コロナ禍のため無観客で開催された東京オリンピック・パラリンピック。
オリンピックは、ハッカーたちの標的にされやすく、今世紀に入ってからも、ロンドンやソチ、リオ、ピョンチャン(平昌)などの大会で、サイバー攻撃が報告されてきた。
今回も、何らかのサイバー攻撃の被害を受けるのではないか。
私たちは、警戒を続けながら取材に当たった。
結論を言うと、東京大会では攻撃による大きな混乱は起こらなかった。
しかし、背後では、今後の日本のセキュリティー対策を考える上で教訓となる、いくつかの「発生」もあった。知られざるサイバー戦の攻防とは。
開会式直前の大混乱
まずは、オリンピックに関係する組織のホームページをリストアップし、接続などに障害がでないかをモニターした。
その数は、100あまり。専用のソフトに、リストを打ち込み、24時間態勢で、通知を受けられるようシステムを組んだ。
通知が鳴り止まなくなった。スマホのメールに、驚くような状況がつぎつぎに届く。
ページに接続しようとしても、エラー画面となり、なかなか回復しない。
私は着の身着のまま、渋谷の放送センターに急行した。
放送センターに向かう途中、当局関係者から、このシステムダウンは、アメリカのIT企業「アカマイテクノロジーズ」のシステムトラブルによるものだろう、という情報が寄せられた。
「どうやら直接的なサイバー攻撃ではなさそうだ」
しかし、これだけの規模のホームページが一度にダウンするのは、異例だ。
システムトラブルが続いた場合、オリンピックに影響がないとも言い切れない。
午前2時46分、臨時ニュースを放送した。
システムトラブルを起こした「アカマイ」は、オリンピック関連のネット配信の基幹を担っている会社だった。
インターネットの通信経路を拡げることで、ホームページへのアクセスの集中や大量の通信を送りつけるサイバー攻撃を回避する防御役を担っている。
その後、アカマイは、システムの更新が原因で、サイバー攻撃とは関係ないと発表した。
結果的に、大会運営には大きな影響を与えなかったが、特定のIT企業のサービスに依存するリスクを、私たちは、開会式が迫る当日の朝に、感じることになった。
開会式に合わせて監視 変な輩が
これまでの大会で、サイバー攻撃がピークを迎えるのは、決まって、世界の注目集まる、
「開会式」だった。
東京大会の1つ前の、平昌冬季大会では、大会の基幹サーバーがダウン、開会式の最中、会場の無線LANが使えなくなったり、チケットの印刷が出来なくなったりした。
私たちは、開会式の時間帯に合わせて、ニュースセンターの一室で、ネット上のさまざまな情報から、サイバー攻撃情報の収集にあたった。
開会直後、システム障害を引き起こしかねない攻撃が世界各国から寄せられていた。
ツイッター上には、東京をターゲットにサイバー攻撃を呼びかける投稿が、いくつも現れた。
東京大会のボイコットを呼びかけるハッシュタグ。
ここには、東京都や日本スポーツ振興センターなど標的とみられる組織のIPアドレスも記載されていた。
いっぽう、開会式中、ずっと接続できない状況が続いたのが、大会公式のショップサイトだった。開会式開始から1時間後の午後9時頃から接続できなくなり、開会式終了後の翌日0時半頃までその状態は続いた。
そのアクセスはサイバー攻撃ではないのか。
アクセスの集中に対する対策は十分だったのか。
東京五輪の組織委に問い合わせても、明確な回答が得られなかった。
夜11時すぎ、開会式は終了。
はっきりとわかる大規模な攻撃は確認されなかった。
大会システムを狙った国産マルウエアが出現!?
