東京オリンピック開幕を１カ月先に控えた６月25日、日本オリンピック委員会（JOC）が、サイバー攻撃を受けていたことを明らかにした。

　サーバーやパソコンが次々にコンピュータウイルスに感染し、事務局の業務が一時停止。情報漏えいなどは確認されていないというが、驚くべきことに、攻撃を受けたのは2020年４月、つまり１年以上もの間、この問題を公表してこなかったというのだ。

過去の例では金銭目的の攻撃が多い

　過去にも、五輪がサイバー妨害攻撃を受けた例はある。ただし成功例はほとんどない。競技や運営に致命的な影響を与えた事例は、ゼロと言っていい。

　2012年のロンドン五輪では、電力インフラへの攻撃予兆が検知された。18年平昌（ピョンチャン）冬季五輪では、大会のシステムを標的としたオーダーメイドのマルウェア（悪意のあるプログラムやソフトウエア）によるサイバー攻撃が発覚した。

　16年のリオデジャネイロ五輪では、サイバー攻撃との因果関係は明確になっていないが、サイトや中継システムなどにマイナートラブルが発生した。いずれも、被害は組織委員会や関連施設、ウェブサイトで攻撃トラフィックが観測されたり、マイナーなシステムダウンが起きたり、ウイルスが検出されたり、といった軽微なものだった。

　これら3大会では、犯罪組織による金融詐欺、銀行・クレジットカード情報等の窃取、あるいは便乗犯によるチケット詐欺、ランサムウェア攻撃（パソコンやサーバー内のデータを暗号化して使用不能にした後、元に戻すことと引き換えに「身代金」を要求する攻撃）の類も確認されている。大会や政府を狙ったものというより、オリンピックに便乗した個人や企業を標的とした金銭目的の攻撃だった。

「東京オリンピックを失敗させよう」という書き込みも

　だからといって、東京オリンピックへのサイバー攻撃の心配がないわけではない。内閣サイバーセキュリティセンター（NISC）は警戒を強め、各省庁との情報共有に務めている。20年には中国政府が関与しているとされるグループによる活動や、北朝鮮系のグループ（ラザルス）による銀行や仮想通貨、各国大使館への攻撃も報告されている。

　ダークウェブ（通常のブラウザでは検索できないウェブ）やSNSの一部では、中国系とみられるアクティビストの「東京オリンピックを失敗させよう」という書き込みが観測されている。一部の愛国者による行為で、組織だったものではないが、攻撃力を侮ってはいけない。

　ロシアには、ドーピングで資格をはく奪されたロシア選手に対する報復措置という動機があると指摘する専門家がいる。中国には、東京大会を失敗させることで22年の北京冬季大会の成功と国威発揚をアピールする動機があるとされている。

　JOCや組織委員会は今回のサイバー攻撃について詳細を明らかにしていないが、23日に開幕する東京オリンピックは、本当に大丈夫なのだろうか。

本当に「ランサムウェア」だったのか

　問題点を整理してみよう。

　一部報道によると、今回のサイバー攻撃は「ランサムウェア」であったとされるが、「金銭要求はなかった」とも言われる。一つ目の問題は、本当にランサムウェアだったのか、という点だ。

　ランサムウェアは前述のように、パソコンやサーバー内のデータを暗号化して使用不能にした後、元に戻すことと引き換えに「身代金」を要求する攻撃だ。犯罪グループが金銭目的で利用するマルウェアであり、一般論として、国家の支援を受けた「国家支援型サイバーテロ」では使用されない。

　アメリカで５月に発生した石油パイプライン攻撃は、ロシアのサイバー犯罪グループによるランサムウェアだったが、ロシア連邦軍参謀本部情報総局（GRU）などとの接点は確認されていない。間髪入れずバイデン大統領がロシア政府に「犯罪者への対処」を求めており、支払われた仮想通貨はFBIによって大部分が回収されている。ロシアを含めて当局の動きや発表が迅速だったことから考えると、国家間の策謀というより単なる犯罪行為であった可能性が濃厚だ。

　ランサムウェアは脅迫による金銭奪取が目的であるため、感染した段階で金銭要求がなかったというのは違和感がある。いくつかのランサムウェアは、暗号化と同時に画面全体に脅迫メッセージを表示する。もう少し手の込んだランサムウェアなら、機密データのコピーと暗号化が終了した段階で攻撃者がコンタクトしてくる。報道では「データが書き換えられた」とあるが、「金銭要求はなかった」としている。これが事実なら、本当にランサムウェアの攻撃だったのか、本当にデータ漏えいはなかったのか、疑義が残る。

