5月13日(金)からランサムウェア”WannaCry”の被害が全世界で発生している。
この事件の「犯人」はいったい誰なのか? 事件の状況については詳しく語られているが「犯人」に関しての報道は控え目だ。この「犯人」に関して気になる記事が発表された。

英国ガーディアンの記事

犯人北朝鮮説は新聞でも見かけたのでガセの可能性もあるが記事ではあくまでも可能性として断定は避けていた。

可能性という意味は今回のランサムウェアのコードの一部がラザログループの過去のマルウェアコードとの類似性(5~6行)を指摘するもので、これしか証拠が無いからだ。

犯人がラザログループの犯行と見せかけるため偽装した可能性もある。

しかし、このコードの類似性は初期のコードにのみ存在しており、途中で修正されているという。

「ラザログループの犯行だと見せかけるのならコードを修正する必要はない。だから犯人はラザログループだ。」というのがカスペルスキー技術者の意見だ。

えっ?これは一見論理的だけどちょっとわざとらしい。

そもそもプログラムコードはいろいろなコードの寄せ集めだとも考えられるし、5行程度が一致するからといって犯人が特定できるはずがない。

仮にラザログループが犯人だとしてもそのような修正をするだろうか。修正するほうが逆に疑われる。

つまり修正したこと自体が「偽装」なのではないかと思う。それをもっともらしく指摘するカスペルスキーとシマンテックの意図は何なのか。

今回の事件で得をするのは犯人とアンチウィルスソフトメーカー、あとOSをバージョンアップしてもらえるMicrosoftだということは明らかです。

以下は記事の訳です(誤訳があるかもしれません。)

——————————————————————————————————-

カスペルスキーとシマンテックの両社は、月曜日、WannaCryコードの初期バージョンの中に北朝鮮のハッカーが作成した2015年のバックドアで使用されているコードと
技術的に似ているものが存在することを発言しました。
ラザログループは2014年のソニー・ピクチャーズの攻撃と2016年のバングラデシュの銀行に対する8100万ドルの強盗に関係していました。
またハッキング操作でBitcoinを使用してターゲットとすることで知られています。
類似点は、Googleのセキュリティ研究者Neal Mehtaによって最初に発見され、UAEに拠点を置くComae TechnologiesのMatthieu Suicheを含む他の研究者から反響がありました。
共有コードは、同じハッキンググループが責任を負っていることを必ずしも意味するものではありません。
まったく異なるグループが、2015年のラザログループのバックドアコードを単に、加害者を特定する試みを混乱させるための「偽旗作戦」として再利用しているかもれません。
しかし、再利用されたコードは、WannaCryの後のバージョンから削除されているように見えます。
これは、カスペルスキーによれば、「偽旗作戦」理論の可能性は低いということです。
「世界中の他の研究者がこれらの類似点を調査し、WannaCryの起源について、より多くの事実を発見しようとすることが重要だと考えている」
とカスペルスキー・ラボはブログの記事で発言し、バングラデシュの銀行攻撃の初期には、それをラザログループに結びつけるには手がかりが足りなかったと指摘しました。
しかし、時間がたつにつれて、研究者は北朝鮮につながっているサイバーギャングに対して事件を起こすための手がかりを見つけました。
カスペルスキーは数年間、ラザログループを研究してきた調査チームの1つで、4月にはグループの手法を明らかにする詳細な”Under the hood”レポートを発行しました。
このレベルの洗練さは、サイバー犯罪の世界では一般的に見られないものです。
それは、運用のすべての段階で厳格な組織と管理を必要とするものです。
北朝鮮のIPアドレスに由来する攻撃を発見したカスペルスキーは、「そういうわけで、私たちは、ラザロは単なる先進的で永続的な脅威の俳優ではないと思っています。」と述べた。
WannaCryのトランスクリプト攻撃は現在、150カ国で20万台以上のコンピュータを突破しており、病院、政府、企業が苦しんでいます。
セキュリティ研究者や技術企業がWannaCryで使用されている悪意のあるソフトウェアを含むサイバーウェポンを備蓄することに対して米国政府を批判しており、同時に
北朝鮮との関係が浮上している。
この攻撃で使用されたWannaCryの攻撃手法は、2016年8月にShadow BrokersによってNSAから盗まれた攻撃手法から引用されました。
NSAなど世界中の政府機関は、一般的なソフトウェア(Windowsなど)の脆弱性を収集したり、情報収集やサイバーワーカーに使用するサイバーウェポンを作成しています。
これらの脆弱性がShadow Brokersによって漏洩された後、サイバー犯罪者がransomwareを作成し金銭的利益を得ることを可能にしました。
マイクロソフトのWindowsオペレーティングシステムを実行しているコンピュータを対象とし、ユーザーのファイルを乗っ取り、
それらを復元するために300ドルを要求するransomwareは、NSAのリークに含まれる脆弱性を悪用して金曜日に急速に広がった。
「この攻撃は、なぜ政府による脆弱性の蓄積が問題であるのかという一つの例を提供する」 とマイクロソフトの社長兼最高法務責任者、 Brad Smith氏はブログ記事で述べている。
「繰り返しますが、政府が握る弱点が公に漏洩し、広範囲にわたる被害をもたらした。 従来の武器と同じシナリオで考えれば米軍のトマホークミサイルが盗まれたことになる。」
ブログでは、CIAによって蓄積された脆弱性がWikileaksを介して公になった述べています。
「これは2017年の新たなパターンである」
Smith氏は、最新の攻撃は、国家の行動(NSA)と組織的犯罪行為(ransomware作成者)との間の「意図したものではないが、不安にさせる関連性」を表していると付け加えた。
Smith氏は、世界の政府はこの攻撃を目覚ましの呼びかけとして扱うべきだと述べ、物理兵器が扱われるのと同じ方法でサイバー兵器を扱うよう各国に要請した。
「政府は、これらの脆弱性と悪用されることから来る市民の被害を検討する必要がある」
セキュリティ会社Intelisecureの最高技術責任者Jeremy Wittkopは、各国政府が武器を所持するためには、武器を安全に確保する必要があると主張しています。
「政府は核兵器のように、間違った人々の手に渡らないようにする責任がある」と語った。
「この大きなダメージを引き起こす可能性のあるものを作るつもりなら、それを守らなければならない」
マイクロソフトは、「デジタル・ジュネーブ条約」を策定し、各国政府に対し、蓄積、販売、悪用の代わりにソフトウェアの作成者に脆弱性を報告するよう要求した。