史上最悪のサイバー攻撃「NotPetya」の知られざる物語

コペンハーゲンの完璧な晴れた夏の午後、世界最大の海運複合企業が正気を失い始めた。

APモラー・マースクの本社は、コペンハーゲン港の風通しの良い石畳の遊歩道沿いに建っています。建物の北東角にはデンマーク国旗を掲げた船のマストが立ち、6階建ての青い窓からは水面が見渡せ、デンマーク王室がヨットを停泊させる埠頭に面しています。建物の地下には、マースクブランドのバッグやネクタイ、さらには同社の巨大なコンテナ船「トリプルE」の希少なレゴモデルなどが並ぶ企業ギフトショップがあります。トリプルEは横にしたエンパイア・ステート・ビルとほぼ同じ大きさで、さらにエンパイア・ステート・ビルと同じ量の貨物を積み上げることも可能です。

そのギフトショップにはテクノロジーヘルプセンターも併設されており、レジの隣にITトラブルシューターが常駐するデスクが1つ設置されている。2017年6月27日の午後、困惑したマールスク社のスタッフが2人、3人とそのヘルプデスクに集まり始めた。ほぼ全員がノートパソコンを持っていた。ノートパソコンの画面には赤と黒の文字でメッセージが流れていた。中には「C:のファイルシステムを修復しています」と書かれたものもあり、コンピューターの電源を切らないよう厳しく警告していた。さらに現実離れしたメッセージには「おっと、重要なファイルが暗号化されています」と書かれ、復号のために300ドル相当のビットコインを要求していた。

通りの向かい側では、ヘンリック・ジェンセンという名のIT管理者が、マースク社の敷地内の別の場所で作業していた。そこは、かつて数世紀にわたり海図や海図の王室保管庫として使われていた、装飾的な白石造りの建物だった。（ヘンリック・ジェンセンは本名ではない。私がインタビューしたマースク社の従業員、顧客、パートナーのほぼ全員と同様に、ジェンセン氏もこの件について公の場で発言することの結果を恐れていた。）ジェンセン氏がマースク社の約8万人の従業員向けのソフトウェアアップデートの準備に追われていた時、彼のコンピューターが突然再起動した。

彼は小声で静かに悪態をついた。ジェンセンは、この予定外の再起動は、マースクの中央IT部門による典型的な無遠慮な行動だろうと推測した。この部門は、港湾から物流、石油掘削まで幅広い8つの事業部門を擁し、世界130カ国574の拠点を擁するマースクの企業帝国の大部分を統括する、英国ではあまり好かれていない組織だった。

ジェンセンは顔を上げて、ITスタッフのいるオープンプランのオフィスで、同じように無礼に邪魔された人は他にいないか尋ねた。首を伸ばすと、部屋の中の他のコンピューターの画面が次々と消えていくのが見えた。

「画面が次々と真っ黒になっていくのが見えました。黒、黒、黒。黒、黒、黒、黒、黒」と彼は言う。ジェンセンと近所の人たちはすぐに、パソコンが不可逆的にロックされていることに気づいた。再起動しても、また同じ黒い画面に戻ってしまうだけだった。

マースク本社全体で、危機の全容が明らかになり始めていた。30分も経たないうちに、マースクの従業員たちは廊下を駆け回り、同僚たちに、悪意あるソフトウェアに感染する前にコンピューターの電源を切るか、マースクのネットワークから切断するよう叫び始めた。1分ごとに数十台、数百台のPCが感染する可能性があると、彼らは悟ったのだ。技術系の従業員たちは会議室に駆け込み、会議の途中でPCの電源プラグを抜いた。間もなく、従業員たちは、いまだ謎に包まれたマルウェアによって機能停止状態にあったカードキーゲートを飛び越え、建物の他のセクションにも警告を広め始めた。

マースクのグローバルネットワーク全体の切断には、ITスタッフがパニックに陥りながら2時間以上を費やしました。作業が終わる頃には、全従業員にコンピューターの電源を切り、デスクに置いておくよう指示が出されていました。緊急ネットワーク遮断の影響で、各ブースに設置されていたデジタル電話も使用不能になっていました。

午後3時頃、マールスク社の幹部が、ジェンセン氏と12人ほどの同僚たちが不安げに連絡を待っていた部屋に入ってきて、彼らに帰宅を告げた。マールスク社のネットワークは深刻な被害を受けており、ITスタッフでさえどうすることもできなかった。社内の古風なマネージャー数名は、部下たちにオフィスに残るよう指示した。しかし、コンピューター、サーバー、ルーター、固定電話も使えず、完全に手持ち無沙汰になった多くの従業員は、そのままオフィスを去った。

ジェンセンはビルを出て、6月下旬の午後の暖かな空気の中に足を踏み入れた。マースク社の大多数の社員と同様に、彼にもいつ職場に戻れるか見当もつかなかった。彼を雇っていた海運大手は、地球の裏側76の港と、数千万トンの貨物を運ぶコンテナ船を含む800隻近くの船舶を擁し、世界の海上輸送能力のほぼ5分の1を占めていたが、まさに行き詰まっていた。

ウクライナの首都キエフのトレンディなポジール地区の外れでは、コーヒーショップや公園が突如姿を消し、陰鬱な工業地帯が広がる。高速道路の高架下、ゴミが散乱する線路を越え、コンクリートの門をくぐった先に、ウクライナの小規模な家族経営のソフトウェア企業、リンコス・グループの4階建ての本社が建っている。

