Kaspersky Lab、冬季オリンピックを標的とした「Olympic Destroyer」マルウェアを分析

～新たなアトリビューション手法により、極めて高度な偽旗（にせはた）作戦を確認～

[本リリースは、2018年3月8日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チームは、マルウェア「Olympic Destroyer（オリンピック デストロイヤー）」について独自の調査を実施した結果、マルウェアの作成者が本当の出自を隠すため、極めて高度な偽旗作戦を仕込んでいたことを裏付ける技術的な証拠を発見しました。

平昌（ピョンチャン）冬季オリンピックの会期中、ニュースでも取り上げられたOlympic Destroyerによるサイバー攻撃によって、一時的にオリンピックのITシステムやWi-Fiが不通になり、モニターのシャットダウンや公式サイトのダウンに伴いチケットの印刷ができなくなるなどの影響がでました。Kaspersky Labのグローバル調査分析チーム（Global Research and Analysis Team：GReAT）が調査したところ、韓国の2か所のスキーリゾート施設が同じワーム攻撃を受けてゲートやリフトが動作不能になったことが判明し、このマルウェアに破壊能力があることが明らかになりました。ピョンチャンオリンピックでは、運良くその能力が発揮されなかったため、攻撃の影響は限定的でした。

Olympic Destroyerに対するサイバーセキュリティ業界の関心は、潜在力や実際のダメージの多寡よりも、マルウェアの出自にあります。これまでの数ある高度なマルウェアの中で、Olympic Destroyerほどアトリビューションについて多くの仮説が出たものはありません。マルウェアの発見から数日の内には、世界中のリサーチャーがこのマルウェアはロシアあるいは中国や北朝鮮によるものだとしました。その根拠は、これらの国々を拠点にしている、またはその政府に雇われているとされる、サイバースパイや破壊行為の実行犯と思しき攻撃者の数々の特徴からでした。

■ Kaspersky Lab 独自の調査から判明したこと

GReATのリサーチャーが、Olympic Destroyerの背後にいる攻撃者を突き止めるために調査を継続したところ、ある段階で攻撃者が残した独特の痕跡に基づいた、このマルウェアと悪名高いLazarusグループとを結び付けるに足る十分な証拠らしきものを発見しました。マルウェアの作成者とその実行計画の特定は、ファイルに格納されている複数のコード開発環境の特徴を組み合わせた「フィンガープリント」により可能になるケースがあります。事実、リサーチャーが分析したサンプルのフィンガープリントは、既知のLazarusのマルウェアコンポーネントと完全に一致し、これまでに把握しているそのほかのクリーンファイルや悪意あるファイルとの重複はありませんでした。また、攻撃手口（戦術、技術、手順：Tactics, Techniques and Procedures、TTPs）に見られるそのほかの類似点と合わせて分析した結果、Olympic DestroyerはLazarusによる別の攻撃であるという暫定的な結論に達しました。

しかし、GReATのリサーチャーが、同マルウェアの攻撃を受けたスキーリゾート施設を調査する過程で明らかになった、LazarusグループのTTPsの動機や矛盾などから、この稀なアーティファクトを再調査することにしました。証拠を慎重に解析し、各特徴を手作業で検証した結果、Lazarusのフィンガープリントと完全に一致するように偽造されたと思しきコードとは一致しない、別の特徴が見つかりました。

この発見からGReATが出した結論は、Lazarusグループのフィンガープリントは非常に精密な偽旗作戦であり、リサーチャー達に動かぬ証拠を見つけたという印象を与えて、より正確なアトリビューションを妨害するためにマルウェアの内部に意図的に置かれたというものでした。

Olympic Destroyerは極めて高度な偽旗を実装しているため、正確なアトリビューションにはまだ議論の余地が残されています。しかし、GReATのリサーチャーは、攻撃者はプライバシーが保護されるNordVPNサービスと、ホスティングプロバイダーのMonoVMを使用したことを把握しています。これらはどちらも仮想通貨Bitcoinでの支払いが可能です。このほかにも、ロシア語を使うサイバー犯罪集団「Sofacy」が過去に使っていたTTPsを複数発見しています。

カスペルスキー製品は、Olympic Destroyerマルウェアを検知し、ブロックします。

■ Kaspersky Lab GReAT、アジア・パシフィック地域 ディレクター ヴィタリー・カムリュク（Vitaly Kamluk）のコメント

「私たちの知る限り、私たちが発見した証拠はこれまでアトリビューションには使用されてきませんでした。攻撃者たちはその証拠がいずれは誰かが見つけてしまうとわかりながらも、使用を決めたとみられます。彼らはこのアーティファクトの偽造を証明することは極めて困難であろうということに望みを託しました。それは、たとえば、ある犯罪者が他人のDNAを盗み、それを自分のDNAの代わりに犯行現場に残すようなものです。私たちは犯行現場でそのDNAを見つけ、それが故意に残されたものであることを証明しました。これらはすべて、攻撃者ができるだけ長く正体を隠し続けるために、時間を惜しまず努力を重ねたことを意味しています。サイバー空間では、さまざまなものを偽造できるため、アトリビューションの見極めは非常に困難です。Olympic Destroyerはこれを見事に体現しています」

「このケースで得た教訓は、アトリビューションには、非常に真剣に取り組むべきということです。近年、サイバー空間の政治色がどれほど強くなったかを考えると、アトリビューションの誤りが重大な結果につながる可能性があります。また、攻撃者がセキュリティコミュニティの意見を操作し、地政学的課題に影響を与えようとし始めるかもしれません」

■ 韓国とヨーロッパで実施したOlympic Destroyerの調査詳細について

Kaspersky Lab GReATによる、韓国とヨーロッパで実施したOlympic Destroyerの調査については、Securelistブログ「 Olympic Destroyer is here to trick the industry」（英語）をご覧ください。

※ Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。