米国とオランダの法執行機関は、ロシアのGRU(参謀本部情報総局)所属とみられるハッカーが世界のアンチ・ドーピング機関のファイルにアクセスした経緯を詳細に明らかにした。その手口は以下の通り。
アンドリュー・ディプローズ。写真はGetty、Alamy、Eyevineより。アレクサンダー・ロトチェンコのインスピレーションによる。
2016年8月14日、エフゲニー・セレブリアコフはリオオリンピックで何千人もの観客に加わった。ベージュと黄色のストライプ柄のポロシャツにサングラスをかけ、ロシアのTシャツを着た黒髪の女性と記念撮影をしたセレブリアコフ。周りの観客が席に着くと、彼は微笑んだ。
しかし、セレブリアコフ(本名ではない可能性もある)は、スポーツのためにブラジルに来たわけではない。彼は、米国司法省が提起した訴訟で、ロシアのエリートハッカー部隊の一員として名指しされた7人のうちの1人だ。彼らは全員、クレムリンのGRU諜報部隊に所属し、世界中を飛び回り、極秘の統括団体や政府機関からデータを盗み出していたとされている。
訴状によると、容疑者らは世界アンチ・ドーピング機関(WADA)、FIFA、ペンシルバニア州に拠点を置く原子力エネルギー企業、ハーグにある化学兵器禁止機関(OPCW)に対してハッキング作戦を開始した。
文書によると、彼らはホテルのWi-Fiネットワークに侵入し、車の後部座席に即席のハッキング機材を組み立て、偽のドメインを登録し、被害者の詳細なデジタル監視を行った。その過程で、彼らは秘密ファイルにアクセスし、それをオンラインで公開し、盗んだ情報に関する記事をジャーナリストに宣伝した。そして、この作戦の報酬の大部分はビットコインで支払われた。
ロシアはハッキングへの関与を否定しているが、オランダ、英国、米国の各国政府は、GRUによるサイバー戦争と偽情報作戦について、綿密に証拠を積み重ねて描写した。米国の起訴状では、セレブリアコフに加え、アレクセイ・ミーニン、オレグ・ソトニコフ、アレクセイ・モレネツ、イヴァン・イェルマコフ、ドミトリー・バディンがGRU工作員として名指しされている。彼らは全員、2014年から2018年5月まで、ロシア情報機関(部隊26165と74455)に勤務していたとされている。
文書によれば、ロシアによる世界規模のハッキングの試みは、モスクワのオフィスから遠隔的に行われるか、あるいは複雑なケースではハッキングしようとしている標的の所在地で行われるかの2つの異なる方法で行われている。
GRUによる世界的なハッキング活動の足跡は、OCPWが4月に会合を開いた際に明らかになり始めた。会合の数日前、セレブリアコフ、モレネツ、ソトニコフ、ミーニンの4人は外交パスポートを使ってアムステルダム・スキポール空港に到着した。ビジネススーツ姿の4人は、空港で外交官の護衛に出迎えられ、税関検査を受けた。(モレネツが所持していたタクシーの領収書には、GRUのモスクワ基地からロシアの近隣空港までの彼の移動が記載されていたとされている。)
オランダに到着すると、彼らは精巧なハッキング作戦を開始した。「ソトニコフとミニンはレンタカーを借り、ハッキング用の機器を組み立て、車のトランクに隠した」と司法省の裁判所文書は主張している。4月13日、彼らはOPCWの事務所の向かいに車を停め、車の後部座席に置いた機器にジャケットをかぶせた。機器は、車内の誰かがノートパソコンを使って、あるいは4G接続を使って遠隔操作できる状態だった。
GRUがスパイ装置を起動した際、オランダの情報機関に検知された。ロシア工作員は現場から逃走し、全ての装置を車内に残した(オリンピックでのセレブリャコフの写真が、放置された装置の1つに残されていた)。捜査官らは、これらの装置が他のハッキング作戦でホテルのWi-Fiネットワークへのログインに使用されていたことを突き止めた。オランダの情報機関が公開した画像には、車内で発見されたアンテナとコンピューターハッキング装置が混在していた様子が映っている。車内で発見された携帯電話は一部破壊されていた。また、インターネットアクセスポイントとして機能し、接続されたデバイスからデータを吸い上げることができるWi-Fiパイナップルも含まれていた。GRU工作員は全員オランダから護送され、拘束はされなかった。
続きを読む: プーチン大統領がいかにしてインターネットを国家管理下におくのか
セレブリャコフが行った国際旅行はこれだけではない。セレブリャコフのオリンピック旅行は2016年8月13日から19日まで行われ、モロネツ氏と同行していたとされている。WADAによるロシアのスポーツ界におけるドーピング調査を受け、二人はWADAと他のオリンピック関係者が滞在していたホテルを調査した。彼らはロシアに滞在していたイェルマコフに、ホテルのWi-Fiネットワークで使用されているルーターの詳細情報を提供し、イェルマコフはそれを基に、機器のセキュリティ上の欠陥を調査した。
米国の起訴状によると、「これらの現場チームは、特殊な機器を使用し、ロシアの共謀者による遠隔支援を受けて、被害団体やその職員が利用しているWi-Fiネットワーク(ホテルのWi-Fiネットワークを含む)にハッキングを行った」という。セレブリアコフとモロネッツは9月19日、スイスのローザンヌにあるホテルのWi-Fiネットワークにも侵入し、カナダのアンチ・ドーピング機関(カナダ・スポーツ倫理センター)の職員のノートパソコンから情報を盗み出した。
