ロシアは「被害者」を主張:「ランサムウェア」米露首脳の対立点
6月16日に開催された米露首脳会談で最も注目されていた議題の1つが、身代金要求型ウイルス(ランサムウェア)である。
5月に相次いだ米パイプライン大手「コロニアル・パイプライン」と米食肉加工大手「JBS」への攻撃は、いずれもロシアに拠点を置くサイバー犯罪集団によるものだった。そのためジョー・バイデン大統領は、ロシア政府による攻撃ではないと明言しつつも、ロシアにも責任の一端があると指摘。ウラジーミル・プーチン大統領との会談で本件について話し合うと表明していた。
3時間近くに及んだ首脳会談後の個別記者会見で、バイデン大統領は、協議の多くをサイバーセキュリティの問題について費やしたと明らかにした。バイデン大統領が首脳会談時に「ロシアの油田から送油するパイプラインの稼働がランサムウェアで停止したらどう思うか」と迫ったところ、プーチン大統領は「それは大変だろう」と応じたという。
米露首脳会談ではサイバーセキュリティに関する専門家会合を開催することが合意され、今後は米露間でサイバー攻撃の対象にすべきでない項目の洗い出しと、互いに行ったサイバー攻撃への対応策について協議する。両首脳とも米露関係が冷戦後最悪の状態にあると認めていた中、協議継続の場が設けられたのは一定の成果であろう。
プーチン大統領が訴える「米国からのサイバー攻撃」
ただし、今後の米露間の専門家会合の協議は前途多難の様相だ。
米国政府は、コロニアル・パイプラインやJBSなどへのランサムウェア攻撃の実行犯がロシアにいる以上、ロシアにはランサムウェア攻撃を取り締まり、サイバー犯罪者の隠れ場所にならないようにする責任があると主張している。
しかし興味深いことに、米司法省は少なくとも首脳会談前の段階では、ランサムウェア攻撃者の追跡におけるロシア当局の支援を期待していないようだ。
ジョン・デマーズ司法次官補(国家安全保障担当)は6月16日のサイバーセキュリティ会議「サイバー・トーク」で、6月3日に事前録画した講演を披露。「現時点では(コロニアル・パイプライン攻撃者の追跡で)支援要請する意味がほとんどないと判断した」と語っている。しかも、「米当局がこうした種類のハッキングと戦おうとする努力を積極的に邪魔してくる」とまで言い切った。
一方、プーチン大統領は6月11日の米NBCニュースの独占インタビューで、JBSへのランサムウェア攻撃などをロシアが行ったとの非難は「茶番」と一蹴し、証拠が一切示されていないと反論した。そして、ロシアこそ米国によるサイバー攻撃の被害者だと一貫して言い続けている。
首脳会談直後の個別の記者会見でもプーチン大統領は、ロシアの重要な地域にある医療システムに対するものを含め、米国からのサイバー攻撃について訴えた。
また、米国政府から送られてきたサイバー攻撃に関する昨年の情報提供依頼10件全てについてロシア政府が詳細な回答をしたにもかかわらず、ロシア政府からの昨年45件と今年35件の情報提供要請に米国政府は1つも回答していないと批判している。
キーボード言語がロシア語なら攻撃されない?