その建物の3階分上にはサーバールームがあり、ピザ箱ほどの大きさのコンピューターがラックに並べられ、絡み合った配線で接続され、手書きの番号付きラベルが貼られている。普段は、これらのサーバーからMEDocという会計ソフトの定期的なアップデート（バグ修正、セキュリティパッチ、新機能など）が配信されている。MEDocは、ウクライナ版TurboTaxやQuickenといったところだ。ウクライナで納税申告やビジネスを行うほぼすべての人がMEDocを使用している。

しかし、2017 年のある瞬間、これらのマシンは、インターネットの発明以来、最も壊滅的なサイバー攻撃の震源地となった。少なくとも、この攻撃は、ある国による別の国への攻撃として始まった。

過去4年半の間、ウクライナはロシアとの宣戦布告なき苛酷な戦争に巻き込まれ、1万人以上のウクライナ人が死亡、数百万人が避難を余儀なくされた。この紛争でウクライナは、ロシアのサイバー戦争戦術の焦土作戦の実験場ともなった。2015年と2016年には、クレムリンとつながりのあるファンシーベアと呼ばれるハッカー集団が米国民主党全国委員会のサーバーに侵入するのに忙しくしていたが、サンドワームと呼ばれる別の集団がウクライナの政府機関や企業数十社にハッキングを仕掛けていた。彼らは、メディアから鉄道会社まで幅広い被害者のネットワークに侵入し、数テラバイトのデータを破壊する論理爆弾を爆発させた。攻撃はサディスティックな季節ごとのリズムで行われ、両年の冬には、破壊工作員は広範囲にわたる停電を引き起こすことで破壊的な活動を締めくくった。これがハッカーが引き起こした停電として初めて確認されたものだ。

しかし、これらの攻撃はサンドワームの最終段階ではありませんでした。2017年春、Linkos Groupの誰にも知られずに、ロシア軍のハッカーが同社のアップデートサーバーを乗っ取り、MEDocがインストールされている国内外の数千台のPCに侵入する隠されたバックドアを作りました。そして2017年6月、ハッカーたちはそのバックドアを利用して、これまでで最も凶悪なサイバー兵器「NotPetya」と呼ばれるマルウェアを拡散しました。

ハッカーたちが拡散させたコードは、自動的、迅速、そして無差別に拡散するように洗練されていました。「これまで見た中で、最も速く拡散したマルウェアでした」と、NotPetyaのリバースエンジニアリングと解析をいち早く行ったセキュリティ企業の一つであるシスコシステムズTalos部門のアウトリーチ担当ディレクター、クレイグ・ウィリアムズ氏は語ります。「それを見た瞬間、データセンターは既に壊滅状態でした。」

NotPetya は、連携して動作する 2 つの強力なハッカーの脆弱性によって推進されました。1 つは、米国国家安全保障局によって作成され、2017 年初頭に同局の極秘ファイルの悲惨な侵害で漏洩した EternalBlue と呼ばれる侵入ツールです。EternalBlue は特定の Windows プロトコルの脆弱性を悪用し、ハッカーがパッチを適用していないマシン上で独自のコードをリモートから自由に実行できるようにします。

NotPetyaの開発者たちは、このデジタルスケルトンキーを、フランスのセキュリティ研究者ベンジャミン・デルピーが2011年に概念実証として開発したMimikatzという古い発明と組み合わせました。デルピーは当初、Windowsがユーザーのパスワードをコンピュータのメモリに残すということを示すためにMimikatzをリリースしました。ハッカーがコンピュータへの最初のアクセス権を取得すると、MimikatzはそれらのパスワードをRAMから引き出し、同じ認証情報でアクセスできる他のマシンにハッキングすることができます。複数のユーザーが使用するコンピュータが接続されたネットワークでは、自動化された攻撃者が1台のマシンから次のマシンへと移動することさえ可能になります。

NotPetyaの出現前に、MicrosoftはEternalBlueの脆弱性に対するパッチをリリースしていました。しかし、EternalBlueとMimikatzの組み合わせは、それでもなお強力な組み合わせでした。「パッチが適用されていないコンピューターに感染し、そこからパスワードを盗み出して、パッチが適用されている他のコンピューターに感染させることが可能です」とデルピー氏は言います。

NotPetyaは、2016年初頭に出現し、被害者からファイルのロック解除キーと引き換えに金銭を脅迫するランサムウェア「Petya」に似ていることからその名が付けられました。しかし、NotPetyaの身代金メッセージは単なる策略でした。このマルウェアの目的は純粋に破壊的なものでした。コンピューターのマスターブートレコード（OSの場所を指示するマシンの奥深くに埋め込まれた部分）を不可逆的に暗号化したのです。被害者が支払おうとした身代金は無駄でした。コンピューター内の混乱したノイズを整理するためのキーすら存在しなかったのです。

NotPetyaの感染は、ほぼあらゆる定義から見てサイバー戦争行為であり、その爆発的な影響は作成者の意図をはるかに超えるものだったと言えるでしょう。初登場から数時間で、このワームはウクライナを飛び越え、ペンシルベニア州の病院からタスマニア島のチョコレート工場に至るまで、世界中の無数の機械へと感染を広げました。マースク、製薬大手メルク、フェデックスの欧州子会社TNTエクスプレス、フランスの建設会社サンゴバン、食品メーカーのモンデリーズ、そして製造業のレキットベンキーザーといった多国籍企業にも影響を与えました。いずれのケースでも、9桁台の損害が発生しました。さらに、ロシアにも感染が広がり、国営石油会社ロスネフチにも打撃を与えました。

