2022年6月27日午前3時8分、イラン西部のペルシャ湾岸近くにあるフーゼスターン製鋼所で、発光しながら溶解する金属の入った容器に巨大な蓋が下ろされた。製鋼所内の監視カメラの映像を見る限り、容器はグレーの作業着にヘルメットという姿でそばに立つふたりの作業員の背丈の数倍あり、華氏数千度に加熱された液状の鉄100トンが楽々入る大きさだ。
ふたりの作業員が画面の外へと消える。それから映像は10分後の様子へと切り替わる。すると突然、巨大な取鍋が動き、カメラに向かって揺れ始める。次の瞬間、炎が四方八方に飛び散り、火と煙が施設内に充満する。白熱した液状の鋼鉄が容器の底から床にみるみる流れ出ている様子が見える。
映像の下部には、この混乱を引き起こしてメッセージングサービスTelegramのチャンネルに動画を投稿したハッカー集団「プレデトリー・スパロウ(Predatory Sparrow)」による注意書きのようなものが表示されている。「映像からわかるように、このサイバー攻撃は罪なき民間人に被害が及ばぬよう慎重に行なわれた」
だが、映像をよく見るとそれとは真逆ともいえる事実がわかる。製鋼所の混乱が始まって8秒後、ふたりの作業員が取鍋の下から、降り注ぐ火花をくぐり、超高温の液体金属の奔流が数メートル先に迫るなか走って出てくるのが見える。「あと少し放出口に近かったら焼かれてしまっていたでしょう」と、産業向けサイバーセキュリティ企業SCADAfenceの最高技術責任者(CTO)でこの攻撃を分析したポール・スミスは言う。「1,300℃の溶鋼に襲われることを想像してください。即死です」
フーゼスターン製鋼所を標的としたこの破壊工作のように、サイバー攻撃が何かを物理的に破壊した例は数少ない。しかし、史上最高レベルに攻撃的なハッキング事件をいくつも起こしてきたプレデトリー・スパロウにとっては、今回の作戦は何年にもわたるハッキングキャリアのひとつに過ぎなかった。イランの3つの製鋼所を狙った(ただし物理的な損害を及ぼしたのはひとつ)今回の攻撃の前後数年で、プレデトリー・スパロウはイランの鉄道システムのコンピューターを麻痺させ、同国の半数以上のガソリンスタンドの決済システムを一度ならず二度停止させた。二度目となる23年12月の攻撃では4,000以上のガソリンスタンドでPOSシステムが使用不能になり、全国的な燃料の不足をもたらした。
実際、プレデトリー・スパロウ(公に向けた声明では、ペルシャ語で同じ意味(肉食スズメ)を表す「ゴンジェシュケ・ダランデ」を自称する)は、ハマスとの争いがイスラエルとイランの間の緊張をいっそう高めるはるか前からイランに狙いを定めてきた。イラン側によるハッキングや代理勢力を通じた攻撃のあとに、イランの民間人の生活を混乱させる攻撃を仕掛けることも非常に多い。例えば12月のガソリンスタンドへの攻撃の前には、イランとつながりのあるハッカー集団が世界各地の水道施設で使われているイスラエル製機器のシステムを改ざんし、さらにイランが支援する武装組織であるフーシ派はイスラエルに向けてミサイルを発射したうえ紅海で船舶を攻撃していた。「ハメネイよ! われわれはこの地域における君の邪悪な挑発行為に対抗する」と、プレデトリー・スパロウはイランの最高指導者に向けてペルシャ語でツイッターに投稿した。
プレデトリー・スパロウはハクティビスト[訳注:社会的・政治的な主張を目的としたハッキング活動をする者]集団の皮をかぶっているが(イラン人であるかのように見せかけることもある)、その技術力の高さからは政府や軍が関与している可能性もうかがわれる。21年には、米国防筋がイスラエルとの関連を『ニューヨーク・タイムズ』で指摘している。一方、プレデトリー・スパロウの活動を追うサイバーセキュリティ・アナリストのなかには、この集団の攻撃はサイバー戦争の定義におおむね当てはまるものの、自制が大きな特徴のひとつであると言う者もいる。つまり、本来ならもっと大きな成果を上げられたことを示しながら、被害の規模を意図的に抑えているのだ──抑えているように見せている、というほうが正確かもしれないが。フーゼスターンの製鋼所で少なくともふたりの作業員の身が危険にさらされたことは、民間人の安全を守るという主張にまったく反する。