無論、ランサムウェア攻撃を行うのは、ロシアの犯罪グループとは限らない。
例えば、ソウル警察は今年6月、出張修理を依頼してきた顧客企業20社のパソコンに自作のランサムウェアをインストールし、不当に金を窃取していた容疑で、パソコン修理技術者複数名を逮捕している。
とはいえ、米国がロシアをわざわざ名指しし、首脳会談で取り上げたのは、ランサムウェア攻撃者のほとんどがロシア語圏にいるにもかかわらず、ロシア当局が取り締まっていないことへの強い不満があるためだ。
クリストファー・レイ連邦捜査局(FBI)長官によると、FBI が現在捜査中の100種類のランサムウェアの大半がロシアにいるハッカーと関連している。ロシアのセキュリティ企業「カスペルスキー」の2016年の統計でも、ランサムウェアの75%がロシア語を話す犯罪グループによって作られていた。
ロシア当局は、サイバー犯罪の矛先をロシア国内やシリアなどのロシアの友好国に向けないとの「ルール」が破られない限り、ほとんど取り締まっていない。そのような「ルール」は公然のものになっており、サイバー犯罪グループの集うダークウェブ上のフォーラムでは、ロシア関係の組織を攻撃してはならないとの規則が明記されている。
また、ロシア語圏で活動する犯罪グループが作ったランサムウェアも、ロシアやロシアの友好国への攻撃を避ける設定になっている。キーボード言語をロシア語に設定しているシステムやロシアのIPアドレスが使われているシステムにはインストールされないようになっているのだ。
サイバー犯罪の取り締まりが緩ければ、当然、犯罪者たちがそこに集まってくる。ロシア語圏で活動する犯罪グループはロシア政府の命令で動いているのではないにしても、暗黙の了解を得て動いているのである。
バイデン大統領が示したレッドライン
ランサムウェア攻撃が国家安全保障上の重大な懸念事項であると見なすバイデン政権は、外交対話だけでなく、サイバー攻撃による反撃も含め、様々な手段で対抗していく覚悟を示している。
首脳会談の前々日の6月14日、バイデン大統領は、越えてはいけない一線(レッドライン)がどこかを明確にすべきだと記者団に語り、米露首脳会談では、サイバー攻撃の対象にするべきではない16の重要インフラ業種のリストをロシア側に手渡した。
米国政府は、エネルギーや水道、化学、商業施設、通信、IT、製造業、ダム、防衛基盤産業、金融、食品・農業、政府、医療・公衆衛生、救急サービス、原子力、交通を重要インフラとして指定している。
バイデン大統領は、レッドラインを越えた場合、サイバー攻撃による反撃があり得ると匂わせた。
「米国の重要インフラへの攻撃があった場合のペナルティをロシア側に明示したか」との記者からの質問に対し、「我々には抜群のサイバー能力があるとプーチン大統領に指摘し、先方もそれは知っていた。万が一、基本的な規範が破られれば、我々はサイバーで対応する。プーチン大統領もそれを知っている」と答えている。
サイバー攻撃の問題について首脳会談で話し合われたのは、勿論、今回が初めてではない。
2015年9月のバラク・オバマ大統領(当時)と習近平国家主席の米中首脳会談では、中国による米国企業の知的財産を狙ったサイバースパイ活動について議論が交わされた。また、2019年のG20大阪サミットに合わせて英露首脳会談が行われた際、英国のテリーザ・メイ首相(当時)はプーチン大統領に対し、他国への偽情報の拡散やサイバー攻撃など敵対的な介入行為を止めるよう強く迫っている。
しかし、過去の首脳会談で扱ったのは、国家機関である軍や情報機関が直接関わっているサイバースパイ活動や、偽情報の拡散などを通じた選挙への介入だ。犯罪グループによる金銭目的のサイバー攻撃について、首脳会談でここまで大きく取り上げて話し合われるのは、初めてである。
それだけ、米国政府はランサムウェア被害に危機感を抱いているのだ。
捜査優先度を「テロと同等」へ引き上げ
米国政府の切迫感は、5月から6月にかけて、バイデン大統領や各省庁の長官が相次いで記者会見やマスコミの独占インタビューでランサムウェアについて語り、次々と対策を打ち出していることからも窺える。
まず、リサ・モナコ司法副長官は6月3日に全国の検察官宛の内部文書で、ランサムウェアが国益にとって非常に脅威となっているとして、ランサムウェアに関する捜査の優先度をテロ捜査と同等に引き上げた。