結果として、総額100億ドル以上の損害が発生したと、ホワイトハウスの査定で確認された。これは、攻撃当時、トランプ大統領の下でサイバーセキュリティ担当の最上級官僚だったトム・ボッサート元国土安全保障顧問がWIREDに確認したもの。ボッサート氏と米国の情報機関はまた、ウクライナを標的としたサイバー攻撃の第一容疑者であるロシア軍が、この悪意あるコードを仕掛けたと2月に確認している。（ロシア外務省は度重なるコメント要請への回答を拒否した。）

NotPetyaの被害規模を理解するには、今年3月にアトランタ市役所を麻痺させた、悪夢のような、しかしより典型的なランサムウェア攻撃を考えてみてください。この攻撃の被害額は最大1,000万ドルで、NotPetyaの被害額のわずか10分の1に過ぎません。NotPetyaの1か月前の2017年5月に蔓延した、より悪名高いワームであるWannaCryでさえ、40億ドルから80億ドルの被害額を出したと推定されています。それ以降、これに匹敵する攻撃はありません。「人命の損失はなかったものの、小さな戦術的勝利を得るために核爆弾を使ったのと同じでした」とボッサート氏は言います。「これは、世界舞台では決して許容できない無謀な行為です。」

NotPetyaが世界を震撼させてから1年、WIREDはロシアのワームによって屈服させられた巨大企業、マールスクの経験を深く掘り下げてきました。同社のマルウェア騒動は、サイバー戦争が現代世界のインフラに及ぼす危険性を如実に示しています。WIREDがNotPetyaについて取材した他のウクライナ以外の被害者と同様に、この巨大海運会社の幹部は、この記事に関して公式な立場でのコメントを一切拒否しました。WIREDは、マールスクの現職および元職の情報源から得た情報を基に記事をまとめており、その多くは匿名を希望しています。

しかし、NotPetyaの物語は、マールスク社、あるいはウクライナそのものについての話ではありません。国境が意味を持たない媒体に放たれた国民国家の戦争兵器の物語であり、残酷で予期せぬ論理によって巻き添え被害が広がるのです。ウクライナを狙った攻撃がマールスク社を襲い、マールスク社への攻撃が同時にあらゆる場所に襲いかかるのです。

オレクシー・ヤシンスキーは、オフィスでは静かな火曜日になるだろうと予想していた。ウクライナの憲法記念日（国民の祝日）の前日で、同僚のほとんどは休暇を計画しているか、すでに休暇を取っているところだった。しかし、ヤシンスキーは違った。彼は過去1年間、インフォメーション・システムズ・セキュリティ・パートナーズのサイバーラボの責任者を務めていた。同社は、ウクライナのサイバー戦争の被害者にとって、急速に頼りになる企業になりつつあった。その職務内容は、休暇を取ることには向いていなかった。実際、2015年末にロシアによるサイバー攻撃の最初の打撃を受けて以来、彼が自分に許可した休暇は合計でわずか1週間だった。

そのため、ヤシンスキー氏はその朝、ISSPのディレクターからウクライナ第2位の銀行であるオシャド銀行が攻撃を受けているという電話を受けたときも、動揺しなかった。銀行はISSPに対し、ランサムウェア感染に直面していると報告していた。これは、営利を目的とするサイバー犯罪者の標的となり、世界中の企業にとってますます一般的な危機となっている。しかし、30分後、ヤシンスキー氏がキエフ中央オフィスのオシャド銀行IT部門を訪れた時、これは前代未聞の事態だとすぐに分かった。「職員たちは途方に暮れ、混乱し、ショック状態に陥っていました」とヤシンスキー氏は語る。銀行の数千台に及ぶコンピューターの約90%がロックされ、NotPetyaの「ディスク修復中」メッセージと身代金要求画面が表示されていた。

銀行の残されたログをざっと調べた結果、ヤシンスキーは攻撃が自動化されたワームによるもので、何らかの方法で管理者の認証情報を入手したことがわかった。これにより、刑務所長の鍵を盗んだ囚人のように、銀行のネットワークを蹂躙することができたのだ。

ISSPのオフィスで銀行の侵入状況を分析していたヤシンスキーは、ウクライナ各地の人々から電話やメッセージを受け取り始め、他の企業や政府機関でも同様の事例が発生していると告げられた。ある人は、別の被害者が身代金を支払おうとしたと伝えた。ヤシンスキーの予想通り、身代金を支払っても効果はなかった。これは普通のランサムウェアではなかった。「特効薬も、解毒剤もありませんでした」と彼は言う。

1,000マイル南では、ISSPのCEO、ローマン・ソログブ氏がトルコ南岸で憲法記念日の休暇を過ごし、家族とビーチに行く準備をしていた。彼の携帯電話も、ISSPの顧客からの着信で殺到し始めた。彼らはNotPetyaがネットワークを席巻するのを目撃していたり​​、攻撃のニュースを読んで必死にアドバイスを求めていたりしたのだ。

