史上最も欺瞞的なハッキング「オリンピック・デストロイヤー」の内幕

2018年2月9日午後8時直前、韓国北東部の山岳地帯、平昌オリンピックスタジアムの広大な五角形のフロアから数十列ほど離れたプラスチック製の椅子に、オ・サンジン選手が座っていた。氷点下に近い寒さにもかかわらず、彼はグレーと赤のオリンピック公式ジャケットを着て温かく、記者席の後ろの席からは数百フィート先にある円形のステージがはっきりと見えた。2018年冬季オリンピックの開会式が始まろうとしていた。

屋根のない建物の周囲の照明が暗くなると、3万5000人の観客の間に期待のざわめきが広がり、スマートフォンの画面が蛍のようにスタジアムを漂った。その期待を最も強く感じたのは、オー氏だった。47歳の公務員である彼は、3年以上にわたり平昌オリンピック組織委員会の技術担当ディレクターを務めていた。彼は、1万台以上のPC、2万台以上のモバイルデバイス、6300台のWi-Fiルーター、そしてソウルにある2つのデータセンターに設置された300台のサーバーからなる、オリンピックのためのITインフラの構築を監督してきた。

あの膨大な機械群は、ほぼ完璧に機能しているように見えた。30分前、彼は悩まされている技術的な問題について連絡を受けていた。問題の原因は、オリンピックがさらに100台のサーバーをレンタルしていたIT企業、請負業者だった。その業者の不具合は長年の悩みの種だった。オーの反応は苛立ちに満ちていた。世界中が見守る今、まだ会社はバグを解決しているのか？

しかし、ソウルのデータセンターからはそのような問題は報告されておらず、オーのチームは請負業者とのトラブルは対処可能だと考えていた。請負業者が既に一部の観客の入場チケットの印刷を阻止していることを、オーはまだ知らなかった。そこで彼は席に着き、自身のキャリアにおけるハイライトとなる試合を見守る準備を整えた。

午後8時10秒前、子供たちの合唱団が韓国語でイベントの開始をカウントダウンする中、ステージの周囲に投影された光の中に数字が一つずつ現れ始めた。

「シプ！ …グ！ …パル！ …チル！」

カウントダウンの最中、オーのSamsung Galaxy Note8が突然点灯した。下を見ると、韓国の人気メッセージアプリ「カカオトーク」で部下からのメッセージが届いていた。メッセージには、オーがまさにその瞬間に受け取ることができたであろう最悪のニュースが書かれていた。オリンピックのITインフラのバックボーンを成すサーバー群、ソウルのデータセンターにあるすべてのドメインコントローラーが何らかの理由でシャットダウンされるというのだ。

開会式が始まると、スタジアム周辺では何千発もの花火が合図とともに打ち上がり、数十体の巨大な人形と韓国のダンサーたちがステージに登場した。オーはそれを全く見ていなかった。ITシステム全体がダウンするのを目の当たりにしながら、彼はスタッフと怒り狂ってメッセージを送っていた。彼はすぐに、パートナー企業からの報告が単なる不具合ではないことに気づいた。それは、進行中の攻撃の最初の兆候だったのだ。彼は技術運用センターへ向かう必要があった。

呉氏が記者席から出口に向かって歩いていると、周囲の記者たちは既にWi-Fiが突然使えなくなったと不満を漏らし始めていた。スタジアム周辺と他の12のオリンピック施設に設置された、式典を映し出すインターネット接続された数千台のテレビが真っ暗になった。オリンピック施設に入るRFIDベースのセキュリティゲートはすべてダウンしていた。オリンピック公式アプリも、デジタルチケット機能を含め、機能不全に陥っていた。バックエンドサーバーにデータを取得しようとしたが、突然何も提供されなくなったのだ。

平昌オリンピック組織委員会は、この事態に備えていた。サイバーセキュリティ諮問委員会は2015年以降、20回も会合を開いた。前年の夏には早くも、サイバー攻撃、火災、地震といった災害を想定した訓練を実施していた。しかし、悪夢のようなシナリオの一つが現実に起こりつつある今、オーは苛立ちと非現実的な感情を抱き始めた。「本当に起こってしまった」と、まるで悪夢だったという感覚を振り払おうとするかのように、オーは思った。

群衆をかき分けてスタジアムの出口まで走り、冷たい夜風の中、駐車場を横切った。そこに他のITスタッフ2人が合流した。彼らはヒュンダイのSUVに飛び乗り、山を抜けて東へ45分のドライブを開始した。オリンピックの技術オペレーションセンターがある江陵市へ向かった。

車の中から、オーはスタジアムのスタッフに電話をかけ、記者たちにWi-Fiホットスポットを配布し始めるように、また、RFIDシステムがすべてダウンしているため、警備員にバッジを手動でチェックするように伝えるように指示した。しかし、それは彼らの心配事の中では些細なことだった。オーは、あと2時間ちょっとで開会式が終了し、何万人もの選手、来賓、観客がWi-Fi接続も、スケジュール、ホテル情報、地図などが満載のオリンピックアプリにもアクセスできないことに気づくだろうことを知っていた。その結果は、屈辱的な混乱となるだろう。翌朝までにサーバーを復旧できなければ、食事からホテル予約、イベントのチケット販売まですべてを担当する組織委員会のITバックエンド全体が、実際のゲームが始まってもオフラインのままになるだろう。そして、世界で最もインターネットが普及した国の一つで、オリンピックを襲ったことのない一種の技術的大失態が繰り広げられることになるのだ。

オー氏は開所式が半ばを過ぎた午後9時、江陵の技術運用センターに到着した。センターは150人の職員のための机とコンピューターが置かれた大きなオープンルームで、壁一面はスクリーンで覆われていた。オー氏が中に入ると、多くの職員が密集して立ち、今回の攻撃への対応を不安げに話し合っていた。メールやメッセージといった基本的なサービスの多くにアクセスできなくなっていたため、事態はさらに悪化していた。

オリンピックスタッフのドメインコントローラー（ネットワーク内のどのコンピュータにどのスタッフがアクセスできるかを管理する強力なマシン）9台すべてが何らかの理由で麻痺し、システム全体が麻痺状態に陥っていました。スタッフは一時的な回避策を講じました。Wi-Fiやインターネット接続テレビなど、基本的なサービスを提供する、生き残ったサーバーすべてを、停止したゲートキーパーマシンをバイパスするように設定しました。こうして、式典終了のわずか数分前に、必要最低限​​のシステムをオンラインに戻すことができました。

