炎の旗、沈黙する油田 正義の剣とシャムーンの襲撃 2012年8月
2012年8月、サウジアラビアの国営石油企業サウジアラムコに対して、過去に例を見ない大規模なサイバー攻撃が行われました。この攻撃を実行したと名乗り出たのが、「正義の剣(Cutting Sword of Justice)」という名のハッカー集団です。彼らは、サウジアラビア政府によるシーア派住民への抑圧や、中東地域における人権侵害に対する報復として攻撃を行ったと主張し、その声明はオンライン掲示板やPastebin上に掲載されました。
この攻撃には、シャムーン(Shamoon)と呼ばれる破壊型のマルウェアが使用されました。シャムーンは非常に高度に設計されており、3つの主要なコンポーネントで構成されています。第一はドロッパー(Dropper)で、感染の起点となるマルウェア本体です。ドロッパーはシステム内に入り込むと、管理者権限を取得し、他の二つのコンポーネントを展開します。また、ドロッパーはハードコードされたネットワーク認証情報を使って、ローカルネットワーク内の他のPCにも感染を広げていきます。
第二のコンポーネントであるワイパー(Wiper)は、シャムーンの中心的な機能を果たします。これは感染PC内のファイルを一つずつ上書きし、最終的にはマスターブートレコード(MBR)を破壊して再起動不能にします。ファイルの削除は、セクタ単位でゼロ書き込みや無意味なパターンの挿入を行い、復元が困難な形で実行されます。破壊されたPCは再起動後に、通常のWindows OSではなく、燃えるアメリカ国旗の画像を表示させられるよう細工されていました。これは、政治的意図を視覚的に強調するための演出です。
第三のコンポーネントであるレポーター(Reporter)は、感染の進行状況や操作の成否などを攻撃者のC2サーバーに報告する機能を担っています。シャムーンにはまた、特定の時刻に自動的に発動するタイマー機能が搭載されており、2012年8月15日午後11時に一斉に攻撃が発動されるように設計されていました。これにより、約3万台のサウジアラムコ社内のPCが同時に破壊され、復旧には数週間を要しました。推定される被害額は、数億ドル規模にのぼるとされています。
この事件は、国家の重要インフラがサイバー攻撃に対して極めて脆弱であることを世界に知らしめ、サイバー戦争時代の到来を象徴する事件となりました。正義の剣が実在の独立したハッカー集団なのか、それとも国家の支援を受けた偽装名義だったのかは明らかではありませんが、米国の情報当局や専門家の多くは、イラン政府、特にイラン革命防衛隊の関与を疑っています。
このような背景から、イランには他にも多くの国家支援型ハッカー集団が存在しています。たとえばAPT33(エルフィン)は、航空宇宙やエネルギー産業に対する諜報活動で知られており、APT34(オイルリグ)は金融機関や政府組織をターゲットに、カスタムマルウェアを用いて機密情報を窃取しています。APT35(チャーミングキトゥン)は、SNSや偽装ニュースサイトを使い、人権活動家や学者、外交官などへの標的型攻撃を仕掛けています。トータスシェルは採用サイトにマルウェアを仕込んで標的を誘導し、スタティックキトゥン(フォックスキトゥン)はVPNやセキュリティ機器の脆弱性を突いて内部ネットワークへ侵入するなど、さまざまな手法を駆使しています。
これらの活動に共通しているのは、単なる情報収集にとどまらず、政治的かつ戦略的な目的を持ち、サイバー空間を舞台とした国家間の攻防に直結している点です。シャムーンのような破壊型マルウェアの登場は、もはやサイバー攻撃が一時的な混乱を引き起こすだけではなく、国家の経済や安全保障に深刻なダメージを与える兵器として用いられている現実を示しています。シャムーンはその後も改良を重ね、シャムーン2(2016年)、シャムーン3(2018年)といった新バージョンが発見され、依然として中東地域のインフラに対する深刻な脅威となり続けています。
No comments:
Post a Comment