ソログブ氏はホテルに引きこもり、その日の残りを顧客からの50件以上の電話対応に費やした。電話は次から次へとかかってくるネットワーク感染の報告だった。顧客のネットワークをリアルタイムで監視していたISSPのセキュリティオペレーションセンターは、NotPetyaが恐ろしい速さで被害者のシステムを飽和状態に陥れているとソログブ氏に警告した。ウクライナの大手銀行のネットワークがダウンするのに45秒かかった。ISSPがデモ用に機器を設置していたウクライナの主要交通ハブの一部は、16秒で完全に感染した。2016年の停電を招いたサイバー攻撃後のネットワーク再建をISSPが支援していたエネルギー会社ウクレネルゴも、再び攻撃を受けた。「新しいセキュリティ対策を導入しようとしていたことを覚えていますか？」と、苛立ったウクレネルゴのITディレクターが電話で尋ねたのをソログブ氏は覚えている。「でも、もう遅すぎました」

正午までに、ISSPの創設者であり、連続起業家でもあるオレ・デレヴィアンコ氏も休暇をキャンセルした。デレヴィアンコ氏は休暇を過ごすため、北へ向かう途中、村の別荘で家族と会うために車を走らせていた。その時、NotPetyaの電話が鳴り始めた。間もなく彼は高速道路を降り、道端のレストランで仕事をしていた。午後の早い時間には、電話をかけてきた幹部全員に対し、たとえ会社全体の停止を意味することになっても、ためらうことなくネットワークを切断するよう警告していた。多くの場合、彼らはすでに待つ時間が長すぎたのだ。「現場に到着した時には、インフラはすでに機能していなかったのです」とデレヴィアンコ氏は言う。

全国規模で、NotPetyaはウクライナのコンピューターを蝕んでいた。キエフだけでも少なくとも4つの病院、6つの電力会社、2つの空港、22以上のウクライナの銀行、小売店や交通機関のATMやカード決済システム、そして事実上すべての連邦機関が被害を受けた。「政府は死んだ」とウクライナのヴォロディミル・オメリャン・インフラ大臣は総括する。ISSPによると、少なくとも300社が被害を受け、あるウクライナ政府高官は国内のコンピューターの10%が消去されたと推定している。この攻撃は、キエフの北60マイルにあるチェルノブイリ原発の除染現場で科学者が使用していたコンピューターさえも停止させた。「これは我が国のあらゆるシステムへの大規模な爆撃でした」とオメリャン氏は語る。

デレヴィアンコ氏は夕方早めにレストランから出て、給油のために車に立ち寄ったところ、ガソリンスタンドのクレジットカード決済システムもNotPetyaによってダウンさせられていたことに気づいた。ポケットに現金はなく、ガソリン計を見て、村まで着くまでの燃料が足りているだろうかと不安に思った。ウクライナ全土で、人々は同じような疑問を自問していた。空襲を乗り切るための食料品やガソリン代は十分にあるだろうか、給料や年金は受け取れるだろうか、処方箋はちゃんと届くだろうか。その夜、外の世界ではNotPetyaが犯罪的なランサムウェアなのか、それとも国家主導のサイバー戦争の兵器なのか、まだ議論が続いている中、ISSPのスタッフは既にこれを「大規模で組織的なサイバー侵略」という新しい現象と呼び始めていた。

この流行のさなか、ある感染がマールスクにとって特に致命的なものとなった。ウクライナの黒海沿岸の港湾都市オデッサのオフィスで、マールスクのウクライナ事業部の財務担当役員がIT管理者に対し、会計ソフトウェア「MEDoc」を1台のコンピュータにインストールするよう依頼したのだ。これがNotPetyaにとって唯一の足掛かりとなった。

ニュージャージー州エリザベスにあるこの港湾ターミナルは、マースクの港湾運営部門であるAPMターミナルズを構成する76のターミナルの一つで、ニューアーク湾に面した1平方マイルの人工半島に広がっています。何万個もの完璧なモジュール構造の輸送コンテナが積み重なり、広大なアスファルト舗装の地面を覆い、高さ200フィート（約60メートル）の青いクレーンが湾を見下ろしています。5マイル（約8キロメートル）離れたロウアー・マンハッタンの高層ビルの最上階から見ると、まるでジュラ紀の水飲み場に集まるブラキオサウルスのように見えます。

多い日には約3,000台のトラックがターミナルに到着し、それぞれがおむつからアボカド、トラクターの部品まで、数万ポンドにも及ぶあらゆる品物を集荷または降ろす役割を担います。乗客は、航空機の乗客と同様に、ターミナルのゲートでチェックインすることから始まります。ゲートでは、スキャナーがコンテナのバーコードを自動的に読み取り、マールスクのゲート係員がスピーカーシステムを通じてトラックの運転手に話しかけます。運転手は印刷されたパスを受け取ります。そこには、巨大なヤードクレーンがコンテナをトラックのシャーシから貨物ヤードのスタックまで運ぶための駐車場所が記されています。そこでコンテナはコンテナ船に積み込まれ、海を渡っていきます。あるいは、このプロセスを逆順に行うこともあります。

6月27日の朝、パブロ・フェルナンデスは、エリザベスから中東の港へトラック数十台分の貨物が出荷されるのを待っていた。フェルナンデスはいわゆる貨物運送業者で、貨物の所有者が地球の裏側にある目的地まで安全に荷物を届けてもらうために料金を支払う仲介業者だ。（フェルナンデスは本名ではない。）

