BACK
TOP
佐々木俊尚 Toshinao Sasaki
イラク戦争で浮かび上がった「サイバー戦争」の影
米軍がイラクを攻撃する直前の3月中旬、米国の軍事パワーの象徴ともいえるペンタゴン(国防総省)で驚くべき事実が明らかになった。陸軍のサーバがインターネット経由で侵入され、軍内部のサーバの配置図が外部にひそかに送信されていたのだ。
侵入方法は、Windows 2000 Serverのコアコンポーネント(NTDLL.DLL)にバッファオーバーフローのセキュリティホールがあることを悪用したものだ。バッファオーバーフローというのは、プログラムが処理しきれないほどの長さのデータを送りつけることでバッファを溢れさせ、プログラムを誤作動させるという手口だ。
そしてこのNTDLL.DLLは、Windows内部の多くのコンポーネントから使われている。中でもIIS 5.0のWebDAV(World Wide Web Distributed Authoring and Versioning)でこのセキュリティホールを衝かれると、外部からの侵入者に実行権限を奪われてしまう可能性がある。WebDAVというのはHTTPの拡張セットの一種で、ファイル共有をWebサーバ上で実現する仕組みだ。そしてこれはIIS 5.0ではデフォルトで有効になっているから、IISをWebサーバに使っているようなサイトにとってはかなり危険性が高い手口なのである。
米eWEEK誌などの報道によると、陸軍のウェブサーバはわずか4KBの長さのURLを使って攻撃され、簡単に侵入者の手に落ちたという。実行権限を奪われたマシンは、即座に陸軍のネットワークのマッピングを開始。同じようにIIS 5.0が導入され、WebDAVのセキュリティホールが開いているマシンを探し出し、探索範囲内にどのようなサーバがあるのかを分析した。そしてそのマッピング結果のデータを、Windows Serverに付属しているリモート管理サービスのTerminal Serviceを使ってポート3389経由で外部に送信しはじめた。
マシンが不正侵入されていることに、陸軍のセキュリティスタッフが気づくのには時間はかからなかった。スタッフのひとりがルータから実行権限を奪われたマシンのケーブルを引っこ抜き、再起動した。しかしマシンをネットにつなぎ直すと、すぐにまた同じマシンが攻撃され、侵入されてしまったという。この段階になってようやく、セキュリティスタッフは自分たちが未知の攻撃方法に直面していることに気づき、マイクロソフトに緊急の連絡を取った。
そう――このセキュリティホールは、実はこの時点ではマイクロソフトも把握していないまったく新しいものだったのである。
「ゼロデー」の恐怖
「ゼロデー」という言葉を聞いたことがあるだろうか。サーバの世界では無数のセキュリティホールが溢れ、今も毎日のように発見され続けている。だがその大半は、実際に悪意のある不正侵入者によって使われる前に、メーカーや研究者によって見つけられ、その対策を公表されているものばかりだ。メーカー側が日々リリースしているパッチなどの対策をきちんと取っていれば、ほとんどのセキュリティホールは防ぐことができる。
だがごく一部に、メーカーから対策が発表される以前にそのセキュリティホールを衝いた攻撃が行われる場合がある。この場合、メーカーがリリースしているパッチをきちんと当てていても、攻撃は防ぎようがない。
これが「ゼロデーアタック」と呼ばれる攻撃なのだ。
なぜゼロデーが生じるのかは、ケースによって異なるだろう。不正侵入者が独自の技術でセキュリティホールを発見し、それをひそかに悪用するケースも考えられれば、あるいは研究者の間で発見されたセキュリティホールの情報がコミュニティ内で流通している間に、悪意のある人間に流れてしまうケースもある。しかしいずれにせよ、このゼロデーアタックには有効な防御策というのは存在しないのだ。
陸軍のサーバに侵入した何者かが、いったいどうやってこのセキュリティホールを突き止めたのかは、明らかになっていない。だがマイクロソフトが対策パッチをリリースし、セキュリティホールの存在について公表したのは事件から約1週間後の3月17日になってからだった。
米陸軍、国防総省ともにこの事件については「軍のサーバが侵入された」という事実を認めただけで、それ以外の情報はいっさい開示していない。侵入されたのがWebサーバだったため、機密データなどには影響はなかったのではないかと見られている。だがいったい何者が何の目的で、このような行為に及んだのかは闇の中なのである。
イラク戦争では、こうした奇妙な“事件”が相次いだ。それは単なる悪趣味なハッカーのいたずらだったのか、それともサイバー戦争の知られざる一端だったのか――。
相次ぐ奇妙な「攻撃」