その後2時間にわたり、エンジニアたちはドメインコントローラーを再構築し、より長期的かつ安全なネットワークを再構築しようと試みましたが、サーバーが機能不全に陥っていることを何度も発見しました。システム内には依然として悪意のある存在が残っており、再構築が間に合うよりも早くマシンに混乱をきたしていました。

真夜中の数分前、オー氏と管理者たちは、仕方なく苦肉の策を講じた。内部にまだ潜んでいると推測される破壊工作員からネットワークを隔離するため、ネットワーク全体をインターネットから遮断するというのだ。つまり、オリンピックの公式ウェブサイトさえも含め、あらゆるサービスを停止し、マシンを内部から破壊しているマルウェア感染の根絶に取り組むことを意味した。

残りの夜、オー氏とスタッフはオリンピックのデジタル神経系の再構築に奔走した。午前5時までに、韓国のセキュリティ請負業者AhnLabは、オー氏のスタッフがネットワーク内の数千台のPCとサーバーを、謎のマルウェアから保護するためのウイルス対策シグネチャの作成に成功した。オー氏によると、このマルウェアは単にwinlogon.exeと名付けられていたという。

午前6時30分、オリンピックの管理者は、ハッカーが盗んだ可能性のあるアクセス手段をすべて遮断しようと、スタッフのパスワードをリセットした。午前8時前、オリンピックへのサイバー攻撃開始からほぼ12時間後、オー氏と不眠不休のスタッフはバックアップからのサーバーの再構築を終え、すべてのサービスの再起動を開始した。

驚くべきことに、それはうまくいった。当日のスケートとスキージャンプ競技は、Wi-Fiのトラブルが数回あった程度で、ほとんど問題なく行われた。R2-D2風のロボットがオリンピック会場内を動き回り、床を掃除機で掃除したり、水のボトルを運んだり、天気予報を映し出したりしていた。ボストン・グローブ紙の記者は後に、この大会を「完璧に運営されていた」と評した。USAトゥデイ紙のあるコラムニストは、「これほど多くの要素がすべて時間通りに動いたオリンピックはかつてなかっただろう」と記している。何千人もの選手と何百万人もの観客は、オリンピックスタッフが初日の夜、イベント全体を混乱に陥れようとする見えない敵と戦っていたことに、全く気づかなかった。

攻撃から数時間後、開会式中にオリンピックのウェブサイト、Wi-Fi、アプリに不具合が発生したという噂がサイバーセキュリティコミュニティで少しずつ広まり始めた。開会式から2日後、平昌オリンピック組織委員会は実際にサイバー攻撃を受けたことを認めた。しかし、誰がその背後にいたのかについてはコメントを拒否した。委員会の対応を主導したオー氏は、WIREDの取材に対し、攻撃の出所に関するいかなるコメントも拒否した。

この事件はたちまち国際的なミステリーとなった。一体誰がオリンピックをハッキングする勇気を持つというのか？平昌へのサイバー攻撃は、おそらく史上最も巧妙なハッキング作戦だった。犯人捜しのフォレンジックアナリストたちを、かつてないほど洗練された手段で翻弄したのだ。

攻撃元を特定することの難しさ、いわゆる「アトリビューション問題」は、インターネットの黎明期からサイバーセキュリティを悩ませてきました。高度な技術を持つハッカーは、迂回的なプロキシや袋小路を経由して接続経路を定めるため、その痕跡を辿ることはほぼ不可能です。しかし、フォレンジックアナリストは、コード内の手がかり、インフラの接続、そして政治的動機を結びつけることで、他の手段でハッカーの身元を特定する方法を習得してきました。

しかしここ数年、国家支援のサイバースパイや破壊工作員は、新たな手口、すなわち偽旗作戦を試すようになってきている。セキュリティアナリストと一般市民の両方を欺くために考案された、進化を続けるこの欺瞞行為は、ハッカーの身元に関する虚偽の噂を生み出し、政府が諜報機関の公式調査結果を発表した後でさえ、その噂を払拭するのは困難だ。こうした公式調査結果が数週間から数ヶ月も経ってから発表されることも多く、しかも、秘密の捜査手法や情報源を守るため、最も説得力のある証拠が編集されているのも、事態を悪化させている。

たとえば、 2014年に北朝鮮のハッカーがソニー・ピクチャーズに侵入し、金正恩暗殺を描いたコメディ映画『ザ・インタビュー』の公開を阻止しようとしたとき、彼らは「Guardians of Peace（平和の守護者）」と呼ばれるハクティビスト集団をでっち上げ、「金銭的賠償」という漠然とした要求で捜査官たちを惑わそうとした。FBIが公式に北朝鮮を犯人と名指しし、ホワイトハウスが懲罰として金政権に新たな制裁を課した後も、複数のセキュリティ企業は、この攻撃は内部犯行に違いないと主張し続け、この話はWIREDを含む多数の報道機関に取り上げられた。

2016年、ロシアの国家支援を受けたハッカー集団が民主党全国委員会とヒラリー・クリントン陣営のメールを盗み出し、漏洩させた事件で、クレムリンが同様に陽動作戦と隠蔽工作を仕掛けていたことが今や明らかになった。クレムリンはハッキングの功績を自分のものにするため、「グッチファー2.0」という名のルーマニア人ハッカーをでっち上げた。また、殺害された民主党全国委員会職員セス・リッチが組織内部からメールを漏洩したという噂も流布し、盗まれた文書の多くを「DCリークス」という偽の内部告発サイトを通じて配布した。こうした欺瞞は陰謀論となり、右翼コメンテーターや当時の大統領候補ドナルド・トランプによって煽られた。

こうした欺瞞行為は、不信感という自己永続的なウロボロスを生み出した。懐疑論者は、漏洩された文書におけるロシア語の書式エラーなど、クレムリンの罪を示す明白な手がかりさえも無視し、それらの兆候を仕組まれた証拠と見なした。4ヶ月後、米国の情報機関がロシアを犯人と名指しした共同声明を出しても、不信感を持つ人々の確信は揺るがなかった。こうした不信感は今日でも続いている。今年初めのエコノミスト／ユーガブの世論調査では、ロシアが選挙に介入したと信じるアメリカ人はわずか半数程度だった。