ニュージャージー時間午前9時頃、フェルナンデスの携帯電話が、怒り狂った荷主たちからの怒鳴り声で鳴り響き始めた。彼らは皆、トラック運転手から、マースクのエリザベス・ターミナルの外に車両が閉じ込められていると聞いたばかりだった。「人々は飛び跳ねていました」とフェルナンデスは言う。「コンテナをゲートから出し入れできないんです。」

マースクのニュージャージー州ターミナル全体の業務の要衝であるそのゲートは、完全に機能していなかった。ゲート係員たちは沈黙していた。

すぐに、数百台の18輪トラックがターミナルの外に何マイルも続く列を作りました。同じニュージャージー州の港にある、別の会社の近くのターミナルで働く従業員は、トラックがバンパーからバンパーへと、視界の隅々まで積み重なっていくのを見ていました。彼は以前にも、ゲートシステムが15分から30分ほどダウンするのを見ていました。しかし数時間後、マースクからの連絡がまだないまま、港湾局は同社のエリザベス・ターミナルを終日閉鎖するという警報を発令しました。「その時、私たちはこれが攻撃だと気づき始めました」と、近くのターミナルの従業員は回想します。警察が運転手たちに近づき、大量の荷物をUターンさせて立ち去るように指示し始めました。

フェルナンデス氏をはじめとする数え切れないほどのマールスク社の顧客は、厳しい選択に直面していた。貴重な貨物を、割増料金で他の船に積み替えるという選択肢もあった。その際、待機船のような扱いになることもある。あるいは、貨物が工場の部品のように緊密なサプライチェーンの一部である場合、マールスク社の運航停止は、法外な航空貨物輸送費を負担するか、製造工程の停止リスクを負うことになる。製造工程が停止すると、1日の運航停止で数十万ドルもの損失が発生する。リーファーコンテナと呼ばれるコンテナの多くは電気が供給されており、冷蔵が必要な生鮮食品で満杯だった。どこかに電源を供給しなければ、中身は腐ってしまう。

フェルナンデス氏は、マースクからの連絡を待つ間、顧客の貨物を保管できるニュージャージーの倉庫を慌てて探さなければならなかった。初日は、疲れ切ったマースク社員のGmailアカウントから届いた公式メールが1通だけ届いたという。それも「意味不明」な内容で、深刻化する危機について真摯な説明はなかった。同社の中央予約サイトMaerskline.comはダウンしており、社員は誰も電話に出なかった。その日、マースクの船で送ったコンテナの一部は、その後3ヶ月間、世界中の貨物ヤードや港で行方不明のままだった。「マースクはまるでブラックホールのようでした」とフェルナンデス氏はため息をつきながら振り返る。「まさに混乱状態でした」

実際、それはまさに混乱の連続だった。ロサンゼルスからスペインのアルヘシラス、オランダのロッテルダム、ムンバイに至るまで、マースクの76のターミナルのうち17で同じ光景が繰り広げられていた。ゲートは閉ざされ、クレーンは凍り付いていた。世界中の機能不全のターミナルから、何万台ものトラックが追い返されることになった。

新規の予約は不可能となり、マールスクの海運収入の柱は事実上断たれた。マールスクの船舶のコンピューターは感染していなかった。しかし、船舶から電子データ交換ファイル（EDIファイル）を受信するために設計されたターミナルのソフトウェアは完全に消去されていた。このファイルは、ターミナルオペレーターに巨大な貨物倉の正確な内容を伝えるものだった。そのため、マールスクの港では、積み上げられたコンテナの積み下ろしという巨大なジェンガゲームを遂行するガイドがいなくなってしまった。

世界で最も複雑かつ相互接続された分散型機械の一つであり、世界経済の循環システムそのものを支えるこの機械は、その後数日間、機能不全に陥ったままだった。「この問題が世界輸送においてかつて経験したことのない規模のものであることは明らかでした」と、マールスク社の顧客は回想する。「海運ITの歴史において、これほどまでに甚大な危機を経験した者は誰もいません。」

マールスクのオフィスの一角で画面が消えてから数日後、ヘンリック・イェンセンはコペンハーゲンの自宅アパートで、ポーチドエッグ、トースト、マーマレードのブランチを楽しんでいた。前の火曜日にオフィスを出て以来、上司からは一言も連絡がなかった。その時、彼の電話が鳴った。

電話に出ると、マースク社の社員3人との電話会議になっていた。ロンドン西部の町、イングランドのメイデンヘッドにあるマースク社のオフィスで電話が必要だという。そこは、複合企業のIT部門を統括するマースク・グループ・インフラストラクチャー・サービスが拠点を置く場所だ。彼らは彼に、すべてを放り出してすぐにそこへ行くように言った。

2時間後、ジェンセンはロンドン行きの飛行機に乗り、その後車でメイデンヘッド中心部にある8階建てのガラスとレンガ造りの建物へと向かった。到着すると、4階と5階が24時間体制の緊急オペレーションセンターに改造されていた。その唯一の目的は、NotPetyaによるメルトダウンを受けたマースクのグローバルネットワークを再構築することだった。

ジェンセンが知ったところによると、マースク社の社員の中には、NotPetyaが最初に襲来した火曜日から復旧センターにいた社員もいたという。オフィスの机の下や会議室の片隅で寝泊まりしていた社員もいた。また、荷物を手に世界各地から刻一刻と到着している社員もいた。マースク社は数十マイル圏内のホテル、B＆B、パブの2階にある空き部屋をすべて予約していた。社員たちは、誰かが近くのセインズベリーズへ行った後にオフィスの厨房に山積みにしたスナックでしのいでいた。

