アンディ・グリーンバーグ「サンドワーム ロシア最恐のハッカー部隊」角川新書 倉科顕司・山田文訳
本書では、サイバー戦争によってディストピア化を進行させているならず者の最も明確な例として、サンドワームの話を紹介する。
――はじめに
【どんな本?】
2015年のクリスマスイブ。ウクライナは大規模な停電に陥る。事故ではない。事件だ。物理的な攻撃ではない。サイバー攻撃である。目標はサーバでもパソコンでもない。制御システムだ。そして目的は愉快犯でも金銭でもない。政治的・戦略的・経済的にウクライナに打撃を与えることだ。単独犯による犯行ではない。組織によるものだ。それも、大規模で高度な技術を擁する。
以前から、連中にはコードネームがついていた。サンドワーム。
雑誌 WIRED のシニアライターを務める著者が、ウクライナ政府のみならず世界中の港湾施設や病院などのコンピュータを停止させた謎のサイバー・テロ組織サンドワームを追い、世界を巡ってその被害者やセキュリティ関連企業に取材した、迫真のドキュメンタリー。
【いつ出たの?分量は?読みやすい?】
原書は Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers, Andy Greenberg, 2019。日本語版は2023年1月10日初版発行。新書版で縦一段組み本文約423頁に加え、著者あとがき7頁。9ポイント41字×16行×423頁=約277,488字、400字詰め原稿用紙で約694枚。文庫なら厚い一冊分。
文章は比較的こなれている。内容も、少なくとも技術的には難しくない。というか、著者はあましITに詳しくない。取材相手からDNS(→Wikipedia)の講義を受けてたり。そのためか、多少IT系の言葉遣いがあやしい。と思えば、幾つかの用語を説明なしに使ってたり。その例は以下。
- マルウェア:不正プログラム(→Wikipedia)
- フォレンジック:証拠の保護およびシステムの保全?(→Wikipedia)
- ハクティビスト:政治目的を掲げる(広い意味での)ハッカー(→Wikipedia)
- ゼロデイ攻撃:修正プログラム配布前の脆弱性を突く攻撃(→Wikipedia)
あと、「ハッカー」は悪党の意味で使ってる。かと思えば、.vbs(→Wikipedia)やDNSは簡潔な説明がある。また、ド「メインコントローラ」(→Wikipedia)って言葉も出てくるんだが、これマイクロソフトのシロモノだよね。同様に「ワード」も、マイクロソフト・ワードを示すんだろうけど、KWord(→Wikipedia)やEGWORD(→Wikipedia)とかもあったんだぜ。最近は~WORDではなく~Writerが流行りみたいだけど。いったい、どういう読者を想定してるんだろう…って、雑誌 WIRED の読者か。
という事で、索引か用語集が欲しかった。
【構成は?】
前の章を踏まえて後の章が展開する構成なので、なるべく頭から読もう。
クリックで詳細表示
- はじめに
- プロローグ
- 第1部 出現
- 1 ゼロデイ
- 2 ブラックエナジー
- 3 アラキス
- 4 戦力倍増
- 5 スターライト・メディア
- 6 ホロドモールからチョルノービリまで
- 7 マイダンからドンパスまで
- 8 停電
- 9 視察団
- 第2部 起源
- 10 回想 オーロラ
- 11 回想 エストニア
- 12 回想 ジョージア
- 13 回想 スタックスネット
- 第3部 進化
- 14 警告
- 15 ファンシー・ベア
- 16 Fソサエティ
- 17 ポリゴン
- 18 インダストロイヤー、あるいはクラッシュオーバーライド
- 第4部 神格化
- 19 マースク
- 20 エターナルブルー
- 21 ノットペチャ
- 22 全国規模の大災害
- 23 崩壊
- 24 損害
- 25 事後分析
- 26 距離
- 第5部 アイデンティティ
- 27 GRU
- 28 離反者
- 29 情報敵対
- 30 ペナルティ
- 31 バッド・ラビット、オリンピック・デストロイヤー
- 32 偽旗
- 33 74455
- 34 タワー
- 35 ロシア
- 36 ゾウと反乱者
- 第6部 教訓
- 37 ブラックスタート
- 38 回復力
- エピローグ
- 付録 サンドワームとフランス選挙ハッキングのつながり
- 謝辞/著者あとがき/出典について/参考文献
【感想は?】
つくづく、ロシアはロクな事をしない。
ロシアのサイバー・テロ組織「サンドワーム」を雑誌 WIRED の記者が追ったドキュメンタリーだ。その過程で最大の標的となったウクライナはもちろん、ジョージア・オランダ・イギリス・米国などを飛び回り、被害者やセキュリティ企業そして国家の治安機関などに話を聞いている。
残念ながら技術的な詳しい話は出てこない。そもそも著者はプログラマじゃないし。また、情報セキュリティ関係者に役立つネタも、ほぼ出てこない。だから、その辺は期待しないように。あくまでも「記者がテロ組織を追ったドキュメンタリー」であって、技術書じゃないのだ。