プレデトリー・スパロウの最大の特徴は、攻撃を通して特定の地政学的メッセージを発信することへの関心が見られる点である、とサイバーセキュリティ企業SentinelOneのアナリストで、長年このグループの活動を追ってきたフアン・アンドレス・ゲレロ=サーデは言う。それらのメッセージはすべて、ひとつの大きなテーマにつながっている──もしイスラエルやその仲間を攻撃するなら、われわれには君たちの文明を大混乱に陥れる能力がある、と。「自分たちはイランに手を伸ばして直接大きな影響を及ぼすことができると示しているのです」とゲレロ=サーデは言う。「君たちがフーシ派やハマスやヒズボラという代理勢力を支援することはできるだろう。しかしわれわれプレデトリー・スパロウは、遠く離れた場所から君たちの国を少しずつ解体できる、というメッセージです」
プレデトリー・スパロウの、短くも際立った超破壊的サイバー攻撃の歴史を以下に紹介する。
2021年:列車システムの大混乱
21年7月上旬、イランの国鉄の時刻表を表示するコンピューターに、「サイバー攻撃のため長時間遅延」、あるいはシンプルに「運行中止」というペルシャ語のメッセージが表示された。さらに、最新情報の入手やクレームはこちらへどうぞと言わんばかりに、イランの最高指導者アリ・ハメネイの事務所の電話番号も並べて表示された。センティネルワンのゲレロ=サーデはこの攻撃に使われたマルウェア(彼はMeteor Express[メテオ・エクスプレス]と名づけた)を分析し、3段階のプログラムが展開されていたことを発見した。まずコンピューターのファイルシステムを破壊し、次にユーザーをロックアウトし、それから機械が起動時にOSを見つけるためのマスターブートレコードを抹消するというものだ。イランのペルシャ語ラジオ局はこのサイバー攻撃が「前例のない大混乱」をもたらしたと報じたが、のちにその表現は削除された。
同じころ、イランの道路・都市開発省のコンピューターもこの抹消ツールの攻撃を受けた。イスラエルのセキュリティ企業CheckPointがこのマルウェアを分析した結果、数年前に同グループがシリアでイラン関連のターゲットをハッキングした際にも同じツールの異なるバージョンが使われていた可能性が高いとわかった。そのときにはヒンドゥー教の雷神インドラの名を冠したグループ名を名乗っていた。
「このサイバー攻撃の目的は、同胞である国民に被害を及ぼすことなしに、この国に対する政府省庁および政府系組織の横暴さと残酷さへの嫌悪感を示すことである」と、プレデトリー・スパロウはTelegramのチャンネルにペルシャ語で犯行声明を投稿し、自分たちがイランのハッカー集団であるふうを装った。
2021年:ガソリンスタンドの機能麻痺
それからわずか数カ月後の21年10月26日、プレデトリー・スパロウは再び攻撃を仕掛けた。今回ターゲットとなったのは、イラン各地の4,000以上のガソリンスタンド(全国の半数を超える数だ)のPOSシステムで、国民に配布されているガソリン補助金カードによる支払いを受け付けるシステムがダウンした。イランからの移民でサイバーセキュリティ企業DarkCellの創設者であるハミド・カシュフィはこの攻撃を分析し、23年12月にようやく詳細な調査結果を公表した。この攻撃は、イラン政府がガソリン補助金の削減を発表して全国的に暴動が起きてからちょうど2年後のタイミングだった、とカシュフィは指摘している。鉄道システム攻撃のときと同様、給油画面にはメッセージと共に最高指導者の事務所につながる電話番号が表示された。今回の混乱もイラン政府のせいだと言うかのように。「俯瞰的に見れば、イラン国内の暴動を再び引き起こそうとしているように思えます」とカシュフィは言う。「政府と国民との間の溝を拡げ、いっそう緊張を高める試みのようです」