平昌オリンピックを襲ったマルウェアによって、デジタルデセプションの技術は飛躍的に進歩しました。捜査官たちは、そのコードの中に単なる偽旗攻撃ではなく、複数の潜在的犯人を示唆する幾重にも重なった偽の手がかりを発見しました。そして、それらの手がかりの中には、サイバーセキュリティアナリストがかつて見たこともないほど深く隠されたものもありました。

オリンピック妨害工作の背後にある地政学的な動機は、当初から全く明らかではありませんでした。韓国へのサイバー攻撃の常套手段は、言うまでもなく北朝鮮です。この隠遁​​国家は長年にわたり、軍事的挑発や小規模なサイバー戦争で資本主義の隣国を苦しめてきました。オリンピック開催直前、サイバーセキュリティ企業マカフィーのアナリストは、韓国語を話すハッカーが平昌オリンピックの組織委員会をフィッシングメールやスパイ活動とみられるマルウェアで標的にしていると警告していました。当時、マカフィーのアナリストは私との電話会議で、このスパイ計画の背後には北朝鮮がいる可能性が高いと示唆しました。

しかし、公の場では矛盾したシグナルが流れていた。オリンピック開幕と同時に、北朝鮮は地政学的な面でより友好的なアプローチを試みているように見えた。北朝鮮の独裁者、金正恩は妹を外交使節としてオリンピックに派遣し、韓国の文在寅大統領を北朝鮮の首都平壌に招待した。両国は友好を示すため、オリンピック女子アイスホッケーチームを合同で開催するという驚くべき措置さえ取った。こうした魅力攻勢の最中に、北朝鮮はなぜ妨害的なサイバー攻撃を仕掛けたのだろうか？

そしてロシア。クレムリンには平昌への攻撃の独自の動機があった。2018年オリンピックを前に、ロシア選手のドーピング調査は屈辱的な結果に繋がっていた。ロシアは出場禁止処分を受けたのだ。選手たちは競技に参加することは許されたものの、ロシア国旗の着用や、国を代表してメダルを受け取ることは認められなかった。この判決に至るまでの数年間、ロシアの国営ハッカー集団「ファンシー・ベア」が報復としてオリンピック関連の標的からデータを盗み出し、漏洩していた。ロシアのオリンピックからの追放は、まさにクレムリンが開会式に破壊的なマルウェアを仕掛けるきっかけとなり得る、ある種の軽蔑だった。ロシア政府がオリンピックを楽しめなければ、誰も楽しめないだろう。

しかし、ロシアがオリンピックのサーバーへの攻撃でメッセージを送ろうとしていたとしても、それは直接的なものとは言い難い。開会式の数日前、ロシアはオリンピックを狙ったハッキン​​グ行為を事前に否定していた。「韓国での冬季オリンピック開催に関連する情報源へのハッキング攻撃において、『ロシアの指紋』というテーマで、西側メディアが疑似捜査を計画していることは承知している」とロシア外務省はロイター通信に語っていた。「もちろん、世界に向けて証拠を提示するつもりはない」

実際、ロシアの責任を漠然と示唆する証拠は数多く存在するはずだった。問題は、すぐに明らかになるのだが、他の様々な方向を指し示す証拠も同程度存在するように思われたことだ。

開会式の3日後、シスコのセキュリティ部門Talosは、オリンピックを標的としたマルウェアのコピーを入手し、解析したことを明らかにした。オリンピック組織委員会の関係者か、韓国のセキュリティ企業AhnLabが、サイバーセキュリティアナリストが利用するマルウェアサンプルの共通データベースであるVirusTotalにコードをアップロードしていたとみられる。シスコのリバースエンジニアリング担当者は、このコードを発見した。同社は調査結果をブログ記事で公開し、このマルウェアに「Olympic Destroyer」という名前が付けられた。

シスコによるオリンピック・デストロイヤーの構造に関する説明は、概ね、ロシアによる過去の2つのサイバー攻撃、NotPetyaとBad Rabbitを想起させるものでした。これらの以前の攻撃と同様に、オリンピック・デストロイヤーはパスワード窃取ツールを使用し、窃取したパスワードをWindowsのリモートアクセス機能と組み合わせることで、ネットワーク上のコンピュータ間で拡散しました。最後に、データ破壊コンポーネントを使用して感染マシンのブート構成を削除し、すべてのWindowsサービスを無効化してコンピュータをシャットダウンし、再起動できないようにしました。セキュリティ企業CrowdStrikeのアナリストは、他にもロシアを示唆する特徴を発見しました。それらは、XDataと呼ばれるロシアのランサムウェアに類似していました。

しかし、Olympic Destroyerと以前のNotPetyaやBad Rabbitワームの間には、明確なコード上の一致は見られなかったようです。類似した機能が含まれていたとはいえ、それらは明らかにゼロから作り直されたか、あるいは他の場所からコピーされたものだったようです。

アナリストが深く調査するほど、手がかりはますます奇妙になっていった。Olympic Destroyerのデータ消去部分は、ロシアではなく、Lazarusとして知られる北朝鮮のハッカー集団が使用したデータ消去コードのサンプルと特徴を共有していた。シスコの研究者がデータ消去コンポーネントの論理構造を並べて比較したところ、ほぼ一致しているように見えた。そして、どちらのファイルも、最初の4,096バイトだけを削除するという、同じ特徴的な手法でファイルを破壊していた。結局、この攻撃の背後には北朝鮮がいたのだろうか？

全く異なる方向へと導く兆候がさらにいくつかあった。セキュリティ企業Intezerは、Olympic Destroyerのパスワード窃取コードの一部が、APT3と呼ばれるハッカー集団が使用するツールと完全に一致したと指摘した。APT3は複数のサイバーセキュリティ企業が中国政府との関連性を指摘している集団である。同社はまた、Olympic Destroyerが暗号鍵生成に使用していたコンポーネントを、やはり中国との関連性が指摘されている第三の集団APT10にまで遡って追跡した。Intezerは、同社のアナリストの知る限り、この暗号コンポーネントは他のハッカー集団によって使用されたことはなかったと指摘した。ロシア？北朝鮮？中国？フォレンジックアナリストがOlympic Destroyerのコードをリバースエンジニアリングすればするほど、解決への道は遠のくように見えた。