ジーナ・レモンド商務長官は6月6日の米ABC番組のインタビューで、バイデン政権が軍事的な対抗措置も検討しているか問われ、ランサムウェア攻撃者から国を守るため「あらゆる選択肢を検討」しており、「犯罪グループを支援または放置している国家を許さない」と回答。具体的な選択肢にまで踏み込まなかったものの、軍事措置を否定しなかった。
同日、米NBC番組に登場したエネルギー省のジェニファー・グランホルム長官は、コロニアル・パイプライン事件と同様の被害を防ぐため、パイプライン企業への規制を強化し、サイバー攻撃被害に遭った場合は速やかに政府に通報させるようにしたと明らかにした。被害企業からの一報を受け、エネルギー省が米情報機関とも協力し、今後の対応を調整できるようにするためだ。
さらに、被害企業が身代金を払うのを禁止する法案の成立を支持するとも述べている。
ランサムウェア攻撃増加の大きな一因となっているのが、足のつきにくい取引が可能となるビットコインなどの暗号資産だ。昨年の米セキュリティ企業「クラウドストライク」の調べでは、調査対象の56%の組織がランサムウェア攻撃被害を受けており、そのうち27%が平均して110万ドル(約1億2126万円)の身代金を払っている。
そのため、コロニアル・パイプライン事件後、米国議会で、ランサムウェアの身代金支払い手段としての暗号資産の取り締まりが議論に上った。その最中の6月7日、司法省は、同社が身代金として払った75ビットコイン(当時約4億8000万円)のうち、85%近くの63.7ビットコインの差し押さえに成功している。
また、ホワイトハウスでサイバーセキュリティ問題を担当しているアン・ニューバーガー米国家安全保障副補佐官は6月3日、企業経営者と幹部宛に異例の書簡を出し、増大するランサムウェア攻撃の脅威に警鐘を鳴らした。
ワンタイムパスワードなどと組み合わせた多要素認証の利用、データのこまめなバックアップ、サイバー攻撃を受けた際に備えた対応策の策定など具体的な対策を列挙し、サイバーセキュリティ強化を求めている。
英セキュリティ企業「ソフォス」の調べでは、ランサムウェア攻撃を受けた場合の被害の防御率は、米国の組織の場合25%に過ぎない。ランサムウェア攻撃のほとんどが成功している現状を打開するには、各組織のサイバーセキュリティの抜本的な強化が必要だ。
だが、バイデン大統領がプーチン大統領に提示したレッドラインのリストに含まれていない業種が被害に遭った場合にどうするのかという問題も残っている。
例えば、昨年米国では、コロナ禍でオンライン授業に切り替わったものの、必ずしもサイバーセキュリティの専門チームを擁しておらず、対策が後手に回っている大学や学校がランサムウェア攻撃に狙われ、少なくとも1681校が被害にあった。今年6月も、アイオワ州のコミュニティ・カレッジが被害に遭い、オンライン授業が10日以上キャンセルになったばかりである。
米企業取引先も「サプライチェーンリスク管理」対象に
ホワイトハウスからの書簡を受け、少なくとも米国の大企業では、サイバーセキュリティ対策の見直しと、サイバー攻撃のリスクをどこまで許容できるのかという議論が進んでいる。ビジネスがグローバル化する中、米国企業は、日本を含む取引先の外国企業にも、サイバーセキュリティ強化を求めてくるだろう。攻撃者は、取引先や子会社、中小企業など防御の弱いところから侵入し、感染を広げていくためだ。
サプライチェーンリスク管理は、5月に出されたサイバーセキュリティに関する米大統領令で最も重視されている項目である。
国境をまたいだ攻撃が増えている以上、企業同士だけでなく、政府間でもランサムウェア攻撃対策の協力が期待されるはずだ。米露首脳会談に先立ち6月13日に閉幕したG7サミットの共同宣言では、増大するランサムウェア問題についても取り上げており、各国が国内にいる犯罪グループを見つけ、責任を取らせるよう求めている。
G7サミットの最終日、菅義偉首相は、インターネットの遮断による情報統制や、ランサムウェアによるサイバー攻撃、選挙前の偽情報の拡散などが民主主義の根本を脅かす問題であると指摘した。そして、基本的価値が挑戦を受けている今、各国で連携して対処することが重要だと訴えた。
日本も、国内対策の強化だけでなく、攻撃手口の共有や捜査協力、サプライチェーンリスク管理で国際社会への貢献が求められている。
----------
松原実穂子(まつばら・みほこ)
NTT チーフ・サイバーセキュリティ・ストラテジスト
早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。
----------