第354号コラム「ISIL同調者によるサイバー攻撃の状況について」

第354号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 理事 上級分析官)
題:「ISIL同調者によるサイバー攻撃の状況について」

2014年3月上旬、国内の複数のインターネットサイトのトップページが改ざんされ、過激派組織「イスラム国」(以下、ISIL)のものとみられるマークが表示される被害が相次いだ。この攻撃手口は、世界各国のISIL同調者(英語では、ISIL supporters)の一部のグループが仕掛けている攻撃キャンペーンの一部であることが明白であるのに、日本国内においては、ISIL同調者の情勢分析を発信しているところがほとんど見当たらない。

そのため、このコラムで、ISIL絡みの実世界(物理的空間)とサイバー空間で発生している事案について紹介しつつ、今後のISIL同調者によるサイバー攻撃の見通しについて考えたいと思う。

2014年夏、ISILに対する米軍主導の空爆が開始されて以降、ISILは過激派ウェブフォーラムやソーシャルメディアを通じて欧米諸国に対する報告を呼びかけるようになった。サイバー空間を通じた、このような呼びかけはISIL同調者に加え、欧米諸国内ホームグロウン・テロリストや過激主義者(以下、Homegrown Violent Extremism(s);HVEs)をテロに駆り立てる恐れがある。実際に、オーストラリア、カナダ、フランス、英国において、米軍の空爆開始以降、ISILと組織的或いは思想的な繋がりを持つHVEsによる政府関係者を標的としたテロ事件やテロ未遂事件が発生した。

・(2015年1月9日)フランスのパリ東部のユダヤ教系食料品店で発生した人質事件。実行犯のアメディ・クリバリ容疑者(32歳)は、自ら投稿した動画において自身が「イスラム国」のメンバーであると主張。

・(2014年12月20日)フランスのジュエレトゥールで、イスラム教に改宗したフランス人男性(20歳)が刃物で警察官3人を襲撃し、射殺される事件が勃発。実行犯は、アフリカ中部ブルンジ出身の移民とされ、犯行時に「アッラー・アクバル」と叫んでいたことから、イスラム過激思想に触発された犯行とみられる。

・(2014年10月22日)カナダの首都オタワでの連邦議会議事堂襲撃事件。実行犯のマイケル・ゼハフビボー容疑者は、ケベック州出身のカナダ人(32歳)で、シリアで活動するイスラム過激派に合流する恐れがあるとし、治安当局が「要注意人物」に指定し、旅券を没収していた。

・(2014年10月20日)カナダのケベック州のサンジャン空軍基地近くでカナダ人兵士2人を車ではね、うち1人を死亡させたMartin Rouleau-Couture容疑者は、2年前にイスラム教に改宗し、「イスラム国」を支持していたと伝えられている(同氏は、トルコ行きの航空機に乗り込む準備をしていたところを拘束されたが、証拠不十分で釈放されていた)

・(2014年10月8日)イスラム国に傾倒する過激主義者によるロンドンの警察官や兵士を標的としたテロ未遂事件。テレサ・メイ内相は、英国内におけるテロの脅威は「2001年9月の米同時テロの前後を含め、現在が最も危険」と述べ、これまでに約40件のテロ計画を阻止したことを明らかにした。

・(2014年9月23日)オーストラリアのメルボルン郊外で、「イスラム国」賛同者とみられる男性が、警察署を襲撃し、警察官2人を刃物で刺し、射殺される事件が発生。

・(2014年9月18日)オーストラリア連邦警察は、テロを計画した容疑で、「イスラム国」関係者15人を拘束。

サイバーディフェンス研究所の主任分析官として、実世界とサイバー空間の関係性に着目したテロ関連の情勢分析を担当している宮内伸崇氏は、ISILのテロ活動には次の3つの特徴があると分析している。

1「訴求手法と対象」の変化: ソーシャル・メディアを通じた社会的弱者への感情的訴求
・「イスラム国」が、ソーシャル・メディアを最大限に活用してオンライン・プロパガンダやリクルート活動を行っているのはよく知られている。しかし、「イスラム国」が他のテロ組織と異なるのはソーシャル・メディアの活用だけでなく、その訴求手法や訴求対象においても一線を画す。

・例えば、アルカイダ(関連組織)が、欧米等のムスリム社会の高学歴・富裕層を対象として、雑誌「インスパイア(Inspire)」の発行等、文字を中心として知性に訴えかける訴求手法をとったのに対して、「イスラム国」の特徴は、(1)各主要国の移民等、社会的弱者を訴求対象とし、(2)YouTubeやソーシャル・メディアを通じた音声・動画配信等、視聴覚を中心として、(3)訴求対象の「感情」に訴え掛ける点にある。

2「実行犯(Perpetrator)」: 「イスラム国」外国人戦士からHVEsへ
・米軍による「イスラム国」に対する空爆が開始されて以降(2014年8月)、欧米諸国内で発生するテロの実行犯(のタイプ)が、「イスラム国」から何らかの指示を直接受けて戦地から帰還した外国人戦士から、「イスラム国」の言動やレトリックに駆り立てられたHVEsへとシフトしている点は注目に値する。