メイデンヘッドのリカバリセンターは、コンサルティング会社のデロイトによって管理されていた。マースク社は、NotPetya 問題を解決するための白紙小切手を英国企業に実質的に渡しており、最大 200 人のデロイトのスタッフが常時メイデンヘッド オフィスに常駐し、最大 400 人のマースク社員と並んでいた。NotPetya 発生前からマースク社が使用していたすべてのコンピュータ機器は、新しいシステムに感染する恐れがあるため押収され、使用者には懲戒処分の可能性があると警告する看板が掲げられた。その代わりに、スタッフはメイデンヘッドにあるあらゆる電気店に出向き、大量の新しいノート PC とプリペイド Wi-Fi ホットスポットを購入していた。ジェンセン氏も、他の何百人ものマースク社の IT スタッフと同様に、その新しいノート PC の 1 台を渡され、仕事をするように言われた。「『自分の持ち場を見つけて、仕事に取り掛かり、必要なことを何でもやれ』というだけのことでした」と彼は言う。

作戦開始当初、マールスクのネットワーク再構築に携わっていたITスタッフは、ある衝撃的な事実に直面することになった。彼らは、NotPetya発生の3日から7日前までの、マールスクのほぼすべての個別サーバーのバックアップを見つけていたのだ。しかし、同社のネットワークの重要なレイヤーの一つ、ドメインコントローラーのバックアップは誰も見つけられなかったのだ。ドメインコントローラーは、マールスクのネットワークの詳細な地図として機能し、どのユーザーがどのシステムにアクセスできるかを決定する基本ルールを設定するサーバーだ。

マースクの約150台のドメインコントローラーは、互いにデータを同期するようにプログラムされており、理論上はいずれか1台が他のすべてのドメインコントローラーのバックアップとして機能することができました。しかし、この分散型バックアップ戦略では、すべてのドメインコントローラーが同時に消去されるというシナリオが考慮されていませんでした。「ドメインコントローラーを復旧できなければ、何も復旧できない」とマースクのITスタッフは当時を振り返ります。

世界中のデータセンターの何百人ものIT管理者に電話をかけるという必死の捜索の後、マールスクの必死の管理者たちはついに、ガーナのリモートオフィスで唯一生き残ったドメインコントローラーを発見した。NotPetyaが襲来する前のどこかの時点で、停電によってガーナのマシンはオフラインになり、ネットワークから切断されたままだった。そのため、このマシンにはマルウェアの影響を受けずに残っていた、同社のドメインコントローラーデータの唯一の既知のコピーが含まれていたのだ。すべて停電のおかげです。「発見した時は、オフィス中に歓声が響き渡りました」とマールスクの管理者は語る。

しかし、メイデンヘッドのエンジニアたちが緊張感に満ちたガーナオフィスへの接続を確立したところ、帯域幅が狭すぎて、数百ギガバイトのドメインコントローラーのバックアップを英国に送信するのに数日かかることが判明した。彼らは次に、ガーナ人スタッフを次のロンドン行きの飛行機に乗せることに決めた。しかし、西アフリカオフィスの従業員には英国ビザを持っている者は一人もいなかった。

そこでメイデンヘッドの事業所は、一種のリレーレースを企画しました。ガーナ事務所のスタッフがナイジェリアへ飛び、空港でマースク社の別の従業員と合流し、貴重なハードドライブを手渡しました。そして、その従業員がマースク社の復旧プロセス全体の要となるハードドライブを担いで、6時間半かけてヒースロー空港へ向かいました。

救援活動が完了すると、メイデンヘッド事務所はマールスク社の主要サービスのオンライン復旧を開始することができました。最初の数日後、マールスク社の港湾業務は船舶の在庫ファイルの読み取り能力を回復し、オペレーターは港に到着する1万8000個のコンテナを積載した巨大な船舶の積荷内容を把握できるようになりました。しかし、最初の停止から数日後、マールスク社がMaerskline.comを通じて新規貨物の注文受付を開始し、世界中のターミナルがある程度正常に機能し始めるまでには1週間以上かかりました。

その間、マールスクのスタッフは利用可能なあらゆるツールを駆使して業務を遂行した。APM港で輸送コンテナに紙の書類を貼り付け、個人のGmailアカウント、WhatsApp、Excelスプレッドシートを使って注文を受けた。「WhatsAppで500個の輸送コンテナを予約するのは、かなり奇妙な経験だったと思いますが、実際にそうしました」と、マールスクのある顧客は語る。

攻撃から約2週間後、マールスクのネットワークはようやく復旧し、従業員の大部分にパソコンの再発行を開始できる状態になった。コペンハーゲン本社では、建物の地下にあるカフェテリアが再インストールの組立ラインと化していた。ダイニングテーブルには一度に20台ものパソコンが並べられ、ヘルプデスクのスタッフが列を歩き回り、数十台単位でコピーしたUSBドライブを挿入し、何時間もプロンプトをクリックして操作していた。

メイデンヘッドから戻って数日後、ヘンリック・ジェンセンはアルファベット順に並べられた何百台ものノートパソコンの山の中に、自分のノートパソコンを見つけた。ハードディスクは消去され、Windowsのクリーンなイメージがインストールされていた。彼と他のマースク社員全員が自分のパソコンに保存していたメモから連絡先、家族の写真まで、すべてが消えていた。

