クラウドストライクは9月10日、セキュリティ脅威動向をもとに予想したという東京五輪を狙うサイバー攻撃について説明会を開いた。セキュリティ対策でのインテリジェンスの活用を訴求している。
CrowdStrike インテリジェンス担当バイスプレジデントのAdam Meyers氏
説明会で予想内容を解説したインテリジェンス担当バイスプレジデントのAdam Meyers氏は、諜報やインテリジェンス分野で著名なRobert M. Clark氏の言葉を引用し、インテリジェンスの言葉の意味を「対立する相手が認めたがらない情報を入手することで不確実性を減らすこと」と紹介。同社は、2020年に開催される東京五輪が世界的な注目を集めるとし、イベントに便乗してサイバー攻撃を仕掛ける可能性のある組織や人物とその狙いなどを予想したという。
まずMeyers氏は、サイバー攻撃者を、国家的な支援を受けてスパイや妨害工作などを仕掛ける組織、ランサムウェアや詐欺などで金銭を狙う犯罪組織および人物、特定の思想に基づいて主張する活動家(サイバー空間ではハクティビストと呼ばれる)の3つに分類。直近で同社が観測した日本を狙うサイバー攻撃では、商業捕鯨の再開をめぐる日本政府と国際社会の動向や日韓の対立などを背景にしたもの、あるいは大企業での大規模な顧客情報の漏えい事故、日本に関係したマルウェアの拡散行為などがあり、3つに分類されるサイバー攻撃者が何らかの目的や動機で実行した可能性があるとした。
CrowdStrikeの分析から攻撃グループの能力と動機の強さの相関性を示したもの。現時点で日本に攻撃する動機が乏しいグループであっても、今後の状況次第で能力を生かした攻撃を行う可能性もあり得るとしている
また同社が追跡している日本を狙う攻撃者グループは、中国やインド、北朝鮮、韓国、ロシアなどに多数存在するとした。Meyers氏は、攻撃者グループをその能力と動機の強さによっても分類できるとする。例えば、ハクティビストは個々の攻撃能力は高くはないものの、主義・主張を知らしめたいとする動機は非常に強い。国家的な支援を受ける組織は能力が高く、動機に関しては地政学的あるいは日本との国家的関係によって傾向にばらつきがあるとしている。
予想される攻撃手法も攻撃者グループに異なるというが、例えば、2018年に韓国・平昌で開催された冬季五輪では、「Olympic Destroyer」と呼ばれるマルウェア攻撃が注目を集めた。同マルウェアは、五輪開幕式での騒動を狙って仕掛けられたと見られている。
Meyers氏によれば、解析からOlympic Destroyerの開発手法などには北朝鮮系組織の特徴が見られるものの、コンポーネントの一部にはウクライナの企業や組織などに対する2017年の標的型攻撃に使われたマルウェア(NotPetyaなどと呼ばれる)との類似性が見つかった。ウクライナでの標的型攻撃ではロシア系組織の関与が疑われ、また、Olympic Destroyerがビルドされた時期はロシアのドーピング問題が騒がれた。
「Olympic Destroyer」は、トーピング問題に揺れたロシアに関係する攻撃グループがウクライナへの攻撃手法を応用し、平昌冬季五輪で混乱を起こすために仕掛けられたとするのが、西側諸国の見立てだ
Meyers氏は、こうした状況をもとに、ロシア系組織が北朝鮮の関与をうかがわせるように細工した上で、Olympic Destroyerの攻撃を実行した可能性があると指摘している。
東京五輪で具体的にどのような攻撃が発生するのかの予測は困難としながら、Meyers氏は、直近における日本と周辺国との関係性を背景にしたサイバースパイ行為の活発化、ハクティビストによる攻撃運動の展開などが起こり得るとした。一方、2016年のリオデジャネイロ五輪で目立ったという金銭狙いのサイバー犯罪のリスクは東京五輪では低くなるだろうと述べた。
セキュリティ対策は、東京五輪のような大型イベント時にだけ強化すれば良いわけではないが、良くも悪くも大型イベント時に注目されやすい。このため同社は、セキュリティ脅威への注意や対策強化の啓発を目的に今回の説明会を開いたとのことだ。