・実行犯のタイプが変容している背景には、(1)西欧諸国によって新たに導入されたテロ対策の結果、「イスラム国」に加担する外国人戦士たちが、自国に帰還出来なくなったことに加えて、(2)新たに「イスラム国」に加担しようと計画していた国内のHVEsが、旅券を没収されたことで「イスラム国」に参画出来なくなった代わりに、自国内でテロを引き起こすという新たなサイクルが生まれたことにあると考えられる。

3「攻撃対象(Target)」:一般市民から治安当局や軍等の政府関係者へ移行
・米軍による「イスラム国」に対する空爆開始を境に、「イスラム国」は、一般市民を標的とした無差別テロ攻撃から、治安当局、軍、情報機関を中心とした政府関係者を標的としたテロ攻撃へと攻撃対象をシフトしている。その理由として、米軍による空爆への報復の可能性が指摘できる。

このようなISILのプロパガンダ活動に触発を受けた者の中で、行動する場を実世界ではなく、サイバー空間にしている者も数多く存在している。

これまでに確認されている彼らの行動(サイバー攻撃)は、Twitter等のSNSアカウントの乗っ取りや、不特定多数のサイト改ざんが挙げられる。いずれも、ISILが他所で発信済みの主張や脅迫の再発信、或いはISIL関連サイトへの誘導が目的と見られるものである。

例えば、2014年秋頃から、アルジェリアを拠点としたハッカー集団は、ほぼ毎日数十以上の欧米諸国のサイトを改ざんしている。実は、このハッカー集団は、2009年にイスラエルからガザに対する空爆に対する報復として、イスラエルに対するサイト改ざん等のサイバー攻撃を仕掛けたことで有名である。その後、攻撃対象を変えながら、現在、ISIL同調者として様々なところにサイバー攻撃を仕掛けている。彼らの攻撃対象はISILが発信するメッセージや主要メディアが伝える欧米諸国の取り組みに強い影響を受けている節が見られる。

また、2015年1月上旬、フランスのパリで発生したシャルリー・エブド襲撃テロ事件で犠牲になった方々を悼み、イスラム過激派によるテロ攻撃に屈しない姿勢を示す大規模なデモ行進が行われ、これに、欧州各国首脳も含めた数百万人が参加したという報道がされた。その直後から、フランス国内で19,000ほどのインターネットサイトの改ざんや、米中央軍の公式TwitterとYouTubeのアカウントの乗っ取られた。

その時期から現在(本コラム執筆時)に至るまで、欧米諸国のサイト改ざん数は増加の一途を辿っている。その過程で、2015年3月上旬、日本においても同様な事象が発生した。

このようなISIL同調者によるサイバー空間における行動(サイバー攻撃等)の手口は、数をこなすことに偏重しているためか、シンプルな手法をとっている。その一つがGoogle Dorking(グーグル ドーキング)と言われる手法である。

Google Dorkingとは、インターネット上に公開している情報のうち、公開者が意図的に隠していない情報(見られないだろうという思い込んで無意識に公開してしまっている情報)を、悪意をもって見出そうとするテクニックの総称である。このテクニックにより得られる情報は、(セキュリティ対策の認識不足から公開してしまっている)組織内の断片的な機微情報や個人情報の他に、インターネットに露出しているアプリケーションの脆弱性、セキュリティ上の設定不足、そして、不必要なサービスに関する情報もある。その多くの情報は、通常のインターネットアクセスでは到達しにくいTor(トア)空間のDOXBINのような共有サイトを通じて、ISIL同調者を含めた悪意のある者らと相互補完的な情報共有を積極的に行っている。

以上のように、ISIL同調者によるサイバー攻撃の状況の一部を紹介したが、彼らが水面下で行っている行動等を観察及び分析を重ねていくたびに、今後のISIL同調者によるサイバー攻撃は、ますます増加し、その範囲(標的)は拡大し、そして、その手口はさらに巧妙になっていく可能性が高いという言わざるを得ない。特に、日本は、サーバー内のデータ保護が弱く、適切なセキュリティ保守がされていないインターネットサイトの多さが目立つ。つまり、割合的には脆弱なインターネットサイトが非常に多いため、現時点の日本は、「世界を率先する強靭(脆弱の反意語)なサイバー空間を構築できていない」と認めざるをえない。

ISIL同調者の行動に係る発動の容易性及び柔軟性は非常に高く、水面下での積極的な情報共有は洗練され、相互補完的に活動する仲間が増加している。一方、防御側に相当する我々の状況は、行動を起こす前の段階で足踏みしている。未だに行われているセキュリティ啓発活動、情報共有のための合意形成或いは部分的(限定的)共有、形骸化(現状に合わない)サイバー演習、サイバー空間の情勢分析の欠落などが目立つ。

かなり長文となってしまったが、筆者は、これを読まれた方に、「サイバー空間を利用した深刻な事態が発生することが十分に予見されている状況」があることを理解いただくことを心から願っている。そして、筆者は、必要な行動を取っていただくための支援を出来るだけ継続していく所存である。

【著作権は、名和氏に属します】