追跡 記者のノートから”インターネットノイズ”に潜む悪意

2021年5月18日事件

私たちがふだん利用しているインターネットには、ノイズのような信号が含まれているのを知っていますか?

ほとんどの人が気づかず、無視されているノイズ。
しかし、大量に集めて分析してみると、ノイズの中に人間の悪意が潜んでいることがわかってきました。

“インターネットノイズ”を追いました。

(ネットワーク報道部記者・鈴木有)

“インセプション” -端緒-

大手電機メーカーに勤める木寺さん(仮名)

インターネットノイズに詳しいという大手電機メーカーに所属するある研究者。交渉の末「匿名」で話を聞けることになりました。

この研究者(以下、仮名・木寺さん)によると、インターネットノイズとは「意図が不明で無害な信号」だと言います。
こうしたノイズがインターネットの中に存在していることは2000年に入ってからわかってきました。

例えば私たちがWEBサイトにアクセスする場合、サーバー(ホームページを表示するために必要となる情報を格納しておくコンピューター)にページを見せて欲しいという内容の信号を送り、それをサーバーが返してくれることでページが表示されます。これは明確な意図がある通信です。

「意図が不明」というのは目的がはっきりしないことを意味します。

こうした“ノイズ”は通信装置の不具合などでも発生し、通信量を示すパケット数も小さいため私たちが普段パソコンを使用する時にも現れていますが無視できる信号として扱われ、多くの人は気にせずにインターネットを使っています。

木寺さんは、ひとつひとつを見ても何も分からないこのノイズを大量に集めて解析することで「その“意図”を垣間見ることができる」と話しました。

“コンタクト”-未知との遭遇-

木寺さんが最初に受信した信号 画像提供:木寺さん

木寺さんがノイズに注目したきっかけは2014年7月。WEBのサーバーを置いたところWEBサイトを作っていないのに何者かからサイトを開くように要求する信号が届きました。

その信号は正確に24時間間隔であり毎回違うIPアドレスからでした。

IPアドレスが違うということは、異なるパソコンやスマートフォンといった端末から送られてきていることを意味します。

この通信の内容を解析するとどういう訳か海外のあるホテルの予約サイトにアクセスしようとする信号が含まれていました。

その信号が求めていた情報は「国名」「都市名」のリストだけで、予約をとろうとするようなものではありませんでした。

サイバー攻撃のような不審なサインはみられず、最初はあまり気にとめていませんでした。

ただ一応、興味本位でインターネットで調べてみたところ、同様の予約サイトの信号が世界各地で複数観測されていることがわかりました。

謎のアクセスは世界中をターゲットにしているのではないか。

木寺さんは謎の通信の正体を調べてみようと、あるとき通信に対してそのまま送り返してみました。

ノイズに反応したのです。

するとそれまで24時間間隔だった信号が、なんと1時間おきに来るようになりました。

ファーストコンタクト。

「人の意図」の存在を初めて感じた瞬間でした。

だれが、何のために?

観測を続けると、信号は同じIPアドレスから複数回送られてきているものもありましたが、やはりほとんどが別のIPアドレスからでした。そしてIPアドレスの数を調べると、なんと1万ほどにも上っていました。謎の通信は1万台の端末から送られてきていたのです。

そして多くは企業が使うような登録されているIPアドレスではなく、個人が使うプロバイダーのIPアドレスでした。

1万台の端末をつかって意図の不明な通信を繰り返しているのは何者か。

調査を始めた2か月後、謎の通信がピタっと途絶えます。どのようなデータを集めようとしているのか、木寺さんがさらに追跡しようと偽装した応答を返した直後でした。

木寺さんは「世界中のWEBの状況を確認するシステムの技術開発の過程で実施していた実験」だったのではないかと見ています。

木寺さんは、この実験のプロジェクトで使われたとみられるソースコード(プログラムの文字列)をネット上で発見。

そのプログラム名は「totoro」(トトロ)と記されていました。詳細は不明ですが信号を送ってそれに対する反応を確かめることで、サーバーの動作をチェックするためのツールだと判断しました。

世界中に37億以上あるグローバルIPアドレスが振られたWEBサーバーを1万台もの端末を操って調査しようとしているのは何者なのか。

木寺さんは、ビジネスにならないことにお金を投じてでも運用を続ける組織だと見ていますが、その目的や規模、所属などは一切わかっていません。

ただ、何者かが行っているこうした通信には、サイバー攻撃を行う前の「偵察行動」が含まれていると見られると言います。

信号をまず送り、そこで得られた情報からセキュリティーの“穴”(ぜい弱性)を見つけ出そうと、日々網羅的なミッションが行われていると言うのです。

木寺さん
「ノイズそのものに攻撃の意図はない。送信者が誰でどんな目的かがわからないが、ノイズの受け手によって次の行動に移っているので、受け手の応答内容が次の行動を決定する条件になっていると考えられる」