監視に協力してもらっていた専門家からの情報で、大会運営の混乱を狙ったサイバー攻撃を示唆するファイルが見つかったという。
VirusTotalと呼ばれる、セキュリティーの専門家たちが、マルウエア=悪意のあるプログラムを共有し、安全対策につなげるサイトでそのファイルは見つかった。
ファイルには、「東京オリンピック開催に伴うサイバー攻撃の被害報告」という名前が着いていた。
一見すると文書のファイルに見えるが、実際は、悪意のあるプログラム=マルウエアだという。
マルウエア解析の第一人者、三井物産セキュアディレクションの吉川孝志さんが、わずか数時間で解析に成功したという。
外部と通信しないパソコン環境で、見つかったマルウエアがどう悪さをするかを、見せてくれた。
ファイルを開くと、パソコンのフォルダに置いた、文書や画像、表計算といったファイルが次々と消えていく。
ワイパーと呼ばれる同様のマルウエアは、3年前の平昌大会の時に使われ、被害を出していた。
「平昌大会で使われたマルウエアとレベルは違うが、攻撃性能は高い」
さらに、詳しい解析では、ある特徴が浮かび上がってきた。
「ジャパニーズという文字がずっと並んでいます」
日本語が堪能で日本の習慣をよく知る人物が国内で作成した可能性があった。
これには、吉川さんも驚きを隠さなかった。
「日本の環境で作られたようなマルウェアというのは、そもそもこれまでにあまり見たことがない。オリンピック関係者にメールなどで送りつけられていた場合は誤って開いてしまうユーザーは非常に多い」
繰り返し改良を重ね、本番へと計画的に狙いを定めていたとも考えられるという。
このマルウエアによる実被害は確認されなかったが、吉川さんは、単なるいたずらではすまされない事態だったと指摘する。
「今回たまたま途中段階で見つかっただけであって実は大きな攻撃の中のひとつだったと いう可能性もゼロじゃない。嫌がらせだとしても、脅威としては非常に高い」
次々に立ち上がった偽のライブサイト
ネット上に、次々に現れた競技のライブ配信を無料で見られるとうたうサイト。
水泳やテニスなど競技が進むごとに増え、有名選手の競技時刻に合わせるかのように現れた。
サイトは、誰がどんな目的で立ち上げているのか。
このサイト、映像を見ようと、指示に従うと、最終的にクレジットカード情報などを入力するフォームへ誘導された。
情報を抜き取るために作られた詐欺サイトとみられる。
詐欺サイトに電話してみた
こうした詐欺サイトには、問い合わせ先として電話番号が掲載されていた。番号から考えるとアメリカにつながるようだった。そこで私たちは実際に電話をかけてみることにした。電話口に出たのは、英語を話す女性の声だった。
「サイトをみて問い合わせましたが、東京オリンピックのライブ配信が観られるのですか?」
(電話先)
「私たちはオリンピックの配信はしておりません」
(記者)
「いまこの電話はどこにつながっているのですか?」
(電話先)
「こちらはフィリピンのマニラです」
私たちは、別の詐欺サイトに書かれた電話番号にもかけてみたが「この電話はキプロスにかかっている」とか「オリンピックの映像は配信していない」などと答えるだけで、それ以上の詳しい情報を得ることはできなかった。しつこく問いただすと、電話が切られ、かけ直してもつながらなくなることもあった。
乗っ取りで作られた詐欺サイト
こうした詐欺サイト。さらによく調べると、その多くは、すでに存在するホームページを乗っ取り、改ざんする形で作られていたことがわかってきた。
その会社は、熊本県にある空調設備の工事会社だ。
会社は、警察の指摘で事実を知り、ホームページを一時的に閉鎖する対応を取った。
「せっかく興味を持ってもらった学生さんたちがこのような(詐欺サイトの)被害にあってしまった場合には悲しいなと思います。もう怒りしかないですよね」
日本に狙い定めた詐欺サイト
私たちは、このサイトの詳しい分析を専門家に依頼した。
サイトのプログラムをのぞくと、大量の日本語のテキストデータが埋め込まれていたのだ。
テキストデータは、オリンピック関連の日本語のニュース記事をコピーして貼り付けたものとみられる。
さらに、このサイトは、更新すべきプログラムが古いままで、そのぜい弱性を突かれる形で乗っ取りが行われていたこともわかった。
「プログラムをアップデートしないと、こういった形で脆弱性を使われてしまうケースがある。今後、チケットの払い戻しもあるので、ひょっとしたらそういうものに便乗したサイバー攻撃というのも発生する可能性はある」
コロナ禍での無観客という異例づくめの中で行われた東京オリンピック・パラリンピック。
幸いにして、大会期間中、サイバー攻撃による大きな被害は確認されずに済んだ。
この経験を、後世のレガシーとするためにも、攻撃や対策の実態についてさらに取材を進めたい。