攻撃が起きるとあっという間に全国のガソリンスタンドに長蛇の列ができ、その状況は何日も続いた。影響はこのように甚大だったが、このガソリンスタンド攻撃は実際にプレデトリー・スパロウの自制が見られる例であるとカシュフィは言う。イランのインシデント対応担当者がマルウェアレポジトリのVirusTotalにアップロードした詳細なデータから判断する限り、攻撃時にハッカーたちはガソリンスタンドの決済インフラ全体を破壊することもできたはずで、各ガソリンスタンドでの手動でのソフトウェア再インストールや、さらには補助金カードの再発行を余儀なくさせることも可能だっただろうという。それを実際には、比較的短時間で復旧できるかたちでPOSシステムを乗っ取るにとどめたのだ。
さらにTelegramでのプレデトリー・スパロウの主張によると、当該POSシステムのベンダーであるIngenico社にはあらかじめメールを送っており、同社のソフトウェアにはパッチ管理のされていない脆弱性があり、そこを突けば決済システムを極めて長期的に混乱させられてしまうと警告したという(興味深いことに、インジェニコの広報担当者は、自社のセキュリティチームがそのようなメールを受け取ったことはないと『WIRED』に語った)。
また、プレデトリー・スパロウはイランの民間の緊急サービスにもメッセージを送ったとTelegramで述べ、攻撃前に車両に燃料を補給しておくよう警告した際のスクリーンショットを投稿した。「こんなこと、普通はしないでしょう」とカシュフィは言う。「非常にクリーンで管理された攻撃法をあえて選んだのです」
2022年:製鋼所の火災
22年6月、プレデトリー・スパロウはサイバー攻撃史上最も大胆とも言えるハッキングを決行し、イランのフーゼスターン製鋼所で溶鋼を流出させ火災を発生させた。
これが確かに自分たちの攻撃であり、無関係な産業事故を自分たちの手柄にしたわけではないということを証明するため、グループは製鋼所が設備の制御に使用していたヒューマンマシンインターフェース(HMI)ソフトウェアのスクリーンショットをTelegramに投稿した。この事件を調査したスキャダフェンスCTOのポール・スミスは、イランのIT企業Irisaが自社ウェブサイトにフーゼスターン製鋼所をプロジェクトの例として挙げているページをすぐに見つけ、イリサのロゴがHMIのスクリーンショットにあったものと一致していることを確認した。
スミスによると、そのHMIソフトウェアと、プレデトリー・スパロウが攻撃の様子を録画するために使用した監視カメラはいずれもインターネットに接続されており、セキュリティが脆弱になりがちなIOT機器を探せる検索エンジンであるShodanに掲載されていることもわかったという。自身も製鋼所で働いた経験があるスミスは、ハッカーたちがHMIにアクセスし、爆発を防ぐために溶鋼内のガスを取り除く製鋼工程である「ガス抜き」を阻止したことで被害が発生したのだろうと推測している。あの爆発はまさに溶鋼に閉じ込められたガスによるもので、その衝撃で取鍋が動いて中身が床に溢れたのだと彼は考える。
Telegramに投稿した映像のなかで、プレデトリー・スパロウは「罪なき民間人に被害が及ばぬよう慎重に」攻撃を実行したと宣言し、監視カメラの映像を確認し続けて誰も危険にさらされないようにしたことを示唆した。スミスはその主張を信じない。イラン人の作業員ふたりが降り注ぐ火花をくぐり抜けながら超高温の液体金属のすぐそばを逃げることになっただけでなく、映像に映っていないところでほかの誰かが被害を受けた可能性もあるとスミスは言う。「実際には負傷者がいたかもしれません」
プレデトリー・スパロウがハッキングした3つの製鋼所のうち、施設自体が損害を受けたのはフーゼスターン製鋼所のみだが、この作戦は物理的な破壊だけを狙ったものではなかった。1週間後には、3つの製鋼所(いずれも欧米諸国から制裁を受けていた)から盗んだ数万通のメールの投稿を開始し、それら施設とイラン軍とのつながりを世に示した。
2023年:再度のガソリンスタンド麻痺