“インビジブル”-偵察-

どのような組織が「偵察行動」を行っているのか。

防衛大学校の中村康弘教授は、おとり捜査の手法を使ってその正体に迫ろうとしています。

使用したのは防衛大学校が持つおよそ1500のIPアドレスです。偵察を入れてきた通信のデータをすべて集め、そこから目的を推察します。

まず、1日に蓄えたデータを縦軸をIPアドレス、横軸を時間にして表にしました。すると、ひとつのアドレスだけではノイズと思われていた信号も、表にすると階段状になっているなどパターンが見えることがわかってきました。

ほかにも、すべてのアドレスを時間をかけてみていく「全数低速型」のほか、雪崩が起きたようになる「雪崩型」など、さまざまなパターンが見えてきました。

いずれも単なるノイズではなく、あきらかに何かしら意図を持って行われている通信だと見ることが出来るということです。

また、同じ情報を送ってきている通信ごとに分類すると、いくつかのグループに分かれることもわかりました。

ひとつのIPアドレスから多くの防衛大のIPアドレスに向けて送信するグループ、ひとつのIPアドレスからひとつのIPアドレスだけに送信するグループなどがあったのです。

防衛大学校 中村康弘教授

防衛大学校 中村康弘教授
「例えばひとつの送信元アドレスからひとつのアドレスを偵察するというのは、偵察を悟られないようにしているとみられます。グループによって偵察の手法を変えていると思われます」

さらに、発信元のIPアドレスが登録されている国や地域で分けると極めて興味深い結果となりました。

2014年6月15日の24時間で受信した全インターネットノイズ

例えば、2014年6月15日のノイズのデータを、アメリカ、中国、日本、オランダ、ロシア、韓国、イギリス、ドイツ、イタリア、インドネシア、香港と発信元別にわけて表示してみます。

すると、アメリカからのアクセスでは、さまざまなアドレスを一定時間でスキャンするような斜めの線が現れました。

また中国からのアクセスでは、一定時間に一定量のアドレスをスキャンする四角いキューブ型のグラフが見て取れます。

日本からのアクセスはほぼありませんでした。

オランダからはあらゆるアドレスをランダムにまんべんなく調べていて、ロシアからは一定期間ずっと同じアドレスにアクセスし続けている様子がうかがえます。

各国からのアクセスでなぜ手法に違いがあるのか、その背景や目的はわかっていません。

防衛大学校 中村康弘教授
「国ごとに特徴がある。すべてを一気に調べないで時間をかけていく方法など各国でやりかたが異なりますが、いずれにしてもサイバー攻撃の前段階である偵察のようにみることができます」

“シスvsジェダイ”-攻防-

ノイズをたどって見えてきたのは、日夜行われている偵察行動の痕跡でした。最新の研究で、その裏に暗躍する悪玉ハッカーの姿がおぼろげに見えてきました。

一般的に、ソフトウエアはリリースされた時点で万全というわけではありません。さまざまなセキュリティーの“穴”が見つかることがあります。

ソフトウエアの開発者やそのソフトウエアを使ったサービスの運営元は、その穴を見つけて修正するプログラムを速やかに配布することで対処しています。

そして、このセキュリティーの穴は世界中にいるホワイトハッカーと呼ばれる善玉ハッカーによっても発見・報告され、穴をふさぐ活動が続けられています。

この穴を開発者やホワイトハッカーよりも先に悪玉ハッカーが見つければ、安易に攻撃が可能になります。サイバーセキュリティーの世界はこの激しい攻防の連続です。

宇宙分野の取材担当が長かった私(記者)の趣味で、映画「スター・ウォーズ」に例えるなら、サイバー空間で行われている悪玉ハッカーとホワイトハッカーの戦いは、強大な能力(フォース)があるがゆえに暗黒面に落ちた「シス」と、すぐれた能力を正義のためにつかう「ジェダイ」の宇宙戦争のようです。

防衛大学校 辻本真喜子2等陸尉

この悪玉ハッカーの動きを探ろうと、防衛大学校の中村教授の研究室に所属する辻本真喜子2等陸尉が調べたのは、ポート。メールなどのソフトウエアが、インターネット通信を始めるための扉です。

1500のIPアドレスのポートに、2018年12月31日までの5年あまりの間に送られてきた通信の情報をすべて記録。およそ15テラバイト、DVDで3140枚あまりに相当する膨大な情報の中から、「ジェダイ」(ホワイトハッカー)が見つけて報告している10件の穴(セキュリティーホール)について、詳しく解析しました。

