2月に韓国で開催された平昌冬季五輪では、9日の開幕式の混乱を狙ったとされるサイバー攻撃の実行犯に関する“憶測”が飛び交う。国家組織の関与を指摘する声がある中、「Olympic Destroyer」マルウェアを解析した米Cisco Systemsは、「科学的な事実に基づかない憶測をすべきではない」と忠告している。
平昌冬季五輪の開幕式では、システムに対するサイバー攻撃によって、公共Wi-Fiサービスの提供などに支障が発生。セキュリティ機関などによる解析では、マルウェアはスパイ目的ではなく大会の混乱を狙った可能性があるとされた。
マルウェアプログラムの一部の特徴からこの攻撃が、北朝鮮との関係が疑われる「Lazarus」グループによるものとの指摘がある一方、米国メディアなどは、ドーピング疑惑から国としての出場が禁止されたロシアの政府機関が、北朝鮮になりすまして攻撃を実行した可能性を報じた。
CiscoのTalos Intelligence Groupは、Olympic Destroyerについて、Lazarusが過去の攻撃に用いたファイルとの類似性のほか、中国のサイバー攻撃組織とされる「APT3」「APT10」が用いる手法、さらには2017年6月に出現したマルウェア「Nyetya」(別名「NotPetya」など)の感染手法などとの共通性があると指摘する。
しかしマルウェア作者は、開発効率や自身の身元が特定されるのを避ける目的で、過去に“成功”を収めたマルウェアのコードやファイル、攻撃手法を流用したり、容易に入手可能な攻撃ツールを利用したりする。このため同社は、それらの痕跡がサイバー攻撃の実行者を特定する“科学的な証拠”にはならないと指摘する。
同社は、セキュリティインシデントのアナリストが、サイバー攻撃の戦術や手法、被害者の属性、攻撃インフラや侵害の指標、マルウェアサンプルに着目し、あくまで技術的な観点からインシデントの分析作業に当たると解説。攻撃者はアナリストをあざむく方法を駆使するため、サイバー攻撃の“真の犯人”を特定することは非常に難しいと説明する。
それにもかかわらず、科学的な根拠にほとんど基づかない安易な“犯人捜し”は、攻撃の実態を追跡して対策を講じるサイバーセキュリティの目的を阻害しかねないと警鐘を鳴らしている。