G7広島サミットで警戒すべきサイバー攻撃と対策

G7広島サミット前後に起こりえるサイバー攻撃（運営妨害、情報窃取、影響力工作）

2023年5月19日に開催を控えるG7広島サミット。このような政治的、社会的、経済的に重要な国際的なイベントは、サイバー攻撃の標的になりやすく、警戒が必要です。過去の国際的なイベントを狙った代表的なサイバー攻撃の事例では、平昌オリンピックでの大会運営妨害が挙げられます。平昌オリンピックでは、サイバー攻撃によって、開会式の一部プログラムが開催できなくなる、メディア向けのWi-Fiが繋がらなくなる、大会Webサイトがダウンして観客がチケットを印刷できなくなるなどの被害が発生したとメディアで報じられています。トレンドマイクロでも、平昌オリンピック開会式に影響を及ぼしたとされるマルウェアを解析しています。また、直近の東京オリンピックにおいても、東京オリンピックに関連するマルウェアを確認しています。

それでは、サイバー攻撃者はG7広島サミットのような国際的なイベントに対してどのような目的で攻撃を行うのでしょうか？攻撃の目的として、主に以下が挙げられます。
●イベントの運営妨害（Sabotage）
●出席者・関係者からの情報窃取（Espionage）
●SNSなどを用いた影響力工作（Influence Operation）

これらのサイバー攻撃について、考えられる代表的な手法を解説します。

イベントの運営妨害：ハクティビストによるDDoS攻撃と重要インフラを狙うサイバーテロ

サイバー攻撃によるイベントの運営妨害で最も警戒しておくべきものが、ハクティビストによるDDoS（ディードス）攻撃です。DDoS攻撃によってG7広島サミットに関連したWebサイトに大量のトラフィックが送信されることで、G7広島サミットに関連したWebサイトが一時的にアクセスできなくなるといった被害が想定されます。

とくに近年、社会的・政治的な主張を目的としたハッキング活動を行うグループであるハクティビストによるDDoS攻撃が頻繁に行われており、日本の組織も被害を受けています。例えば、親ロシア派として、ウクライナ侵攻においてロシアに制裁を加えている国家などを標的にしている「Killnet（キルネット）」と呼ばれるハクティビストは、2022年9月に日本の省庁のWebサイトに対してDDoS攻撃を実施しました。その際には、4省庁23サイトにおいて、アクセス障害が発生したと報じられています。中には、デジタル庁が所管する行政情報のポータルサイト「e-Gov」、総務省が所管する地方税のポータルシステム「eLTAX」が含まれており、アクセス障害が発生している期間はこれらサービスが一時的に利用できなくなっていました。Killnet以外にも親ロシア派のハクティビストが日本の組織を標的にしていると犯行声明を出していることをトレンドマイクロでは確認しており、引き続きハクティビストによるDDoS攻撃には警戒が必要である状況と言えます。また、メッセージの伝達や意見の発信を効果的に行うために、社会的な注目を集めたいというハクティビストの意図から、G7広島サミットの関連サイトが標的になりやすいと考えられます。関連サイトを管理する組織は、ハクティビストの動向にも注意を払いながら対策を立てていくことが求められます。

また、DDoS攻撃以外にもイベントに合わせたサイバーテロにも警戒が必要です。大会の運営妨害のために、開催予定地域の重要インフラを狙ったサイバー攻撃を展開する可能性もあります。トレンドマイクロの2022年2月から3月にかけて国内の電力や石油、ガスの供給を行う企業を対象にした調査では、2021年の1年間でサイバー攻撃を受けてシステムが中断したことがあると回答したのはおよそ9割に上っています。さらに、このうちほぼすべてが取り引き先への供給が滞るなどの影響が出ていました。このような重要インフラは、国家背景型のサイバー攻撃者以外にも、身代金を要求するランサムウェア攻撃者が攻撃してくる可能性もあります。インフラに関わる事業者は、実際に攻撃を受けたことを想定したインシデント訓練などを行い、事前に対処の手順や計画を見直しておくことが重要になります。

出席者・関係者からの情報窃取：フィッシングメールやホテルのWi-Fiを悪用した情報窃取

G7広島サミットのような重要人物が一同に会するイベントでは、その出席者や関係者にマルウェアを感染させて、当該人物のやりとりするメールやコンピュータ内のファイルを窃取するサイバー攻撃が懸念されます。この情報窃取を行うマルウェアに感染させるために用いられる代表的な手法がフィッシングメールです。G7広島サミットに関連した日程や内容の調整に関するメールに、スケジュールや資料と称したURLリンクを本文に記載したり、ファイルを添付することで、正当な連絡を装い関係者にマルウェアを感染させるといったものです。このようなフィッシングメールは、情報窃取のサイバー攻撃の典型的な手法であり、昨今も日本国内で確認しています。例えば、2022年11月には警察庁と内閣サイバーセキュリティセンターが「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について」という内容で、フィッシングメールを用いた情報窃取に対する注意喚起を行っています。送信元のメールアドレスが、いつもと異なる場合や、過去のやりとりと脈絡のないメールを受信した場合は、当該メールへの返信以外の方法で送信者に内容の確認を行うことが推奨されます。