プロ組織による高度な攻撃の可能性は？

「標的に侵入し、金銭要求なしにサーバーのデータを書き換え、使用不能にした」のであれば、純粋に標的の業務妨害、破壊活動であった可能性がある。オリンピック関連のサイバー攻撃では、チケット詐欺など便乗系の犯罪がほとんどだが、イベントそのものへの妨害工作、破壊活動にも注視する必要がある。テロ行為もこれに含まれるが、公式サイトを改ざんしたり中継を混乱させたりする攻撃は、過去の大会でも確認されている。目的は、オリンピックのような一大イベントを妨害または破壊することで、当事国の信頼を逸失させることにある。

　一方で、「サーバーやパソコンが次々にコンピュータウイルスに感染した」したというのは、大企業を狙う標的型攻撃や秘匿性の高い情報を狙ったプロ組織によるAPT攻撃（Advanced Persistent Threats Attack）想起させる。同一ネットワーク内の他の端末へ次々に侵攻していく「横展開（Lateral Movement）」である。調査したセキュリティベンダーは、当然その可能性を考慮したうえで「ランサムウェア攻撃」と断定したのだろうが、標的型攻撃やAPT攻撃は隠密行動で情報を集め続けることが狙いで、すぐさま金銭を要求するランサムウェアを使うことは稀だ。

　JOCは、「データ漏えいがなかったという根拠は？」という質問に明確に答えておらず、うのみにできない。

サイバー犯罪者にとって被害の「内密処理」は好都合

　そしてもう一つ、最も重大な問題は、JOCが個人情報などの漏えいがなかったとして、サイバー攻撃の事実を１年以上公表してこなかったという点にある。

　確かに、個人情報の漏えい以外のサイバー攻撃については、一般に公開する法的規定はない。とはいえ情報セキュリティにおいて、公的機関や大企業などへのサイバー攻撃の事実を隠すのは得策ではない。

　犯罪やテロが目的のサイバー犯罪者にとって、攻撃が内密に処理されるのはむしろ好都合であるといえる。情報や対策が社会に共有されず、同じ手口が他でも成功する確率が高まるからだ。近年の高度化されたサイバー攻撃では、侵入から目的達成までの時間が短くなり（数時間から数日程度）、侵入から発覚までの時間が長くなる（数週間から数カ月程度）傾向がある。攻撃に気が付いた時点で、重要な情報は根こそぎ持っていかれているというケースは珍しくない。

感染したパソコンやサーバーの詳細チェックが欠かせない

　五輪は、IOCやスポンサー企業だけのためにあるのではない。JOCがサイバー攻撃の情報を直轄省庁だけに留めることに正当な理由はない。広く注意喚起を行い全体の防衛力を高める必要がある。

　少なくともセキュリティ関連機関、対応組織、セキュリティベンダー間では、攻撃の手口や使われた技術、脆弱性などの情報を把握しておかなければ、対策ができない。

　攻撃情報を元にその後の対策に役立てるという点では、すべて新しいものに置き換えられたという感染したパソコン、サーバーの処理も重要だ。攻撃者の詳細を知る手がかりは感染したパソコンやサーバーしかない。これらのログデータなどを詳しく調べる必要がある。

　最近のマルウェアはハードディスクではなくメモリに直接感染するタイプも存在する。このようなマルウェアはシャットダウンすると消えてしまう。改ざんされたデータなど証拠がなければ、犯人を検挙しても裁判で有罪にすることができない場合もある。

適切な情報公開が攻撃の抑止力になる

　JOCは、「混乱を避けて文科省の報告だけにした」としている。文科省に報告が上がったとしたら、その報告は内閣サイバーセキュリティセンター（NISC）に共有され、関連機関や省庁を通じて各業界のセキュリティ担当者に注意喚起や警戒情報が降りるしくみがあるはずだ。NISCの役目のひとつは、情報共有と適切な指導・アドバイスによる省庁のセキュリティレベルを均一に保つこと。各省庁および一定の条件を満たす外郭団体は、サイバー攻撃を受けたりインシデントが発生したりしたら、情報をNISCにあげる必要がある。

　ただ、NISCは取材に対し、JOCのサイバー攻撃被害について文科省から報告があったかどうかを明らかにしていない。攻撃情報の共有は、被害者の情報や詳細が秘匿される前提で行われ、その信頼関係を守るうえで「個別事案には答えられない」のはやむを得ないだろう。

　攻撃情報や対応の秘匿は高度な攻撃者にはなんら意味はない。むしろ適切な情報公開が攻撃の抑止力になりうる。政府もオリンピックを国威発揚として捉えているなら、サイバー攻撃への対応能力を世界に発信すべきだろう。この間の政府の新型コロナウイルス対策をみていると、正式なアナウンスのない現状で、無条件に今回の対応を信頼することはできない。

（ＩＴライター・中尾真二）