実際、それら矛盾する手がかりは、アナリストを単一の誤った答えに導くのではなく、複数の手がかりを積み重ね、特定の結論を覆すように設計されていたようだ。この謎は認識論的危機となり、研究者たちは自らを疑うようになった。「リバースエンジニアリングを行う者に対する心理戦だった」と、当時CrowdStrikeで働いていたセキュリティ研究者のサイラス・カトラーは語る。「バックアップチェックで行われるあらゆる行動に引っ掛かり、『これは何か分かっている』と思わせる。そして、彼らを蝕んでいったのだ」

オリンピックへの妨害効果と同様に、この自己不信こそがマルウェアの真の狙いだったようだと、シスコの研究員クレイグ・ウィリアムズ氏は語る。「マルウェアは任務を達成したと同時に、セキュリティコミュニティにメッセージを送りました」とウィリアムズ氏は言う。「騙される可能性があるのです」

オリンピック組織委員会は、オリンピック・デストロイヤーの唯一の被害者ではなかったことが判明した。ロシアのセキュリティ企業カスペルスキーによると、このサイバー攻撃はオリンピックに関係する他の標的にも及んだ。その中には、オリンピックを支援していたフランスのITサービスプロバイダーAtosや、平昌の2つのスキー場も含まれていた。そのうちの1つのスキー場は深刻な感染に見舞われ、自動ゲートとリフトが一時的に麻痺した。

開会式への攻撃から数日後、カスペルスキーのグローバル調査分析チームは、スキーリゾートの一つからオリンピック・デストロイヤーマルウェアのコピーを入手し、指紋の調査を開始しました。しかし、シスコやインテザーが行ったようにマルウェアのコードに焦点を当てるのではなく、彼らは「ヘッダー」に注目しました。これはファイルのメタデータの一部であり、どのようなプログラミングツールを使って作成されたかを示す手がかりが含まれています。このヘッダーをカスペルスキーの膨大なマルウェアサンプルデータベース内の他のヘッダーと比較したところ、北朝鮮のハッカー集団「ラザルス」のデータ消去マルウェアのヘッダーと完全に一致しました。このマルウェアは、シスコがオリンピック・デストロイヤーと共通の特徴を持つと既に指摘していたものと同じものでした。北朝鮮による攻撃説は確証を得たようです。

しかし、カスペルスキーの上級研究員であるイゴール・ソウメンコフは、さらに一歩踏み出すことを決意した。数年前に10代の頃にカスペルスキーの研究チームに採用された天才ハッカーであるソウメンコフは、ファイルヘッダーに関する類まれな深い知識を持っており、同僚たちの調査結果を改めて検証することにした。

背が高く物静かなエンジニアであるソウメンコフ氏は、朝遅くに出勤し、暗くなってからもカスペルスキー本社に滞在する習慣があった。モスクワの交通渋滞を避けるため、彼は部分的に夜行性のスケジュールを維持していた。

ある晩、同僚たちが帰宅する中、彼は渋滞するレニングラーツコエ・ハイウェイを見下ろすキュービクルでコードをじっくりと調べた。その夜が明ける頃には交通量は減り、オフィスにはほぼ一人きりになっていた。そして、ヘッダーのメタデータがオリンピック・デストロイヤーのコード自体にある他の手がかりと一致していないことを突き止めた。このマルウェアは、ヘッダーが示唆するようなプログラミングツールで書かれていなかったのだ。メタデータは偽造されていたのだ。

これは、研究者たちがこれまで執着してきた他のあらゆるミスディレクションの兆候とは一線を画すものだった。オリンピック・デストロイヤーの他のレッドニシンは、どの手がかりが本物でどれが偽物か見分ける方法がなかったため、非常に厄介だった。しかし今、ソウメンコフはオリンピック・マルウェアにまつわる偽旗の奥深くに、明らかに偽物である一つの旗を見つけた。誰かがマルウェアを北朝鮮製に見せかけようとしたが、ちょっとしたミスで失敗したことは明白だった。カスペル​​スキーによる綿密な三重チ​​ェックによって、ようやくそれが明らかになったのだ。

数ヶ月後、私はモスクワのカスペルスキー会議室でソウメンコフ氏と面会した。1時間に及ぶ説明の中で、彼は完璧な英語とコンピュータサイエンスの教授のような明快さで、オリンピック・デストロイヤーのメタデータの奥深くに潜む欺瞞工作をいかにして阻止したかを説明した。彼が私に説明したと思われる内容を要約すると、オリンピックへの攻撃は明らかに北朝鮮によるものではないということだった。「全く北朝鮮らしくない」とソウメンコフ氏も同意した。

オリンピック・デストロイヤーには、初期に一部の研究者を騙した、より分かりやすい偽コードが隠されていたにもかかわらず、これは確かに中国製ではないと私は主張した。「中国のコードは非常に見分けやすいのに、これは違うようだ」とソウメンコフ氏も再び同意した。

ついに私は、この際立った疑問を投げかけた。中国でも北朝鮮でもないなら、一体誰が？ まるで、この消去法の結論は、会議室で既に我々の目の前にあったのに、声に出して言うことができなかったかのようだった。

「ああ、その質問にはいいゲームを持ってきたよ」とソウメンコフは、どこか元気な口調で言った。彼は小さな黒い布袋を取り出し、そこからサイコロを一組取り出した。小さな黒いサイコロの各面には、「アノニマス」「サイバー犯罪者」「ハクティビスト」「アメリカ」「中国」 「ロシア」「ウクライナ」「サイバーテロリスト」「イラン」といった言葉が書かれていた。

カスペルスキーは、他の多くのセキュリティ企業と同様に、ハッカーへの攻撃は自社独自のニックネームシステムを用いてのみ特定するという厳格な方針をとっており、ハッキング事件やハッカーグループの背後にある国や政府の名前を決して公表しない。これは、攻撃の帰属特定という曖昧で、しばしば政治的な落とし穴を避ける最も安全な方法だ。しかし、ソウメンコフ氏が手に持っていた、いわゆる「帰属サイコロ」は、私が以前ハッカー会議で見たことのあるもので、帰属特定問題を最も冷笑的に誇張したものだった。つまり、サイバー攻撃の出所を真に追跡することは不可能であり、追跡を試みる者はただ推測しているに過ぎない、というものだ。