冒頭から、標的にされたウクライナの悲惨な状況が切々と描かれる。マルウェア(不正プログラム)が蔓延しているのだ。
「ウクライナでは、攻撃されていない場所がありません。どの岩をひっくり返しても、コンピュータネットワークへの工作の痕跡が見つかるんです」
――第1部 出現
素人が面白半分で仕掛けてるんじゃない。組織的に、ウクライナを標的として攻撃を仕掛けているのだ。その結果、ウクライナでは大規模な停電が起きた。
長年身を潜め、能力を高め、偵察活動をしてきたサンドワームは、これまでそのハッカーも踏み出したことのない一歩を踏み出した。実際に停電を引き起こし、数十万人の民間人が利用する現実世界のインフラを無差別に破壊したのだ。
――第1部 出現
実質的な被害を考えれば、戦略爆撃みたいなモンだろう。犯罪どころか戦争行為である。これには、予兆があった。2007年4月のエストニアだ。DDoS(→Wikipedia)攻撃で、エストニア国内の多くのサイトが使えなくなった。
エストニアで起こったこの2カ月間の出来事は、一部の専門家のあいだでは、史上初のサイバー戦争、あるいは、刺激的に“第一次ウェブ大戦”と言われるようになる。
――第2部 起源
政府が大胆にITを活用する国として有名なエストニアだが、悪党にとっては魅力的な標的だったのだ。もっとも、エストニアを狙った理由は、もっと下世話なものだけど。だってNATO加盟国だし。
また、ロシアは実際の軍事侵略にサイバー攻撃を組み合わせた先例も作った。2008年のジョージア南オセチア戦争(→Wikipedia)だ。北京オリンピック期間中でもあり、軍事衝突ばかりが話題になったが、その陰でロシアはサイバー攻撃もしていたのだ。
(2008年8月のジョージアに対する)サイバー攻撃の実際の効果よりも重要なのは、ロシアが歴史的前例をつくったことだ。ハッカーによる破壊工作と伝統的な戦争をこれほど公然と連携させた国はこれまでになかった。
――第2部 起源
この時はサイバー攻撃による大きな被害はなかったが、ニュース・メディアはサイバー攻撃について大きな報道をしなかったし、各国の政府も表向きは問題視しなかった。
ジョンズ・ホプキンス大学で戦略と軍事を研究しているトマス・リッド教授の指摘によると、そのように(攻撃への非難や反撃を)放置された状況のもとでロシアは技術力の限界を押し広げるだけではなく、国際社会が許容する限界を探っているという。
――第3部 進化
つまり、ツケあがらせてしまうのだ。平和を維持するには、小競り合いでもキチンと反撃してメンツを保つのも大切なんです(「戦争と交渉の経済学」)。
さて、ロシアのサーバー・テロ組織としては、「情報セキュリティの敗北史」でファンシー・ベア(→Wikipedia)が挙がっているが…
サンドワームのハッカーは、姿を見せないプロの破壊活動家だ。一方、ファンシー・ベアは恥知らずで下品なプロパガンダ活動家のようだ。
――第3部 進化
「140字の戦争」にはロシアが運営するトロール(荒らし)工場が出てくる。著者もセキィリティ関係者も、その三者は見分けにくいというか、どうも連携してる雰囲気があったり。
さて、本書の主な舞台はウクライナだが、他国の情報セキュリティ企業の関係者も、テロリストが武器として使った不正プログラムを手に入れ、解析している。その結果、かなりヤバい事がわかってきた。
「このマルウェア(CRASHOVERRIDE,→IPA 独立行政法人情報処理推進機構/pdf)のすばらしさは、どの国でも、どの変電所でも実行できることです」
――第3部 進化
変電設備は国により様々なメーカーや機種があり、操作・命令系統も異なる。この違いを吸収するために、ロシア製の不正ソフトウェア CRASHOVERRIDE は、設備への命令部分をモジュール化していた。他国を攻撃する際は、そこだけ差し替えればいい。つまり、わが国がいつ攻撃されても不思議じゃないのだ。
更にロシアはよりより凶悪な不正プログラム NotPetya を発動、2017年6月27日にウクライナ中のパソコンが狂ってしまう。
ウクライナのインフラ相ヴォロディミール・オメリヤン「政府が機能停止しました」
――第4部 神格化
ばかりではない。NotPetya は世界中で猛威を振るい、例えば世界トップの海運企業マースク(→Wikipedia)の社内でもパンデミックを起こし、各国の港湾が麻痺状態に陥った。病院も被害を受けたというから恐ろしい。
この被害を…
ホワイトハウスの評価では、結果として合計100憶ドルを超える損害があったという。
――第4部 神格化
これはあくまでも表沙汰になったモノだけで、水面下でどれぐらいの被害が出たのかは不明だ。最近も日本じゃアスクルやアサヒグループホールディングスが被害を受けてたり(→YaHoo!ニュース)。いや犯人はサンドワームじゃないようだけど。
さて、これらの不正プログラムの感染源となったのは、会計支援アプリケーションのアップデート・サーバだ。脆弱性を塞ぐために最新版にアップデートしたら、おまけに不正プログラムまでついてきたのだ。病院でワクチンを受けたら病気に感染した、みたいな話で実に怖い。その会社の担当者曰く…