このアタックが起きるずっと前の今年初め、イラクでは奇妙な“事件”が相次いでいた。毎日新聞の報道によると、フセイン政府や軍の幹部に対し、米軍の圧倒的優位を宣伝したり、フセイン大統領を批判するメールが大量に届いていたというのだ。フセイン政府側は「米軍がわが国の動揺を誘うために発信したものだ」と判断したという。メールの内容は「米軍はあなたたちの軍よりも圧倒的に強い。抵抗はむだだ」「サダム(フセイン大統領)は人々を苦しめている。アメリカはサダムを倒しイラクの人々を解放する」といったものだった。これがいたずら目的だったのか、それとフセイン政府のいうように米軍が仕掛けたものだったのかはわからない。だがかなり不気味な話であるのは事実である。
さて、米陸軍の事件から1週間後。地上戦がすでに開始されて米軍がバクダッドへと迫りつつあった3月24日、今度はカタールに本拠を置く衛星テレビ局「アルジャジーラ」のサーバがDOS(サービス拒否)攻撃を受けた。
アルジャジーラは一昨年の9.11同時多発テロの際、首謀者とみられているオサマ・ビンラディン氏のインタビューを流したことで勇名を馳せたアラブの衛星放送だ。イラク戦争では、イラク側に殺害された米兵の遺体や捕虜になっている様子を放映し、米政府の怒りを買った。この映像そのものはもともとはイラク国営テレビが配信したものだったが、ラムズフェルド米国防長官は「(人道的な捕虜の扱いを含めた)ジュネーブ条約違反だ」とイラク側を激しく避難。アルジャジーラの報道姿勢にも不快感を見せた。
そうした背景が引き金になったのかどうかはわからないが、アルジャジーラに仕掛けられたDOS攻撃はかなり過激なものだった。ご存じのようにDOS攻撃というのは、大量のデータをターゲットのサーバに送りつけ、相手を麻痺させてしまうというものだ。単純といえば単純な手口だが、防御するのは非常に難しい。
24日から始まったこの攻撃で使われたのはDNS Floodと呼ばれる手法で、アルジャジーラのドメインを解決しているネームサーバに大量のトラフィックを送り込むというものだ。この攻撃では、常時150〜250Mbpsのトラフィックが襲いかかったという。同局のサーバのトラフィックは通常50〜60Mbps程度だというから、通常の3倍から4倍のアクセスが行われていた計算になる。サーバ管理側は帯域の割り当てを増やすことで回避しようとしたが、それにあわせて攻撃者の側もトラフィックをさらに増加させ、一進一退の攻防が続く。
攻撃が続いていた間、アルジャジーラの広報担当者は米PC World誌の取材に「米国向けのサイトは完全にダウンしてしまった。欧州向けの方もいま攻撃を受けていて、どうなるかわからない。われわれは攻撃を何とか回避しようとしており、5分から10分程度はコントロールを取り戻すことができるが、すぐにまた攻撃を受けてしまって制御を失ってしまう」と悲痛なコメントを寄せた。
しかし最終的に、アルジャジーラのサーバをホスティングしていた米国企業、データパイプ(DataPipe)社が「他の顧客に影響がある」という理由で同局のウェブサーバの接続を切ってしまい、事態はあっけなく幕切れとなった。攻撃者はしてやったり、というわけだ。
台頭するハクティビストのパワー
そしてアルジャジーラがさんざんな目にあっていた同じ日、今度はイラク反体制派の組織「イラク国民会議(INC)」が拠点のロンドンから、次のような声明を発表した。
「INCのサイトが攻撃を受け、数日前から停止している。攻撃しているのはフセイン大統領の取り巻きで、彼はサイバー戦争を仕掛けようとしているのだ」
攻撃者がなぜフセイン大統領の取り巻きだとわかったのか?という疑問は浮かぶ。推測でしかないが、おそらくINCのWebサーバを攻撃したのは、戦争当事者ではない反米親アラブのハクティビストのひとりだろう。
ハクティビストというのは、ハッカーとアクティビスト(活動家)の合成語。Webを改ざんし、政治的なメッセージをに書き換えるなどの攻撃によって政治的主張を行っているグループを指す。インドとパキスタン、イスラエルとアラブなど対立が続く紛争地帯でその活動は顕著だが、最近では中国や韓国のハクティビストの活動も目立つようになっている。2000年初頭、南京大虐殺に抗議して中国人と見られるハクティビストたちが、運輸省(現国土交通省)や文部省(現文部科学省)などのWebサイトを改ざんした事件を覚えている方も多いだろう。
そして今回のイラク戦争でも、ハクティビストたちはきわめて活発に政治的メッセージを発信し続けた。
その多くは、米国のイラク攻撃に反対する立場からのものだったが、一部には反イラクを主張するものもあった。改ざんされたWebの数は2000とも3000とも言われ、日本でも玩具メーカーのタカラのサイトなどがとばっちりを食って被害を受けている。フィンランドのF-Secure社によれば、今回暗躍したハクティビストは次の3種類に分けられたという。
@反イラクの米国の愛国者
Aイスラム原理主義者の過激なグループ
B戦争に反対する平和運動家たち
ハクティビストの活動は今後も幅を広げ、そして先鋭化していく可能性が高い。そしてこうした活動が、国家のサイバー攻撃戦略に巻き込まれていく可能性もあるのだ。