが、サイバーセキュリティの世界でも、サイバー犯罪からの防御だけでなく、攻撃的な対策が犯罪の抑圧に効果がある。最近そうした攻撃的対策が成果を上げる事例が続いた。その一つが今月初旬のアメリカ東部のパイプライン停止事件だ。

5月7日、アメリカのコロニアル・パイプライン社（Colonial Pipeline Co. 以下「コロニアル社」）のシステムがマルウェアに感染して、アメリカ東海岸の都市に向けたガソリンやジェット燃料の供給が約1週間止まった。

この事件は、ロシアを拠点とするダークサイド(DarkSide)というグループが、ランサムウェア(Ransomware)と呼ばれるマルウェアをコロニアル社のコンピューター・システムに侵入させ、システム内のファイルを暗号化して使えなくした。その上でダークサイドは、暗号を解くカギの受け渡しに高額の身代金の支払いを要求したのだ。

ブルームバーグの報道によれば、コロニアル社は、要求された通り約5億ドルをビットコインで支払い、この事件はダークサイド側の勝利かと思われた。ところがその後事態は急展開した。

ダークサイドへの反撃奏功

5月14日、アメリカのサイバーセキュリティー会社のレコーデッド・フューチャー社（Recorded Future）がダークサイドの運営者のネットの書き込みを引用して、ダークサイドは自分たちのブログや暗号資産の授受に使うサーバーにアクセスできなくなり、受け取った身代金もサーバーから引き出されたと報じた。ダークサイドは敗北したのだ。

このサイバー空間上の戦いで、誰がダークサイドをやっつけたのか、誰も名乗りを上げていないが、政府機関とサイバー・セキュリティー企業が一体となってダークサイドを攻撃した可能性が高い。なぜなら、今回レコーデッド・フューチャー社の発表をすぐにリツイートしたのは米軍の第780軍事情報旅団（780th Military Intelligence Brigade）だった。

また、そのすぐ翌日に、ブロックチェーンのデータを調査・分析するエリプティック社(Elliptic)が、今回ダークサイドが身代金の受取に使ったウォレットを特定したと表明するとともに、そのウォレットにコロニアル社から5月8日に75ビットコイン（当時のレートで約4億8000万円）が送金されたことや、3月4日以降57回にわたって総額1,750万ドル(約19億円)相当の暗号資産の送金がこのウォレット宛てにあったことなどを公表したことからも、この事件に取締当局とサイバーセキュリティー企業の両者が関与していたことがうかがわれる。

エリプティック社などのサイバーセキュリティー企業は、暗号資産の匿名性の高さを利用した犯罪が増加する中で、かなり以前から暗号資産取引を追跡する技術の研究・開発を行っており、今ではその追跡技術は相当なレベルに達している。このため米軍、CIA,その他様々な取締機関もそれらの企業と連携しているのだ。

時間が前後するが、最近サイバー犯に対する取締機関の攻撃が成功したもう一つの事例として、欧州を中心とする取締機関が、凶悪なマルウェアのひとつのエモテット（EMOTET）をテイクダウンしたことが挙げられる。

テイクダウンとはマルウェアを遠隔操作するサーバーを停止させることだが、今年1月27日にユーロポール（欧州刑事警察機構）が発表したところによれば、ユーロポールとユーロジャスト(欧州司法機構)が国際的な連携協力を調整し、オランダ、ドイツ、アメリカ、イギリス、フランス、リトアニア、カナダ、ウクライナの当局が参加した作戦によって、オランダ、ドイツ、リトアニア、ウクライナに存在したエモテットの中核となるサーバー（C&Cサーバーと呼ばれる）が停止されたほか、既に感染した世界中のコンピューターに潜むエモテットを無害化・消滅させるソフトウェアの設定も行われたことから、感染に気付いていない人のコンピューターも含めて世界からエモテットが除去されることとなった。

2014年の出現以来、世界中に拡散し、日本でも大変多くの企業や個人が情報流出などの被害にあったエモテットが消滅する意義はことのほか大きい。

官民連携と国際協調で成果

これら二つの事例が示すように、サイバー犯罪への対処法としては、防御を固めるだけでなく、攻撃的にテイクダウンを目指すことが重要だ。そしてそれには官民連携と国際連携が不可欠だ。

日本では2014年にサイバーセキュリティ基本法ができて、内閣にサイバーセキュリティ戦略本部、内閣官房に内閣サイバーセキュリティセンター（NISC）が設置され、官民でサイバーセキュリティ情報の共有等が行われているが、本稿で紹介したようなサイバー犯罪に対する攻撃的施策は、犯罪捜査という観点から警察庁が中心となって国際連携、官民連携を図りながら行い、一定の成果を上げている。

しかし、サイバー犯罪対策は、犯罪者と取締機関側のイタチごっこなので、これで安心という訳にはいかない。今後ダークサイドやエモテットの犯人たちが、別の名前と別のサーバーを使って再び同様の犯罪を犯さない保証はないし、より高度な手法を使った新たなサイバー犯罪者が私たちの財産や個人情報を狙ってくることも必ずある。

このイタチごっこで犯罪者を優位に立たせないためには、各国の取締機関同士そして取締機関と民間企業が情報共有と協業をさらに推し進めて、サイバー犯罪に攻撃的に対処していくことが重要だ。