マースクがNotPetya攻撃から復旧してから5カ月後、同社会長のジム・ハーゲマン・スナベ氏はスイスのダボスで開催された世界経済フォーラムの壇上に立ち、同社のIT復旧活動に投入された「英雄的な努力」を称賛した。スナベ氏によると、スタンフォード大学のカンファレンスに出席予定だった6月27日、午前4時にカリフォルニアで電話に起こされてから、わずか10日間で4,000台のサーバーと45,000台のPCからなるネットワーク全体を再構築できたという。（完全復旧にははるかに長い時間を要した。メイデンヘッド工場の一部の従業員は、マースクのソフトウェア構成を再構築するために、2カ月近く昼夜を問わず作業を続けていた。）「私たちは人間の回復力でこの困難を乗り越えました」とスナベ氏は聴衆に語った。

それ以来、マールスクはサイバーセキュリティの強化だけでなく、それを「競争上の優位性」にすることにも取り組んできたとスネイブ氏は続けた。実際、NotPetya攻撃を受けて、ITスタッフは、要求したセキュリティ機能のほぼすべてがほぼ即座に承認されたと述べている。多要素認証は全社的に導入され、長らく延期されていたWindows 10へのアップグレードも実施された。

しかし、スネイブ氏はNotPetya以前の同社のセキュリティ体制について多くを語らなかった。マースクのセキュリティ担当者はWIREDに対し、攻撃を受けるまで同社のサーバーの一部はWindows 2000を稼働させていたと語った。これはあまりにも古いOSで、マイクロソフトのサポートは既に終了していた。2016年には、IT幹部グループがマースクのグローバルネットワーク全体のセキュリティを事前に再設計するよう求めていた。彼らは、マースクのソフトウェアパッチの不備、時代遅れのOS、そして何よりも不十分なネットワークセグメンテーションを指摘した。特に最後の脆弱性は、ネットワークの一部にアクセスしたマルウェアが、翌年のNotPetyaのように、当初の拠点を超えて広範囲に拡散する可能性があると警告した。

セキュリティ刷新は承認され、予算も計上されました。しかし、その成功はマースク社の最高幹部IT管理者にとっていわゆる重要業績評価指標（KPI）に採用されることはなく、そのため、セキュリティ刷新の実施は彼らのボーナスに反映されませんでした。結局、セキュリティ刷新はその後も進められませんでした。

セキュリティ対策の遅れにより、これほど大きな代償を払わされた企業はそう多くない。ダボスでの講演でスナベ氏は、迅速な対応と手動による回避策のおかげで、NotPetyaによる障害発生時でも輸送量は20%しか減少しなかったと主張した。しかし、事業損失とダウンタイム、そしてネットワーク全体の再構築費用に加え、マールスク社は多くの顧客に対し、置き去りにされた貨物のルート変更や保管費用を補償した。あるマールスク社の顧客は、直前のチャーター便で貨物を輸送した費用として、同社から7桁の小切手を受け取ったと証言した。「わずか2分ほどの話し合いで、なんと100万ドルも支払われたのです」と彼は言う。

スネーブ氏はダボス会議での発言の中で、NotPetyaによるマースクの損害は合計で2億5000万ドルから3億ドルと推定した。WIREDが取材した社員のほとんどは、同社の会計担当者が金額を過小評価したのではないかと個人的に疑っていた。

いずれにせよ、これらの数字は被害の規模を物語るほんの一部に過ぎない。例えば、マールスク所有のターミナルに生計を依存している物流会社は、停電中、マールスクの顧客ほど適切な対応を受けていなかった。ニューアーク港に拠点を置くトラック運送業界団体、バイステート・モーター・キャリアーズ（BMC）のジェフリー・ベイダー会長は、運送会社と運転手の未払い損害額だけでも数千万ドルに上ると推定している。「悪夢でした」とベイダー氏は語る。「多額の損失を被り、憤りを感じています」

マールスクによる混乱が、製品や製造部品のジャストインタイム配送に依存する世界のサプライチェーン全体に及ぼした広範なコストは、測定がはるかに困難です。そしてもちろん、マールスクは1つの被害者に過ぎません。ノットペトヤによって一部の医薬品の製造能力が一時的に停止したメルクは、このマルウェアにより8億7000万ドルという莫大な損失を株主に報告しました。欧州の子会社TNTエクスプレスが攻撃で機能不全に陥り、一部のデータの回復に数か月を要したフェデックスは、4億ドルの打撃を受けました。フランスの建設大手サンゴバンもほぼ同額の損失を被りました。デュレックスコンドームの英国のメーカーであるレキットベンキーザーは1億2900万ドルの損失、チョコレートメーカーのキャドバリーの親会社であるモンデリーズは1億8800万ドルの損害を被りました。公開株主がいない数え切れないほどの被害者が、ひそかに損失を計算しました。

マールスク社の事例を積み重ね、同じ麻痺状態、同じ連続危機、同じ厳しい回復を、数十の他の NotPetya 被害者や数え切れないほどの他の業界で想像し始めて初めて、ロシアのサイバー戦争犯罪の真の規模が明らかになり始める。

「これは非常に重大な警鐘でした」とスナベ氏はダボス会議のパネルで述べた。そして、北欧風の控えめな表現でこう付け加えた。「非常に高価な警鐘だったと言えるでしょう」

NotPetyaの発生から1週間後、ウクライナ警察はSWATの迷彩服を着用し、アサルトライフルで武装してバンから降り、リンコス・グループの質素な本部に突入した。ビン・ラディンの住居に侵入したSEALチーム6のように階段を駆け上がった。