ソウメンコフはテーブルにサイコロを投げた。「犯人特定は難しいゲームだ」と彼は言った。「誰が背後にいるのか？これは私たちの話ではないし、これからも決してそうはならないだろう」

マイケル・マトニスは、ワシントン D.C. のキャピトル・ヒル地区にある 400 平方フィートの地下アパートの自宅で仕事をしていたとき、オリンピック・デストロイヤーの謎を解く糸を紡ぎ始めた。28 歳のマトニスは、かつてはアナーキストのパンクからセキュリティ研究者に転身し、黒くカールした髪をふんわりと整えていた。ニューヨーク州北部からワシントン D.C. に引っ越してきたばかりで、勤務先のバージニア州レストンにあるセキュリティおよび民間諜報会社ファイア・アイのオフィスにはまだ机がなかった。そのため、2 月に平昌を襲ったマルウェアの調査を開始した日、マトニスはその間に合わせの仕事場、つまり折りたたみ式の金属製の椅子とプラスチックのテーブルの上に立てかけたラップトップに座っていた。

マトニスは思いつきで、当惑するセキュリティ業界の他の多くの人々とは異なるアプローチを試みることにした。マルウェアのコードに手がかりを探すのではなく、攻撃から数日後、マトニスは作戦のはるかにありふれた要素、つまり、ほぼ壊滅的な結果に終わった開会式妨害作戦の第一段階として使われた、マルウェアに感染した偽のWord文書に着目したのだ。

オリンピックのVIP代表のリストが含まれているとみられるこの文書は、オリンピック関係者に添付ファイルとして送信された可能性が高い。添付ファイルを開くと、悪意のあるマクロスクリプトが実行され、PCにバックドアが仕掛けられる。これは、オリンピック関係者にとって標的ネットワークへの最初の足掛かりとなる。マトニス氏が、インシデント対応者がアップロードしたマルウェアリポジトリであるVirusTotalから感染文書を取得したところ、この罠はオリンピック開催の2ヶ月以上前の2017年11月下旬にオリンピック関係者に送られた可能性が高いことがわかった。ハッカーたちは、論理爆弾を作動させるまで数ヶ月も待ち伏せしていたのだ。

マトニス氏は、VirusTotalとFireEyeのマルウェア履歴コレクションをくまなく調べ、そのコードサンプルに一致するものを探した。最初のスキャンでは何も見つからなかった。しかし、アーカイブから数十個のマルウェア感染文書が、彼のファイルの大まかな特徴と一致していることに気づいた。それらには同様にWordマクロが埋め込まれており、オリンピックを標的としたファイルと同様に、「PowerShell Empire」と呼ばれる一般的なハッキングツールセットを起動するように構築されていた。しかし、悪意のあるWordマクロトラップはそれぞれ独自の難読化レイヤーを備えており、それぞれ大きく異なっていた。

その後2日間、マトニスは難読化の中に手がかりとなりそうなパターンを探した。ノートパソコンの前に座っていない時は、シャワーを浴びたり、アパートの床に寝転がって天井を見上げたりしながら、頭の中でパズルを解いていた。そしてついに、マルウェア検体のエンコードに、ある重要なパターンを見つけた。マトニスは、ハッカーにその手口を知られてしまうことを恐れ、この発見の詳細を私に教えてくれなかった。しかし、マトニスは、10代のパンク・ロック・バンドが皆、ジャケットに無名バンドのボタンをピンで留め、同じ髪型にしているように、エンコードされたファイルを個別に見せようとした結果、かえって一群のファイルが明確に認識できるグループになってしまっていることに気づいた。彼はすぐに、ノイズの中にあるその信号の源は、罠が仕掛けられた文書それぞれを作成するために使われた共通のツールだと推測した。それは、オンラインで簡単に見つかるオープンソース・プログラム、「Malicious Macro Generator」だった。

マトニスは、ハッカーたちが他のマルウェア作成者集団に溶け込むためにこのプログラムを選んだが、最終的には逆効果となり、彼らを独自の集団として際立たせてしまったと推測した。共有ツール以外に、マルウェアグループは、マトニスがファイルのメタデータから引き出した作成者名によっても結び付けられていた。ほぼすべてのファイルが、「AV」、「BD」、「john」のいずれかという名前の人物によって書かれていた。彼が、マルウェアが接続していたコマンドアンドコントロールサーバー（感染が成功した場合の操り人形を制御する文字列）を確認すると、それらのマシンのIPアドレスも、ごく一部を除いて重複していた。指紋はほとんど正確ではなかった。しかし、その後数日かけて、彼はゆるやかな手がかりを組み立て、それが偽のWord文書を結び付ける強固なネットワークとなった。

マトニスは、これらの隠されたつながりを突き止めた後で初めて、各マルウェアサンプルの媒体として使われていたWord文書を再度確認し、キリル文字で書かれたものも含め、その内容をGoogle翻訳で翻訳し始めた。オリンピック・デストロイヤーの餌に関連付けたファイルの中に、マトニスは2017年に遡る2つの餌文書を発見した。これらはウクライナのLGBT活動家グループを標的としているようで、感染ファイルはゲイ権利団体の戦略文書やキエフ・プライドパレードの地図を装っていた。他にも、ウクライナの企業や政府機関を標的とし、汚染された法案草案のコピーを配布していたものもあった。

マトニス氏にとって、これは不吉なほど馴染み深い領域だった。2年以上もの間、彼とセキュリティ業界の他の人々は、ロシアがウクライナに対して一連の破壊的なハッキング作戦を開始するのを見てきた。それは、親西側だった2014年のウクライナ革命後のロシアの同国侵攻に伴う容赦ないサイバー戦争だった。

