Photo By Shutterstock
いまやオリンピックは、サイバー攻撃の実行者にとって格好のターゲットになってしまったようだ。2016年に開催されたリオデジャネイロオリンピックや、今年2月に閉幕したばかりの平昌オリンピックでも、高度なサイバー攻撃による被害が報告されている。そこで気になるのが2020年に迫った東京オリンピックだ。IoT機器の急速な普及が、サイバー攻撃の危険をさらに増大させるという懸念も出ている。国際的知名度の高い大都市だけに、これまで以上の大規模な攻撃が予想されており、万全な対策が望まれるところだ。
文:伊藤僑
平和の祭典の裏で暗躍するサイバー攻撃者たち
東京オリンピックへのサイバー攻撃が懸念されるといっても、どのような攻撃に警戒すべきなのかをイメージできる人は少ないだろう。オリンピックとひとくちにいっても、世界最大規模のスポーツの祭典だけに、関わっている組織や企業・地域も多く、どこが狙われるのかを予測することは簡単ではない。最近ではサイバー攻撃の手口も多様化しているので、尚更やっかいだ。
どんな攻撃に備えるべきなのかを予測するために、過去2大会の被害状況をみてみよう。
平昌オリンピック開会式当日を狙ったサイバー攻撃
まず、直近の平昌オリンピックだが、攻撃はかなり早い時期から始まっていたようだ。
シスコシステムズの脅威・脆弱性情報部門「Talos Intelligence Group」の分析によれば、攻撃に使用されたのは「Olympic Destroyer」というマルウェアで、平昌オリンピックのサーバ上にあるデータとそのコピーを削除する狙いがあったという。データを盗むのではなく、削除することを狙っていたことから、混乱を引き起こして大会の運営を妨害する目的があったとみられる。
マルウェアのコードには、平昌オリンピックのウェブサイト「pyeongchang2018.com」に登録されたアカウントのユーザーネーム、パスワードのリスト44件が含まれていたことからも、同オリンピックだけに狙いを絞った攻撃だったことがわかる。
これらの攻撃により、開会式の直前にシステム障害が発生して大会のウェブサイトがダウン。プレスセンターのインターネットテレビやメディア向けのWi-Fiにもトラブルが起きている。幸いにも12時間ほどで復旧することができたが、この攻撃以外にも、オリンピック関係団体から電子メール等の情報がリークされる被害なども発生している。
韓国語で書かれた電子メールによるフィッシング攻撃では、BCC欄に300以上のオリンピック関係団体が列挙されており、中には交通機関やスキーリゾート、地元の観光協会なども含まれていたというから、組織委員会だけが防備を固めても情報漏洩やマルウェアの感染は防げないだろう。
サイバー攻撃を仕掛けたのは、ドーピングを理由に自国の選手団を大会から閉め出されたロシア関連のハッカー集団ではないかとみられているが、真相究明には至っていない。一部は北朝鮮からの攻撃だったのではないかとの見方を示すサイバーセキュリティ専門家もいる。オリンピックを格好の宣伝場所と考えて攻撃を行ったハッカー集団は、ほかにもいたかもしれない。
リオデジャネイロやロンドンの事例から、オリンピックがサイバー攻撃者たちに狙われることは予想されていたので、平昌オリンピックでは700人規模のサイバー侵害対応チームを組織して警戒に当たっていた。
このチームには、平昌オリンピック組織委員会、科学技術情報通信部、文化体育観光部、国家情報院、国防部、警察庁などの政府機関に加え、民間保安業者も参加している。また、同チームは海外からのサイバー攻撃にも対応できるように、国際コンピュータ侵害事故対応協議会(FIRST)やアジア太平洋侵害事故対応チーム(APSERT)などの関連機関とも、国際的な協力体制を構築していた。
多様な分野の組織が参加していることからも、オリンピックにおけるサイバー攻撃対策の難しさが垣間見える。
223回のDDoS攻撃を受けたリオデジャネイロオリンピック
リオデジャネイロオリンピックで顕著だったのは、多彩な攻撃技術を駆使した「DDoS(分散型サービス妨害)攻撃」だった。
大会組織委員会の発表によると、約1カ月間の大会期間中に検知されたDDoS攻撃は223回。しかし、サイバー攻撃に備えて繰り返し演習やテストを行っていたこともあって、DDoS攻撃を受けても混乱することはなかったという。
大会組織委員会が想定していたサイバー攻撃は、政治的意図を持った攻撃、オンライン詐欺、DDoS攻撃の3つ。この3分野に注力して万全な対策を講じたことで、被害の拡大を抑えることができたようだ。(DDoS攻撃対策にはArbor Networksのソリューションを採用)
ただ、被害がまったくなかったわけでは無い。組織委員会が運営するサイトの守りが固いとみるや、攻撃者はターゲットをリオデジャネイロ州政府や警察、公営銀行などへ変えてきたのだ。それらは十分な備えもないままに熾烈なDDoS攻撃を受けたのだから、ひとたまりも無い。ウェブアプリケーションへの攻撃試行や情報窃盗などの被害も確認されている。
東京オリンピックの場合でも、関連のありそうな組織や企業は、サイバー攻撃を受ける可能性があることを念頭に置いて対応策を準備しておきたいものだ。
リオデジャネイロへの攻撃で注目すべきは、セキュリティ対策面で弱いIoT機器を乗っ取ってボットネットを構築し、DDoS攻撃に利用していた点だ。その後、IoT機器の普及はますます進展しているだけに、東京オリンピックではリオデジャネイロより大規模な攻撃が予想される。
オリンピックに向けて、より高度なサイバー攻撃対策を
オリンピックの運営を妨害するために、メール等を介してマルウェアなどを送り込み、大会の運営を支える各種システムを破壊する。DDoS攻撃を行って、組織委員会が運営するサイトへのアクセスを妨害する。
二つの大会の被害状況から攻撃者たちの手口が分かってきた。
東京オリンピックでは、最先端のIoT機器となる自動運転車やロボット等の活用も模索されているだけに、これまで以上の高度なサイバー攻撃対策が求められる。
表面上は平和の祭典を祝いながら、裏では苛烈なサイバー攻防戦が展開される。東京オリンピックをトラブル無く開催するためには、サイバー戦争並の攻撃に備える必要がありそうだ。