同社の創業者オレシア・リンニク氏によると、警官たちは困惑する従業員たちにライフルを突きつけ、廊下に整列させたという。2階のオフィスの隣にある部屋では、リンニク氏が鍵を差し出したにもかかわらず、武装警官たちが金属製の警棒でドアをこじ開けた。「とんでもない状況でした」と、リンニク氏は苛立ちを隠せない様子で深呼吸をした後、そう語った。

武装警察部隊はついに探し求めていたものを発見した。NotPetyaの蔓延において最初の感染者となったサーバーのラックだ。彼らは問題のマシンを押収し、ビニール袋に詰めた。

攻撃の壊滅的な拡散から1年以上が経った今でも、サイバーセキュリティの専門家たちはNotPetyaの謎をめぐって議論を続けている。ハッカーたちの真の意図は何だったのか？オレフ・デレビアンコ氏やオレクシー・ヤシンスキー氏を含む、セキュリティ企業ISSPのキエフのスタッフは、攻撃は単なる破壊ではなく、クリーンアップを目的としていたと主張している。そもそも、最初に攻撃を開始したハッカーたちは、被害者のネットワークに何ヶ月も自由にアクセスできたのだ。NotPetyaは、パニックと混乱を引き起こしただけでなく、スパイ活動や将来の妨害のための偵察の証拠さえも消し去った可能性がある。5月には、米国司法省とウクライナの治安当局が、主にウクライナにある50万台のインターネットルーターを新種の破壊的マルウェアに感染させたロシアの作戦を阻止したと発表したばかりだ。

セキュリティコミュニティの多くは依然としてNotPetyaの国際的な被害者を巻き添え被害と見ていますが、シスコのクレイグ・ウィリアムズ氏は、ロシアはこのワームが国際的にどれほどの痛手をもたらすかを十分に認識していたと主張しています。彼は、このワームによる影響は、ロシアの敵国国内にオフィスを構える者さえも明確に罰することを意図していたと主張しています。「これが偶発的なものだと思う人は、希望的観測に陥っています」とウィリアムズ氏は言います。「これは、ウクライナでビジネスをすれば、悪いことが起きるという政治的メッセージを送るために設計されたマルウェアだったのです。」

しかし、NotPetyaを研究したほぼ全員が、ある点に同意している。それは、再び発生する可能性があり、さらにはより大規模に再発する可能性もあるということだ。グローバル企業は相互に繋がりすぎており、情報セキュリティは複雑すぎ、攻撃対象領域は広範すぎるため、国家が訓練したハッカーが世界を揺るがす次のワームをリリースしようと躍起になっている状況から身を守ることは不可能だ。一方、ロシアは、NotPetyaに対する米国政府の制裁措置にほとんど懲りていないようだ。制裁はワーム発生から実に8ヶ月も経ってから発動され、その内容は2016年の選挙偽情報から米国の電力網へのハッカーによる調査まで、ロシアを非難する他のメッセージと混同されていた。「適切な対応の欠如は、事態のエスカレーションを招いているようだ」と、ジョンズ・ホプキンス大学高等国際問題研究大学院の政治学教授、トーマス・リド氏は述べている。

しかし、NotPetyaが残した最も永続的な教訓は、サイバー戦争の戦場における奇妙で異次元的な地形なのかもしれない。これはサイバー戦争の不可解な地理だ。キエフの片隅にあるMEDocのサーバールームに潜む幽霊たちは、人間の直感をも無視する形で、首都の連邦機関のきらびやかな会議室、世界中に点在する港、コペンハーゲン港に佇むマールスク社の威厳ある本社、そして世界経済全体に混乱を広げた。「このウクライナの会計ソフトウェアの脆弱性が、どういうわけか米国の国家安全保障におけるワクチン供給と世界の海運に影響を与えているのだろうか？」と、アトランティック・カウンシルのサイバーセキュリティ研究員、ジョシュア・コーマンは、まるでこの因果関係を可能にしたワームホールの形状をいまだに解明できていないかのように問いかける。「サイバー空間の物理法則は、他のあらゆる戦場とは全く異なるのだ。」

NotPetyaは、この物理法則において、距離は防御にはならないことを私たちに思い出させてくれる。あらゆる蛮族はすでにあらゆる門に潜んでいる。そして、過去25年間世界を統一し、高めてきたエーテルの絡み合いのネット​​ワークは、夏の日の数時間で、世界を崩壊させてしまう可能性があるのだ。

アンディ・グリーンバーグ （@a_greenberg）はWIREDのシニアライターです。この記事は、 Doubleday社より近日刊行予定の著書『 Sandworm』からの抜粋です。

この記事は9月号に掲載されます。 今すぐ購読をお願いします。

WIREDのその他の素晴らしい記事

• シリアの終わりなき内戦の中、テクノロジーで命を救う
• ブロックチェーン投票の革新的な計画を持つ男に会う
• なぜこれらのクモはフェイスペイントとつけまつげをつけているのか
• 『アベンジャーズ／インフィニティ・ウォー』に登場するヒーローたちのすべて
• 3Dプリンターが連邦銃規制法の誤りを暴く
• もっと知りたいですか？毎日のニュースレターに登録して、最新の素晴らしい記事を見逃さないでください。