事件の概要
ジョージアで2008年8月に、ロシア軍とジョージア軍による砲撃戦が起こりました。
並行して、ジョージアの政府機関のWebサイトと基幹インフラがDDoS攻撃を受け、アクセス不能状態に陥りました。
ジョージアのインターネット接続はロシア・トルコ経由で行なわれています。
この、ジョージア向けトラフィックを確保するロシアとトルコのルータのほとんどがサイバー攻撃を受け、ジョージアでは情報を得ることも、発信することもできなかったといいます。
ジョージアのネットワークトラフイック中、情報の「行き先」を示すIPアドレスの前半部分の35%が消えてしまっていたそうです。
つまり、ジョージアでは大量の情報が行き先を失い、どこにも届かなくなってしまったということです。
このサイバー攻撃によって、ジョージアのネットワークは大変大きな混乱状態に置かれました。
2008年以降もロシアとジョージア間のサイバー攻撃は、たびたび問題になっていました。
そして2011年初めには、ジョージアのニュースサイトがサイバー攻撃を受け、マルウェアがジョージア国内の約390台のコンピュータに拡散、重要情報が窃取されたのです。
このマルウェアは、感染したPCのWebカメラを使って盗聴する事も出来ました。
政府機関や銀行、基幹インフラが標的となりました。
サイバー攻撃に対する反撃
ジョージアCERTはこのサイバー攻撃に対して、大胆な反撃に出ました。
まず、意図的に自国のPCをマルウェアに感染させ、攻撃側が欲しがりそうな名称の「ジョジア・NATOでの合意」というZIPファイルを設置、攻撃側が窃取するように仕向けました。
攻撃側はジョージアCERTの罠にはまり、このZIPファイルを窃取します。
ZIPファイルにはマルウェアが仕込んであり、ジョージアCERTがこれを実行することで、攻撃側のPCを乗っ取ることに成功したのです。
攻撃側のPC内の情報を入手し、Webカメラを使ってPCの前にいたロシア人ハッカーの写真撮影にも成功しました。
顔写真以外にも、男性の住所、利用しているISP、メールアドレス、さらには本事件で使用されたマルウェアの使用方法が記述されたロシア語の電子メールを男性のコンピュータから入手しました。
男性が使っていたドメインは、モスクワのロシア内務省の関連施設の住所で登録されていて、ロシアの情報機関FSBの近くであることまで判明しました。
ジョージアCERTによる反撃は、サイバー攻撃の特徴の一つであった秘匿性を崩壊させました。
今までのサイバー攻撃は、攻撃者側が一方的に攻撃を仕掛けてくるというのが大半でした。
しかしこれ以降、攻撃者側も「サイバー反撃」に対し慎重にならざるを得ない状況になったといえます。
今回のジョージアのサイバー反撃の事件は、サイバー攻撃をもくろむ国家に再考を促したといえるでしょう。
サイバー攻撃を仕掛けた後に相手国からトラップをかけられ、PCや住所、顔写真まで突き止められるということは、攻撃を仕掛ける側にとって大きな脅威となります。
企業の情報セキュリティという観点で考えた際、サイバー反撃とまではいかなくとも、ログを記録し、そのログを定期的に監査する仕組みなど、証拠になるものを残すセキュリティ対策は、サイバー攻撃の犯人特定のために不可欠と言えるでしょう。
関連記事
その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。