この物理的な戦争でウクライナで1万3000人が死亡し、数百万人が避難を余儀なくされた一方で、「サンドワーム」として知られるロシアのハッカー集団は、ウクライナに対して本格的なサイバー戦争を仕掛けていた。彼らはウクライナの企業、政府機関、鉄道、空港に対し、データを破壊する侵入攻撃を次々と仕掛けた。その中には、2015年と2016年にウクライナの電力会社に前例のない2件の侵入事件が発生し、数十万人が停電に見舞われたことが含まれる。これらの攻撃は、ウクライナ国境を越えて急速に拡散し、最終的に世界中のネットワークに100億ドルの損害を与えたワーム「NotPetya」へと発展した。これは史上最悪のサイバー攻撃である。

マトニスの頭の中では、オリンピック攻撃の他の容疑者はすべて消え去った。マトニスはまだこの攻撃を特定のハッカー集団と結びつけることはできなかったが、平昌攻撃のほぼ1年前に、後にオリンピック組織委員会へのハッキングに利用されるのと同じインフラを使ってウクライナを標的にしていた国は一つしかなかった。それは中国でも北朝鮮でもない。

奇妙なことに、マトニスが発掘したコレクションの中にあった他の感染文書は、ロシアのビジネス界や不動産業界の人々を標的にしていたようだ。ロシアのハッカーチームが、諜報機関の責任者から依頼を受けて、ロシアのオリガルヒをスパイする任務を負っていたのだろうか？彼らは副業として、営利目的のサイバー犯罪に手を染めていたのだろうか？

いずれにせよ、マトニス氏は、オリンピックへのサイバー攻撃の偽旗作戦を最終的に決定的に打ち破り、その真の出所であるクレムリンを明らかにできる途中であると感じていた。

マトニスは、オリンピック・デストロイヤーと、非常によく知られたロシアのハッキング被害者集団との間に、最初の、そしてスリリングな関連性を見出した後、オリンピック・デストロイヤーの開発者が研究者に見せることを意図していた部分を超えて調査を進め、偽旗作戦のカーテンの裏側を覗き込んでいると感じた。彼は、ハッカーたちの完全な正体を暴くために、どこまで突き詰められるかを探りたかった。そこで彼は上司に、当面はファイア・アイのオフィスに出社しないと伝えた。それから3週間、彼はバンカー・アパートからほとんど出なかった。同じ折りたたみ椅子に座り、自宅で唯一日光が差し込む窓に背を向け、ノートパソコンで作業し、ハッカーたちの次の標的集団を明らかにする可能性のあるあらゆるデータポイントを精査した。

インターネット以前の時代、探偵は電話帳を調べることから人物の基本的な捜索を始めるでしょう。マトニスは、オンライン版のそれ、つまりドメインネームシステムと呼ばれるウェブのグローバルネットワークのディレクトリを掘り下げ始めました。DNSサーバーは、facebook.comのような人間が読めるドメインを、69.63.176.13のような、そのサイトやサービスを実行しているネットワーク上のコンピューターの所在地を示す、機械が読めるIPアドレスに変換します。

マトニスは、ハッカーたちが悪意あるWord文書フィッシング攻撃においてコマンド＆コントロールサーバーとして利用したすべてのIPアドレスを丹念に調べ始めた。それらのIPアドレスがホストしていたドメインを突き止めたかったのだ。ドメイン名はマシン間で移動する可能性があるため、彼は逆引き検索ツールも使って検索範囲を反転させ、すべてのドメイン名を他のどのIPアドレスがホストしていたかを確認した。彼はオリンピック攻撃に関連する数十のIPアドレスとドメイン名を繋ぐ、樹形的な地図を作成した。そして、ある樹木の枝のずっと先に、マトニスの脳裏にネオンのように輝く文字列が浮かび上がった。「account-loginserv.com」。

情報分析官にとって、写真のような記憶力は重宝されることがある。マトニスはaccount-loginserv.comというドメインを見た瞬間、ほぼ1年前にFBIの「フラッシュ」で見たことがあると直感した。これは、米国のサイバーセキュリティ専門家や潜在的な被害者に送られた短い警告だった。この警告は、2016年にアリゾナ州とイリノイ州の選挙管理委員会に侵入したとされるハッカーに関する新たな情報を提供していた。これは、ロシアによる米国選挙への干渉の中でも最も攻撃的な要素の一つだった。選挙管理当局は2016年、民主党の標的から電子メールを盗み出し漏洩しただけでなく、ロシアのハッカーが両州の有権者名簿に侵入し、数千人のアメリカ人の個人データが保存されているコンピューターに、意図不明の意図でアクセスしたと警告していた。マトニスが見たFBIの緊急警報によれば、同じ侵入者は、後にフロリダ州タラハシーに拠点を置くVRシステムズ社であると報じられた投票技術会社からのメールも偽装し、さらに多くの選挙関連の被害者を騙してパスワードを手渡させようとしていた。

マトニスは、エルヴィスのマグネットと一緒に冷蔵庫に貼った紙切れに、接続箇所を雑然とした地図に描き、発見したものに驚嘆した。FBIの警告によると（マトニスは別の人物からその接続を確認したと私に語ったが、その人物は明かさなかった）、偽のVR Systemsメールはフィッシング攻撃の一部であり、彼がOlympic Destroyerマップで発見したaccount-loginserv.comドメインの偽ログインページも使用していたようだ。インターネットアドレスの接続の長い連鎖の末に、マトニスはオリンピック攻撃者と、2016年の米国大統領選挙を直接狙ったハッキン​​グ作戦を結びつける指紋を発見した。彼はOlympic Destroyerの起源を解明しただけでなく、さらに踏み込んで、犯人がアメリカの政治システムを襲った史上最も悪名高いハッキング作戦に関与していたことを突き止めた。

マトニスは10代の頃からバイク好きだった。法的にバイクに乗れる年齢になったばかりの頃、1975年式のホンダCB750を買えるだけのお金をかき集めた。ある日、友人に1100EVOエンジン搭載の2001年式ハーレーダビッドソンに乗せてもらった。3秒後、彼はニューヨーク州北部の田舎道を時速65マイル（約106キロ）で疾走し、命の危険を感じながらも、抑えきれない笑い声をあげていた。

マトニスはついに史上最も巧妙なマルウェアを出し抜いた時、まさにあの時と同じ感覚を覚えたという。ハーレーダビッドソンを1速で疾走させた時の興奮にしか例えられない。彼はワシントンD.C.のアパートに一人で座り、画面を見つめながら笑っていた。

