日本政府や日本企業に“サイバー攻撃” 「キルネット」とは

日本の政府や企業へのサイバー攻撃を主張しているハッカー集団「キルネット(KILLNET)」。
9月7日には、「日本国政府全体に宣戦布告」などと述べた動画も投稿した。ロシアによるウクライナ侵攻以降、ウクライナを支援する国に次々とサイバー攻撃を仕掛けていると見られている。NHKはこれまで「キルネット」の独自取材を続けてきた。彼らは一体何者なのか。

(サイバー取材班 福田陽平)

キルネット」は、ロシア政府を支持するハッカー集団で、政治的な主張を目的として活動する「ハクティビスト」の一つだ。

2月のロシアによるウクライナ侵攻以降、ウクライナだけでなく、ウクライナを支援している国も標的にしてサイバー攻撃を展開しているとされる。

誰でも見ることのできるSNSにチャンネルを開設し、自身の主張を投稿している。チャンネルの登録者数は、現在、およそ9万人に上っている。

これまでの取材では、キルネットの組織は、ウクライナ侵攻以前から存在していたが、いま行っているような活動は、ことしの1月末か2月初めころから開始したと見られる。

主な攻撃は、ウェブサイトやサーバーなどに大量のデータを送りつけ、機能停止に追い込む「DDoS攻撃」だ。

ウクライナ支援国を次々と攻撃か

これまでに、ウクライナへの武器輸送に関わったとされるアメリカの空港やイタリアやリトアニアの政府機関のウェブサイトなどを攻撃したとしている。

中には、ことし5月、ヨーロッパの国別対抗の歌謡祭「ユーロビジョン・ソング・コンテスト」の開催中に、ライブ配信サービスに対して攻撃を試みたとも報じられている。

アメリカの国土安全保障省は、「世界中の重要なインフラに脅威をもたらす」などとして、このグループを名指しし、危険性を指摘している。

初の日本への攻撃か

キルネットは、9月6日、SNS上で、日本政府が運営する行政情報のポータルサイト「eーGov」や地方税のポータルシステムのウェブサイト「eLTAX」、それに、クレジットカード会社に対して、サイバー攻撃を行ったとする主張を投稿した。
その後、ソーシャルネットワークサービス「mixi」や、名古屋港管理組合のホームページ、さらに翌日には東京メトロや大阪メトロのサイトも標的にあげた。

いずれのサイトも、アクセスしづらくなった状態があったことが確認されているが、実際に、攻撃によるものなのかは不明で、政府などが関連を調べている。

そして、7日には「日本国政府全体に宣戦布告」などと述べた、日本語字幕付きの動画も投稿。その後も、掲示板サイトへの攻撃を主張するなど、日本に対する攻撃姿勢を崩していない。

情報セキュリティーの専門家によると、これまで確認されているかぎり、日本はキルネットの攻撃対象になったことはなく、今回が初めてだとみられる。

キルネットの動向に詳しいアメリカの情報セキュリティー会社「Treadstone 71」は「日本のロシアに対する制裁、国連のウクライナ侵攻への非難決議、北方領土をめぐる争いとビザ無し交流の停止、日本のロシアと中国の軍事行動に対する対抗姿勢、これらが『代理人』=キルネットに日本を攻撃させるというクレムリンの指示につながった可能性が高い」と分析している。

「堪忍袋の緒が切れた」

キルネットとは、一体何者なのか。

NHKは、ウクライナ侵攻に関わる「サイバー戦」を取材する中で、キルネットに着目。メンバーだという人物への取材を行っていた。

1か月にわたる交渉の末、6月、文書とビデオメッセージによる回答を得た。

あなたたちは何者なのか。
そして活動の動機は何なのか、それを問うと…。

「キルネットは、ロシアをめぐる情勢を好ましく思っていない普通のロシア人たちの集まりだ。ハッカー集団としてキルネットが生まれたのは、堪忍袋の緒が切れたからだ。祖国に対し真の第三次世界大戦が行われているのに、ただじっとしているわけにはいかない」

ロシアの侵攻後、ウクライナ政府は、「IT軍」を立ち上げ、世界中の市民に対してロシアへのサイバー攻撃に加わるよう、協力を呼びかけていた。キルネットは、そうした現状に、強い憤りを表明していた。

「民間のサービスが攻撃されている。親ウクライナのハッカーは、攻撃対象を絞り込むことなく、可能なかぎり大きなダメージを与えることを目的としている。何の信念もモラルもない」

