北のサイバー戦力「核・ミサイルと並ぶ万能の宝剣」に敗れたソニー 浮き彫りになるダダ漏れの原因
ソニーVS北朝鮮
北朝鮮によるソニー米映画会社ソニー・ピクチャーズエンタテインメント(SPE)へのサイバー攻撃で改めて注目を集めているのが、北朝鮮のサイバー部隊がすごいのか、それともSPEのセキュリティが甘いのか、という素朴な疑問だ。
北朝鮮のサイバー戦力がそれなりのレベルに達しているのは疑いようがない。昨年3月、韓国の放送局、金融機関などがサイバー攻撃を受け、6~7月に韓国大統領府、政府機関、放送局、新聞社などが狙われた。北朝鮮によるサイバー攻撃だ。
12年6月にも韓国・中央日報の新聞製作システムがサイバー攻撃を受けた。中央日報の報道では、比較的被害が少ない分散サービス妨害(DDoS)攻撃ではなく、新聞を制作するサーバーに侵入して破壊し、新聞発行に打撃を与える強力で悪質なものだった。
北朝鮮の手口は11年ごろまでDDoS攻撃が中心だったが、12年に、より高度な侵入、偵察、収奪、破壊などのクラッキング・レベルに達したとみられている。
中央日報によると、北朝鮮偵察総局傘下に1万2千人余が所属し、うち1千人余が海外で活動。偵察総局などを柱にサイバー司令部が創設され、7つのハッキング組織で1700人余が活動しているという(13年11月時点)。
11年6月の韓国の脱北者団体「NK知識人連帯」主催の「北朝鮮のサイバーテロ関連緊急セミナー」で発表された資料「北朝鮮のサイバーテロ能力」では、北朝鮮はサイバー戦力養成のため、全国から優秀な人材を発掘し専門教育を行っている。
北朝鮮の金正恩第1書記は「サイバー戦は、核・ミサイルと並ぶ万能の宝剣」と位置づける。通常兵器では韓国や米国に対抗できないが、核・ミサイルは抑止力となり、サイバー戦ではあらゆるモノを盗み出したり、破壊したりできる。
しかも、米国や韓国、日本には有益な情報があふれている。サイバー戦力は非対称戦を仕掛ける無法国家には必要不可欠だ。
活かされなかった教訓
11年には、ソニーのインターネット配信サービスにハッカーが不正侵入し、1億件を超える個人情報が流出する事件が起きている。クレジットカード番号は暗号化されていたものの、名前や住所、生年月日などの個人情報は暗号化されていなかったと報じられた。
どんな暗号もセキュリティもいつかは破られる。米国家安全保障局(NSA)などの国家アクター、ハッカー、テロリスト、犯罪組織がうごめくサイバー空間では攻撃者と守備者の目まぐるしいイタチごっこが繰り広げられている。
しかし、ソニーが前回の教訓をグループ内で共有した形跡はない。ソニー・ピクチャーズエンタテインメント事件で図らずも浮き彫りになってしまったダダ漏れのセキュリティに欧米メディアも厳しい目を向ける。
サイバーセキュリティに詳しいTom Fox-Brewster記者は英日曜紙オブザーバーに寄稿し、問題点を列挙しながら、「ソニーは適切に自分を守っていなかった」と結論づけている。
問題点(1)パスワードを「パスワード」と書いたファイルに保存
計139のワード文書、エクセル・スプレッドシート、圧縮ファイル、PDFが同ファイルに保存され、社内コンピューター、フェイスブックやマイスペース、ユーチューブ、ツイッターなどソーシャルメディアのアカウント、ウェブサービスアカウントの数千のパスワードがテキストで記録されていた。
これには北朝鮮のサイバー部隊も驚いただろう。労せずして扉を開ける大量のパスワードを入手できたのだから。
問題点(2)パスワードが単純すぎる
最高経営責任者(CEO)のマイケル・リントン氏のパスワードは「Sonyml3」だったという。パスワードの中に社名や名前、イニシャルを入れるのはご法度だ。パスワードは推察するのが難しいよう、できるだけ長くするのが基本だ。パスワードが入手できていなくても、中級ハッカーでも簡単に侵入できたはずだ。
問題点(3)機密は電子メールでやり取りするな
会社のトップシークレットになるような法的なやり取りを電子メールで行なっていたのはいかがなものか。会って話したり、電話でやり取りしたりした会話は消えるが、電子メールのテキストはサーバーに保存される。
問題点(4)機密は暗号化せよ
暗号化していれば情報が盗まれても、みだらな電子メールの内容や秘密の活動、ロビー活動が表に出ることはなかった。
問題点(5)社内ネットワークに探知システムを
今回使われたウィルス「Destover」は単純かつ荒削りでネットワーク内で稼働する前にノイズを発生する。しかし、ソニー・ピクチャーズエンタテインメントは数カ月にわたる北朝鮮の偵察活動にまったく気付かなかった。
問題点(6)個人情報の管理がずさんすぎる
今年1月に、同社ドイツ事務所からニュースレターの送付先4万7千人分の個人情報が流出。ブラジルの映画関係者749人の連絡先も流出した。
大スターのシルベスター・スタローンや米映画監督ジャド・アパトー、オーストラリアの女優レベル・ウィルソンの個人情報も含まれていたという。同社社員や元社員のプライバシーも守られず、北朝鮮の手中に落ちた。
これはもうパロディと言うほかない。11年のインターネット配信サービス不正侵入事件でソニーはいったい何を学んだのだろうか。
(おわり)