マトニスがそれらの関連性を突き止めた頃には、米国政府も既に独自の関連性を見出していた。NSAとCIAは、民間のサイバーセキュリティ企業では到底太刀打ちできないほどの人間のスパイとハッキング能力を有している。2月下旬、マトニスがまだ地下アパートに籠っていた頃、匿名の情報機関関係者2人がワシントン・ポスト紙に対し、オリンピックへのサイバー攻撃はロシアによって実行され、北朝鮮に罪をなすりつけようとしたと語った。匿名の情報機関関係者はさらに踏み込み、攻撃の責任をロシアの軍事情報機関であるGRU（参謀本部情報総局）に押し付けた。GRUは、2016年の米国大統領選挙への介入やウクライナのブラックアウト攻撃を首謀し、NotPetyaによる壊滅的な被害を引き起こした機関でもある。

しかし、米国の諜報機関というブラックボックス内部から発信されるほとんどの公式発表と同様に、政府の活動を検証する方法はなかった。マトニス氏も、メディアやサイバーセキュリティ研究者の誰一人として、情報機関が辿った痕跡を知る者はいなかった。

マトニスにとってはるかに有益で興味深い一連の米国政府の調査結果は、彼の地下室での捜査から数ヶ月後に明らかになった。2018年7月13日、ロバート・モラー特別検察官は、選挙介入に関与したとしてGRUハッカー12人に対する起訴状を公開し、彼らが民主党全国委員会とクリントン陣営をハッキングした証拠を提示した。起訴状には、彼らが使用したサーバーや検索エンジンに入力したキーワードといった詳細まで含まれていた。

マトニス氏は29ページにわたる起訴状の奥深くで、アナトリー・セルゲイエヴィッチ・コヴァレフという名のGRUハッカーの活動内容について読み上げた。コヴァレフは他の2人の工作員とともに、モスクワ北部郊外ヒムキにある「タワー」として知られる20階建ての建物に拠点を置くGRU第74455部隊のメンバーとして名を連ねていた。

起訴状によると、74455部隊はGRUによる民主党全国委員会（DNC）とクリントン陣営への侵入作戦にバックエンドサーバーを提供していた。しかし、さらに驚くべきことに、この部隊はこれらの作戦で盗まれた電子メールをリークする作戦を「支援」していたと付け加えられている。起訴状によると、74455部隊はDCLeaks.comの設立、さらにはルーマニアの偽ハッカー「Guccifer 2.0」の設立にも協力していた。Guccifer 2.0は侵入の犯行を主張し、民主党の盗まれた電子メールをWikiLeaksに提供したとされている。

26歳と記載されているコバレフは、ある州の選挙管理委員会に侵入し、約50万人の有権者の個人情報を盗んだ容疑もかけられている。その後、彼は投票システム会社に侵入し、その会社のメールを偽装して、マルウェアを仕込んだ偽のメッセージでフロリダ州の投票管理当局にハッキングを試みようとした疑いもある。コバレフのFBI指名手配ポスターには、かすかに微笑み、金髪を短く刈り込んだ青い目の男性の写真が掲載されていた。

起訴状には明記されていないものの、コバレフの容疑は、マトニス氏がオリンピック・デストロイヤー攻撃に関連付けたFBIの緊急アラートで概説された活動と全く同じ内容だった。マルウェアによる前例のない欺瞞と誤誘導にもかかわらず、マトニス氏はオリンピック・デストロイヤーを、モスクワ運河の西岸に位置する鋼鉄と鏡面ガラスでできたタワー、モスクワ・ヒムキのキロヴァ通り22番地で活動するGRUの特定の部隊と結び付けることができた。

マトニスが私にそのつながりを話してくれた数か月後、2018年11月下旬、私はモスクワ郊外の凍った水路に沿って曲がりくねった雪に覆われた小道に立ち、タワーを見上げていた。

当時、私はサンドワームとして知られるハッカー集団を丸2年間追跡し、彼らの驚くべき攻撃の軌跡を調査した本の執筆も最終段階に入っていた。ウクライナを訪れ、電力網のブレーカーが何者かによって二度も開かれるのを目撃した電力会社のエンジニアたちにインタビューした。コペンハーゲンに飛び、海運会社マースクの情報筋と話をした。彼らは、NotPetyaが世界中の港にある同社のターミナル17カ所を麻痺させ、世界最大の海運コングロマリットを瞬時に機能停止に追い込んだ際に生じた混乱について、私にささやきかけた。そして、ブラティスラバにあるスロバキアのサイバーセキュリティ企業ESETのアナリストたちと同席し、これらの攻撃すべてが単一のハッカー集団に結び付けられることを示す証拠を分析してもらった。

マトニスの分岐図や、オリンピック攻撃をGRUの責任だと断定したミュラー報告書の関連性に加え、マトニスは、ハッカーたちがサンドワームの以前の攻撃に直接関与したことを示唆する詳細な情報も共有してくれた。ハッカーたちは、Fortunix NetworksとGlobal Layerという、ウクライナで2015年に発生した停電や、その後の2017年に発生したNotPetyaワームの引き金となったサーバーをホストしていた2社が運営するデータセンターに、コマンド＆コントロールサーバーを設置していたケースもあった。マトニスは、これらの攻撃はすべてGRUによって実行されたというはるかに有力な証拠に加え、これらのわずかな手がかりから、サンドワームが実際にはGRU第74455部隊である可能性を示唆していると主張した。つまり、モスクワのあの雪の日に、私の頭上にそびえ立っていた建物に彼らがいたことになる。

不透明で反射する塔の影に佇みながら、自分が何を成し遂げたいのか、はっきりとは分からなかった。サンドワームのハッカーたちが中にいるという保証はどこにもなかった。ヒムキのビルと、ミュラーの起訴状に記載されているGRUの別の住所、コムソモリスキー大通り20番地（その朝、電車に乗る途中で通り過ぎたモスクワ中心部のビル）に分かれて潜んでいる可能性だってある。

もちろん、タワーはGRUの施設としてマークされていなかった。鉄柵と監視カメラに囲まれ、門には「GLAVNOYE UPRAVLENIYE OBUSTROYSTVA VOYSK」（部隊配置総局）と書かれた看板があった。もし門の警備員にGRU第74455部隊の職員と話がしたいと頼めば、ロシア政府関係者から厳しい尋問を受ける部屋に拘留される可能性が高いだろう。むしろ、その逆だろう。