2人は、ハッキングされた役員のアカウントから他のアンチ・ドーピング役員にメールを送信し、メッセージの末尾に「Sent from my SamsunCopenhagen(私のサムスン・コペンハーゲンから送信)」というフレーズを付け加えていた。また、この人物のログイン用メールアドレスを使ってカナダのアンチ・ドーピング機関のシステムにアクセスしていた。この行為は、メールアカウントの所有者が送信済みメールを確認したところ、そのアカウントから送信されたメッセージを発見したことで発覚した。これらのメッセージには悪意のあるリンクが含まれていた。ロシア人2人組がインストールしたとされるマルウェアは、2016年10月24日まで1ヶ月以上、カナダスポーツ倫理センターのネットワーク上に存在していた。このマルウェアの一部は、バディン氏が独自に作成したものだった。
「共謀者たちはマルウェアとハッキングツールを開発・利用した」と司法省は法的文書で述べている。これらにはGamefish、X-tunnel、Chopstickコードが含まれており、そのほとんどは以前にも確認されており、ロシアが関与する他のサイバー攻撃でも使用されている。Gamefishコードは、ロシアのハッカー集団ATP28(別名Fancy Bear)によって広く利用されており、コンピュータネットワークへの足掛かりを築くために使用されている。
X-tunnelマルウェアは、2016年の米国大統領選挙を巡り、ATP28ハッカーによって米国民主党全国委員会(DNC)を標的として特別に作成されたと考えられています。起訴状が公表される数時間前、英国政府はDNCへの攻撃を含む4件のサイバー攻撃についてGRU(軍参謀本部情報総局)を公式に非難しました。英国はまた、当初は「サイバーカリフ」と呼ばれるイスラム国のハッキンググループによるものと見せかけられていたサイバー攻撃とATP28の名称を結び付けました。
リモートハッキングに関しては、セレブリアコフ容疑者と他のGRU工作員6人は、その痕跡を隠蔽しようとした。サーバーやドメイン名はビットコインで購入された。中には、コンピューターインフラの購入資金として独自にビットコインをマイニングしたケースもあったとされている。
「全ての購入履歴が中央集権的に記録されるのをさらに避けるため、共謀者たちは数百もの異なるメールアカウントを使ってインフラを購入し、場合によっては購入ごとに新しいアカウントを使い分けていた」と司法省は述べている。ある事例では、GRUハッカーが34文字のビットコインアドレスに0.012684ビットコインを送るよう要求するメールを送信し、その後、取引がブロックチェーンに追加されたとされている。
捜査官たちは、ビットコインによる支払いと、スピアフィッシングメールの作成・テストに使用されたコンピュータとの関連性を突き止めました。フィッシングメールを作成し、人々を騙して偽のウェブサイトにログインさせ、ユーザー名とパスワードを盗み出すことが、容疑のロシア工作員が標的に侵入した主な方法でした。
WADAを標的とした攻撃では、wada.arna.orgというドメインがハッキング攻撃の標的となりました。このウェブアドレスは「r」と「n」の文字を使って正規のアドレス「wada.ama.org」に見せかけています。偽造ドメインと仮想プライベートサーバーは「Beula Town」という名前で登録されていました。この原子力発電所のドメイン「westinqhousenuclear.com」では、「q」が「g」に置き換えられていました。(同社の原子力発電所の設計は、世界で稼働中の原子力発電所の約半数に使用されています。)
「これらのドメインは、ウェブメールのログインページ、VPNのログイン画面、パスワードリセットページなど、被害者が使い慣れている正規のウェブサイトを模倣または偽装することを目的としていた」と司法省は述べている。また、米国アンチ・ドーピング機構(ASDA)は、ウェブサイトに悪意のあるコードを挿入しようとするSQLインジェクションの試みを、62の異なるソースから24,227件確認した。
いくつかのケースでは、ハッカーが標的について詳細な調査を行っていたとされています。フィッシングメールは、被害者の上司や同僚から送られてきたもので、その人物の名前はよく知られていました。
GRUの活動家たちは、これらの情報をすべて入手した後、どうしたのでしょうか?その大半はロシアの情報源に渡されたとされていますが、より広範な偽情報キャンペーンの一環として公表されたことも疑われています。米国法執行機関によって差し押さえられたFancy Bearのウェブサイトは、アスリートに対するドーピング疑惑の詳細を掲載しており、ハッカーたちはジャーナリストを標的にして、自分たちの名前を広く知らしめようとしたと言われています。
ファンシー・ベアーズは世界中の約70人の記者にメールを送信したと、財務省は主張している。「共謀者たちがやり取りの中で提示した唯一の条件は、記者が記事の中でファンシー・ベアーズのハックチームの名前を挙げ、その後、記事へのリンクを共謀者たちに提供することだった」
この記事はWIRED UKで最初に公開されました。
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