10月7日にハマスがイスラエル南部を攻撃し、イスラエルがガザ地区で激しい軍事的対応をとったことによって、中東全域で緊張が高まる状況下、エスカレートするこの紛争でプレデトリー・スパロウが役割を果たすのは必然だったのかもしれない。イランの支援を受けるフーシ派武装組織が紅海の海運を混乱させ、さらにサイバーアベンジャーズ(CyberAveng3rs)を名乗るイラン派ハッカー集団が反イスラエルのメッセージを発信しながら全米の水道施設をハッキングするなか、プレデトリー・スパロウは12月18日に21年のガソリンスタンド攻撃を再び実行し、イランの大半のガソリンスタンドのPOSシステムを麻痺させた。
この直近のサイバー攻撃に使われた技術はまだ詳細にわかっていないが、ダークセルのハミド・カシュフィによると、21年のハッキングとは別のセキュリティ脆弱性を突いた可能性は高いものの手口自体は同じに思えるという。今回もプレデトリー・スパロウは、被害を抑えるため事前にイランの緊急対応サービスに送ったとするメッセージを投稿した。Telegramの投稿には、「これまでの作戦と同様、このサイバー攻撃は、緊急サービスに対する被害を抑えるための対策を講じながら管理のもとで行なわれた」とある。
また、別の投稿では自分たちのハッキングの目的がメッセージの発信であることも明言した。「このサイバー攻撃は、イラン・イスラム共和国およびその地域内の代理勢力による侵略行為に対抗するものだ。ハメネイよ、火遊びには代償が伴う」
センティネルワンのゲレロ=サーデは、ガソリンスタンド攻撃のようなプレデトリー・スパロウの作戦は、サイバー政策の専門家が「シグナリング」と呼ぶもの、つまりサイバー攻撃能力を使って敵の行動を抑止するメッセージを発信する行為の最初の成功例かもしれないと語る。その理由は、このグループが政治的な動機によるハッキングにおいて比較的抑制的でターゲットを絞ったアプローチをとり、さらに自分たちの能力を活かして広範な結果を得ようという意志を明確に示しているからだという。国家安全保障局やサイバー軍などの米国のハッキング機関にはしばしば欠けている意欲だ、とゲレロ=サーデは指摘する。
「自分たちに能力があることだけでなく、それを使う意志があることを相手に納得させるかたちで示せなければ、効果的なシグナリングはできません」とゲレロ=サーデは言う。
プレデトリー・スパロウは民間人の安全に配慮した責任あるサイバー戦争の模範を示している、とするサイバーセキュリティ研究者もいる。しかし、10月7日のハマスによる虐殺行為への対応としてイスラエル軍がパレスチナ市民を数万人殺害し、さらに数百万人に避難を余儀なくさせたことを考えれば、イスラエル政府とつながりのある可能性の高いハッカー集団が自制やターゲットの区別を示したところで、どうしても不信感は生まれる。
製鋼所攻撃時の映像、特にそこに映るふたりのイラン人作業員が危機一髪の状況下にあったことは、プレデトリー・スパロウの「慎重な」攻撃の代償について考えさせるとゲレロ=サーデも認める。
「完璧な攻撃か? 犠牲者も懸念もまったくないのか? とんでもない」とゲレロ=サーデは言う。「この行為を支持はできません。ただ、魅せられてはいます」
(Originally published on wired.com, translated by Risa Nagao/LIBER, edited by Michiaki Matsushima)
※『WIRED』によるハッカーの関連記事はこちら。サイバー犯罪の関連記事はこちら。
.jpg)
雑誌『WIRED』日本版 VOL.52
「FASHION FUTURE AH!」
ファッションとはつまり、服のことである。布が何からつくられるのかを知ることであり、拾ったペットボトルを糸にできる現実と、古着を繊維にする困難さについて考えることでもある。次の世代がいかに育まれるべきか、彼ら/彼女らに投げかけるべき言葉を真剣に語り合うことであり、クラフツマンシップを受け継ぐこと、モードと楽観性について洞察すること、そしてとびきりのクリエイティビティのもち主の言葉に耳を傾けることである。あるいは当然、テクノロジーが拡張する可能性を想像することでもあり、自らミシンを踏むことでもある──。およそ10年ぶりとなる『WIRED』のファッション特集。詳細はこちら。