これがサンドワームのハッカーたちに最も近づいた瞬間かもしれないと気づいた。だが、それ以上近づくことはできなかった。警備員が私の頭上の駐車場の端に現れ、タワーのフェンスの内側から外を見ていた。私を監視しているのか、それともタバコ休憩を取っているのか、私には分からなかった。そろそろ立ち去る時間だ。

モスクワ運河沿いに北へ歩き、タワーから離れ、雪に覆われた公園や歩道の静寂の中を通り抜け、近くの駅に着いた。市内中心部に戻る電車の中で、凍った水面の向こう側から、ガラス張りの建物を最後にもう一度垣間見た。モスクワのスカイラインに飲み込まれる前のことだった。

今年4月初旬、平昌でオリンピック・デストロイヤーへの対応を指揮した韓国当局者、オ・サンジン氏から、韓国語の通訳を通してメールが届いた。彼はこれまでずっと言い続けてきたことを繰り返した。オリンピック襲撃の犯人については決して口を開かない、と。また、私とは二度と話さないとも言った。彼は韓国の大統領府である青瓦台（大統領府）の役職に就いており、インタビューを受ける権限はなかったからだ。しかし、数ヶ月前の最後の電話での会話では、開会式と、惨事を防ぐために必死に働き続けた12時間を思い出すと、オ氏の声には依然として怒りがくすぶっていた。

「明確な目的もなく、誰かがこのイベントをハッキングしたという事実に、今でも憤りを感じます」と彼は言った。「もしハッキングされていれば、平和を謳うこのゲームに大きな汚点がついたでしょう。国際社会が、二度とこのようなことが起こらない方法を見つけてくれることを願うばかりです」

ロシアによるオリンピックへの攻撃は、今もなおサイバー戦争の専門家たちの心を悩ませている（ロシア外務省はWIREDの複数回のコメント要請に応じなかった）。確かに、米国政府とサイバーセキュリティ業界は、当初の躓きや混乱を経て、最終的にこの謎を解いた。しかし、この攻撃は欺瞞の新たな基準を打ち立てた。コロンビア大学国際公共政策大学院でサイバー紛争を専門とする研究者、ジェイソン・ヒーリー氏は、この攻撃は欺瞞の新たな基準を打ち立てたと指摘する。この攻撃が繰り返されたり、さらに進化したりすれば、依然として悲惨な結果をもたらす可能性がある。

「オリンピック・デストロイヤーは、国家安全保障に関わる重大な攻撃において、これほど高度な偽旗作戦が使用された初めての事例です」とヒーリー氏は語る。「これは、将来の紛争がどのようなものになるかを予兆するものです。」

ジョージ・W・ブッシュ政権下でサイバーインフラ保護局長を務めたヒーリー氏は、米国の諜報機関が、犯人特定を曖昧にする欺瞞的な手がかりを見抜く能力を持っていることに疑いの余地はないと述べた。ヒーリー氏は、誤ったサイバー攻撃が長期的な影響を及ぼす可能性のある他の国々をより懸念している。「クラウドストライクやファイア・アイのサービスを利用できない人々、つまり大多数の国々にとって、犯人特定は依然として問題です」とヒーリー氏は語る。「米国とロシアの状況を想像できないなら、インドとパキスタン、あるいは中国と台湾の状況を想像してみてください。偽旗作戦は、仕掛け人が意図したよりもはるかに強い反撃を引き起こし、その後の世界の様相を大きく変えることになるのです。」

しかし、偽旗作戦はアメリカでも通用すると、ファイア・アイの情報分析ディレクターで、7月にマトニス氏が同社を去る前は彼の上司だったジョン・ハルトキスト氏は主張する。ロシアが民主党全国委員会やクリントン陣営をハッキングしたという事実を、アメリカ人の半数、つまり共和党員の73%が認めていないのを見れば、そのことがよく分かる、とハルトキスト氏は言う。

2020年の選挙が近づく中、『オリンピック・デストロイヤー』は、ロシアの欺瞞技術がますます進化していることを示している。薄っぺらな作り話から、かつてないほど洗練されたデジタル指紋の仕掛けへと進化しているのだ。もし彼らがほんの数人の研究者や記者を騙すことができれば、2016年のアメリカの選挙民を欺いたのと同じ、さらに大きな混乱を国民に与えることができるだろう。「問題は、視聴者の問題です」とハルトキストは言う。「問題は、アメリカ政府が何も言わずとも、24時間以内に被害が及ぶことです。そもそも視聴者とは国民だったのです。」

一方、サンドワームとして知られるGRUハッカーたちは依然として活動している。そして、オリンピック・デストロイヤーは、彼らが無差別な妨害行為だけでなく、欺瞞の手法もエスカレートさせていることを示唆している。長年にわたり、次々と一線を越えてきた彼らの次の動きは予測不可能だ。しかし、彼らが再び攻撃を仕掛ける時、私たちが認識できないような姿で現れるかもしれない。

出典写真：ゲッティイメージズ、マキシム・シェメトフ/ロイター（建物）

この記事は11月号に掲載されます。今すぐ購読をお願いします。

この記事についてのご意見をお聞かせください。 [email protected]までお手紙をお送りください。

記事内の販売リンクから商品をご購入いただくと、少額のアフィリエイト報酬が発生する場合があります。仕組みについて詳しくはこちらをご覧ください。

WIREDのその他の素晴らしい記事

• WIRED25: 私たちを救うために奮闘する人々の物語
• 巨大なAI搭載ロボットがロケット全体を3Dプリント
• リッパー― とんでもなくひどいビデオゲームの裏話
• USB-Cがついに登場
• ハードウェアに小さなスパイチップを埋め込むコストはわずか200ドル
• 👁 ディープフェイク動画の時代に向けて準備しましょう。さらに、AIに関する最新ニュースもチェックしましょう。
• 🏃🏽‍♀️ 健康になるための最高のツールをお探しですか？ギアチームが選んだ最高のフィットネストラッカー、ランニングギア（シューズとソックスを含む）、最高のヘッドフォンをご覧ください。