また、フィッシングメール以外にもG7広島サミットでは、物理的に重要人物が集合することを踏まえたサイバー攻撃も想定しなければなりません。例えば、出席者が宿泊するホテルのWi-Fi自体を乗っ取る、もしくはホテルのWi-Fiに偽装したアクセスポイントを用意し、そのWi-Fiに接続した宿泊者から個人情報や機密情報を盗み取るといった攻撃です。実際に「DarkHotel」と呼ばれる標的型攻撃者グループは、この手法を用いることでWi-Fi経由でホテルの宿泊者から情報窃取を行っていました。このDarkHotelは過去に日本国内でも活動を確認されているため、特に注意が必要です。対策としては、安全なネットワーク環境で、OSとセキュリティ対策ソフトを最新の状態にしておくことと、宿泊先などのWi-Fiにアクセスする際には信頼性を確認済みのネットワークに接続する、VPN接続を利用するといった対策が推奨されます。

SNSなどを用いた影響力工作：フェイクニュース/ディスインフォメーション

G7広島サミットのような国際的に注目されるイベントに乗じ、一般にフェイクニュースやディスインフォメーションと呼ばれる、虚偽情報を用いた影響力工作が行われる可能性があります。特に、国際社会や情勢に対する認知を意図的に変更させるための活動、いわゆるプロパガンダ的な工作活動には特に注意が必要です。2020年のアメリカ大統領選挙の際には、実際にフェイクニュースの拡散が大きな脅威となっており、FBIとCISAが共同で注意喚起を発出する事態となっています。

CISAがまとめているフェイクニュースを用いた影響力工作の戦術には、攻撃者は以下のような方法でフェイクニュースを拡散することが記載されています。
●偽のアカウントやWebサイトを作成する。メッセージの信憑性を高めるために、専門家やジャーナリストなどを名乗る。
●ディープフェイクによるコンテンツの作成。視聴者を欺くために、AIなどの技術を活用して捏造した写真、ビデオなどを作る。
●国民の草の根活動に見せかけた宣伝（astroturfing）を行う。あるメッセージに対して、複数のアカウントから同一または類似のメッセージを大量に投稿するなど、草の根的な支持や反対が広がっているように見せかけながら、情報発信元を隠蔽する。
●自分たちのメッセージの説得力や拡散力を増幅させるために、著名な個人や組織をターゲットにする。ターゲットは、偽情報発信者のシナリオを繰り返していることやそのシナリオが聴衆の心理を操作するものであると気づいていない場合が多い。

トレンドマイクロでは、ディープフェイク作成用、ディープフェイク検出用などのツールが売買されていることやSNSを使ったコンテンツ拡散サービスを提供するサイトを確認しており、攻撃者が意図的にフェイクニュースを生成、拡散するための環境が整っていることが明らかになっています。

サイバー犯罪アンダーグラウンドのフォーラムで売買されているディープフェイク作成用、ディープフェイク検出用などのツール

影響力工作には、偽の情報だけが使われるわけではなく、ある立場、思想の人々を支持する情報を繰り返し発信することで分裂を生み出すといったものもあります。さらには、SNSなどでは大量に情報が出回るために、情報の真偽やその意図を確かめることは困難な状況にあります。特に、社会的情勢が不安定な昨今では、相反する視点からさまざまな情報が発信されることになります。また、同じ事実を正しく伝えている場合でも、視点の違いによって伝わる印象が異なることもあります。SNSなどで発信されている情報をできるだけ正しく理解するためには、次のような取り組みが推奨されます。この取り組みはトレンドマイクロのセキュリティリサーチャーが実際に行っているものです。

●自分たちが確信する真実の中にも思い込み（偏見）や間違いがある可能性を排除できないことを意識する
●自分たちがプロパガンダの中心に放り込まれている可能性を排除できないことを自覚する
●完全に中立・公平な情報源などは存在しないということを認識する
●情報の中にある「事実」・「意見」・「仮定」を区別する
●重要な情報については、可能な限り第一次の情報源をたどる。引用された記事の出典を確認し、その全内容と発言の文脈を確認することも不可欠である
●発表前には、複数の専門家が確認した記事や、専門家が執筆した記事など、信頼できる情報源を必ず参照する

まとめ：G7広島サミットの関係組織とそのサプライチェーンは特に警戒を

ここまで、G7広島サミットで想定されるサイバー攻撃について解説してきましたが、やはり標的となりやすいのはG7広島サミットに携わっている組織とそのサプライチェーンとなります。特に、サプライチェーンを経由したサイバー攻撃は取引先や子会社等の侵害を起点に自組織に被害が連鎖するため、被害に気が付きにくい傾向があります。2022年10月公表の国内医療機関でのランサムウェア被害では、同じランサムウェアの感染が、医療機関が給食を委託している事業者でも起こっていたことが分かりました。専門化チームの報告によると、給食委託業者のデータセンターと医療機関のネットワークはVPNの閉域網でつながっており、給食委託センターのデータセンター内のサーバからリモートデスクトップ（RDP）による大量の不正通信が確認され、これが医療機関への侵入経路の可能性が高いとされています。

2022年10月公表の国内医療機関でのランサムウェア被害の概要（公表内容を元に整理）

このように、サプライチェーンを起点としたサイバー攻撃も今回のG7広島サミットでも十分想定されることから、関係組織はサプライチェーンを含めたサイバーセキュリティ対策及び状況把握が求められます。如何にしてサプライチェーン全体に適切なセキュリティ対策を講じていくかは、2023年3月に改定されたサイバーセキュリティ経営ガイドラインが参考になります。

トレンドマイクロでは、過去実施されたG7伊勢志摩サミットのサイバーテロ対策に協力しており、今後も法執行機関や民間企業への技術協力、知見提供を通して、サイバー犯罪の被害抑止に貢献して参ります。