組織構成については、DDoS攻撃を行う部門と、公開情報の収集やハッキングなど、それ以外のサイバー活動を行う部門があると説明した。

日本は「敵対的」

ロシア政府当局との連携についても聞いたところ、次のように答えた。

「私たちは当局とは関係なく活動している。私たちは当局機関の出身者ではない。しかし、戦争に有利に働くような情報を得ることができれば、私たちはそれをしかるべき人々に伝えている」

また攻撃のターゲットとなる国を選ぶ基準については、精査を行っているとした。

「私たちは、反ロシア的な政策をとり、ウクライナでの戦争に資金提供している国を攻撃している。攻撃に先立ち、私たちは入念に、ニュースや、その国の国民の気運、全体的なその国の情勢を精査する。決定を下すにあたり非常に多くの要因が絡んでいる」

たちは日本について聞いた。

「私たちは、あらゆる非友好国を、潜在的な攻撃対象であるとみなしており、日本も例外ではない。日本は現時点ではターゲットとしての優先順位は低い。しかし、日本が今、われわれに対して敵対的であるという事実は無視できない」

専門家「プロ集団か」

サイバーセキュリティーに詳しい大阪大学の猪俣敦夫教授は、今回、日本の政府サイトなどに対して攻撃を行ったとされるハッカー集団について、高い技術を持っている可能性があると指摘する。

「近年、大きな組織や企業は、それなりのDDoS攻撃には、耐えうるシステムを備えていることが多く、攻撃によって完全にサービスが提供できない状態にさせることは難しくなりつつある。それにもかかわらず、今回『e-Gov』をはじめとした大規模システムで影響が出たことは大きなインパクトがある。サイバー攻撃にたけたプロ集団が関わっていると推定できる」

さらに、「ビジネス」として攻撃に加担するサイバー犯罪者の関与もありうるという。

「ハッカー集団の一部は攻撃活動そのものをビジネスとしている。つまり、お金をかければかけるほど誰でも優秀な攻撃チームを雇うことが可能だ。今回、攻撃を確実に成功させるためにそれなりのコストをかけてグループを構成したのではないか」

サイバー犯罪者が参加?

実際に、キルネットが、サイバー犯罪とも関わっていることをうかがわせる情報も確認されている。

対策は

では、私たちは、こうした攻撃にどう備えればいいのか。

世界中のDDoS攻撃を観測している情報セキュリティー会社「インターネットイニシアティブ」=IIJの堂前清隆シニアエンジニアによると、今回の攻撃に関わる直接的なデータは観測できていないという。

しかし、ぜい弱性を抱えた世界中のIoT機器などを乗っ取り、攻撃に悪用する「ボットネット」が活用され、大量の通信が、ウェブサイトに送り込まれた可能性があるという。

「DDoS攻撃自体は、日常的に頻繁に発生しているものだが、今回、政府機関を中心に大きな影響が出た可能性があることに驚いている。世界中にある通信機器などには、ぜい弱性を抱えているものが大量にあり、それらから少しずつ一斉に攻撃の通信を送り出しているのではないか」

DDoS攻撃への対策について、堂前さんはサーバーを分散させて負荷を軽減させる「CDN=コンテンツデリバリーネットワーク」と呼ばれる仕組みや、送られてくる通信が、攻撃によるものであるかどうか自動的に分析して遮断するシステムの導入などが考えられるとしている。

また、大規模な攻撃を受けた場合には、通信事業者と連携して通信を制限するなどの対応をとることもできるという。

さらに攻撃を受けてサイトがダウンしても、SNSなどで必要な情報を発信する手段を確保することも、サイトの運営者にとっては重要だと指摘する。

「サイバー攻撃では、大手企業に名前が似ているなど、とばっちりとしかとらえられないケースもあるのが実態だ。自社のサイトが攻撃を受けることで事業やサービスの何が止まるのか、何度も振り返り、点検していくことが必要だ」

猪俣教授は、今回のような日本に対するサイバー攻撃は、今後も続くおそれがあると指摘する。

「今後も同様のDDoS攻撃は行われるおそれもあり、特に社会に影響の大きい重要インフラ企業や世界的にも名だたる企業はねらわれやすいと考えられる。積極的に、緊急時の対応計画を今のうちから考えてほしい」

今回、キルネットの主張と、実際にサイトがつながりにくくなったことの関連は、裏付けられてはおらず、不明な点は多い。また、現在のところ、DDos攻撃以外の攻撃が行われた形跡も確認されてはいない。

しかし、政府の機関やインフラが、高度な技術を持つハッカーにねらわれたとすれば、今後、大きなシステム障害などにつながる事態が起きる可能性も否定できない。

国境のないサイバー空間に潜む見えない脅威に対して、私たちは今すぐに備える必要があることだけは確かだ。