単に狙われるとは思っていなかった
――第4部 神格化
発電所などのインフラでもなく、軍のような安全保障のキモでもない、ただの民間企業だから、と油断してたワケです。ありがちですね。
これらの事故というより事件の裏にはロシアのスパイ組織GRU(→Wikipedia)がある、そう情報セキュリティ企業が明言しているにも関わらず、西側の政府はダンマリを決め込んでいたが、2018年にやっと…
ジェレミー・ハント英外相「同盟諸国とともに、われわれは国際社会の安定を脅かそうとするGRUの企てを明らかにし、それに対応する」
――第5部 アイデンティティ
と、声明が出た。それまで、オバマ政権もトランプ政権も黙っていたのだ。その理由の一つは、イランの核燃料濃縮施設を狙い明国とイスラエルが共同開発した不正プログラムStuxnet(→Wikipedis)だろう、と著者は推測している。「俺たちが使えなくなったら困るじゃないか」、そういう理屈だ。
先に述べたように、ロシアが狙うのはウクライナだけとは限らない。というか、既にマースク社などが巻き添えで大きな被害を受けている。幸か不幸か、当時のウクライナはあまりコンピュータが浸透しておらず、従来のアナログな技術が多く残っていた。そのため、コンピュータを切り離すことで復旧できたのだ。
だが、現代の米国や日本は、もっとIT化が進んでいる。加えて、若い担当者はアナログな時代を知らない。これが示す現実は怖ろしい。
「アメリカの送電網を停止させるのは、ウクライナでやるよりむずかしいでしょう」
「でも停止させたままにしておくのは簡単かもしれません」
――第6部 教訓
などの本筋の迫力に加え、情報セキュリティ企業が不正プログラムを集めるため敢えて囮とするサーバを運営しているとかの、情報セキュリティ系のゴシップも山盛りで楽しかった。技術的にはあまり役立つ内容ではないが、ロシアの悪辣な手口や、それに対する西側各国の甘い対応、そして被害を受けた現場の状況などは、実に身につまされる本だった。マウスが勝手に動く場面とかね。いやマウス操作の自動化は、まっとうなソフトもあるのよ、おーとくりっか~ (→窓の杜)とか。
そんなワケで、ロシアを警戒する人にお薦め。
【関連記事】
- 2025.8.28 リー・ネヴィル「ヴィジュアル版 現代の地上戦大全 中東、ウクライナの前線から戦術、将来戦まで」原書房 村上和久訳
- 2025.7.7 アンドリュー・スチュワート「情報セキュリティの敗北史 脆弱性はどこから来たのか」白揚社 小林啓倫訳
- 2021.7.11 サミュエル・ウーリー「操作される現実 VR・合成音声・ディープフェイクが生む虚構のプロパガンダ」白揚社 小林啓倫訳
- 2020.7.21 デイヴィッド・パトリカラコス「140字の戦争 SNSが戦場を変えた」早川書房 江口泰子訳
- 書評一覧:歴史/地理
- 書評一覧:軍事/外交
- パソコン・インターネット
【蛇足】
技術的にも情報セキュリティにもあまり役に立たない本だが、二つほど気が付いた事がある。先の「ワード」や「ドメインコントローラ」が示すように、本書で被害を受けたのは、みな Windows なのだ。というか、著者はコンピュータ=Windows、と思い込んでるフシがある。
マースク社は Windows のドメインコントローラを潰され、会計支援ソフトの企業はアップデートサーバが感染源になった。なら、サーバとクライアントやバックアップと日常用は、異なるOSにすりゃいんじゃね、と思うのだ。クライアントや日常用がWindowsならサーバやバックアップはLinuxやMacintoshやAWSとか。まあ、それはそれで管理が面倒ではあるんだろうけど。
もう一つ気づいたのは、感染のパターンだ。電子メールの添付ファイルについてたワープロ文書のマクロに不正プログラムが入ってた、そういうケースが多いのだ。
そもそも、なぜワープロ文書なのか。地図や構成図などの絵があるならともかく、文章だけなら電子メールの本文に書けばいいじゃないか。本当にワープロ文書である必要があるのか。「屈辱の数学史」には、「某社の表計算ファイルの42.2%には一つも数式がなかった」なんて記述もある。「なんかカッコいいからワープロを使う」みたいな風潮が、社内に蔓延してたんじゃないか。
と思ったら、ソコを指摘してるサイトもあった(セキュアSAMBAのワードをメール添付で送るリスク)。やっぱりそうか。
ヤバいマクロが勝手に動く危険もあるし、メールサーバの容量も無駄に食うしね。下手すっと一桁多くなるのだ、メールの容量が。だもんで、ネットワーク管理者には嫌われるのだ。
そのうち、マクロ機能がないワープロソフトとかが出回るんじゃないかなあ。セキュア・ワードみたいな名前で。
そんなワケで、マナー講習とかでも、「電子メールはなるたけ添付ファイルを使わないように」とか広めてほしいな、と思うのであった。
以上、駄文でした。