いずれの穴も、「ジェダイ」の報告によって穴を修正するためのプログラムが公開されふさがれているものです。

解析の結果、10件中6件で、ジェダイによる発見・報告よりも前に、この穴だけにアクセスする通信があったことがわかったのです。

被害自体は明らかになっていませんが(おそらく被害をうけたことすら気づいていない可能性が高い)、中には穴をふさぐプログラムが公開されるよりも1年以上前に、すでに不審なアクセスを受けていたところもありました。

下のグラフは、ぜい弱性を抱える10件のポートへの累積のアクセス数を表したものです。縦軸がアクセス数、横軸は時間を日数で表し、「Time0」はそれぞれのポートのぜい弱性(穴)を修正するプログラムが公開された日を表しています。

画像提供:防衛大学校 辻本真喜子2等陸尉

「ジェダイ」が守ることができていたのは、10件中4件だけで、残りの6件は、「シス」によってすでに攻撃を受けていた可能性が高いことがわかったのです。

また、いくつかの穴は、修正されたプログラムが公開される日の数日前から、アクセスが少し増えていました。これは、穴を発見した「シス」が、別の攻撃者に情報を売ったことに起因するのではないかと考えられるということです。

攻撃されていること、被害を受けていることさえ、気付いていない可能性があり、暗黒面の「シス」のフォース(能力)の強大さが、浮き彫りになりました。

防衛大学校 辻本真喜子2等陸尉
「ホワイトハッカーの報告の1年以上も前からアクセスがあったことは驚きです。この解析手法を活用すれば、これまで対策が打てなかった“ゼロデイ攻撃”(セキュリティーのぜい弱性への対処が確立する以前に行われるサイバー攻撃)の検知に使えるのではないかと考えています」

“コンテイジョン”-コロナ禍でノイズ増加-

2020年1月ごろから1万番以降のボートへのノイズが増加している 画像提供:木寺さん

そして、こうしたインターネットノイズは、新型コロナウイルスの感染拡大に合わせるかのように、増加していることもわかってきました。

インターネットにつながるためのドアであるポートの番号は、0番から6万5535番まで用意されていますが、通常使用されるのは1000番台ほどまでで、1万番以降はあまり使われていません。

木寺さんの解析では、去年1月以降、この1万番以降のポート番号へのアクセスが目立って増えていました。

1万番以降のポート番号は、リモートワークでシステムを構築する場合に企業が独自で使うことがあるほか、医療・研究機関でも独自に使用する場合があります。

新型コロナウイルスのワクチンの製薬会社に対するサイバー攻撃の情報が伝えられていますが、医療・研究情報を盗み取ることを目的とした通信とも考えられるとしています。

“ゴースト・イン・ザ・シェル” -ネットに潜む悪意-

ネットの膨大な情報の中に紛れた、わずかな信号から浮かび上がってきた大規模な偵察行動。セキュリティーのぜい弱性を探る、そうした偵察行動は、やがて悪質なサイバー攻撃につながっていきます。

サイバー攻撃による企業への不正アクセスや情報流出などのニュースを、耳にしない日はありません。

偵察とサイバー攻撃は、世界中のあらゆる場所で、日夜繰り広げられています。

IDやパスワードが初期設定のままのWEBカメラなどのIoT機器がリモートコントロールされ、10万台以上が一度のサイバー攻撃に使われたこともあります。

インターネットというサイバー空間にひとたびつながれば、すぐに偵察され、そこに“穴”があればすぐさま犯罪に利用される。

これはSF映画などではなく、現実社会がすでにそうなってしまっている。そして、コロナ禍の今、そのリスクはますます拡大している。

そのことを強く実感しました。

私やあなたが手にしているそのスマートフォンも、すでに狙われているかもしれません。

  • ネットワーク報道部 鈴木有 平成22年入局。初任地の鹿児島放送局では、種子島のロケット取材などを経験。平成27年から科学文化部で文部科学省を担当。宇宙、科学分野の担当を経て、サイバー担当に。令和3年からネットワーク報道部。
    時短勤務。趣味は映画、マンガ、読書、服、塊根植物、ガジェット、カメラ、街歩き。

  • 追跡 記者のノートから

    狙われる リモート社会事件

    コロナの影響もあり私たちの仕事や暮らしのデジタル化、リモート化は一気に加速している。しかし、その影で、悪質なサイバー攻撃が猛威を振るっていることが分かってきた。いったい、なにが起きているのか。

    2021年3月16日

  • 追跡 記者のノートから

    目で容疑者を追い詰める “ミアタリ”捜査員の流儀事件

    全国で指名手配を受けた容疑者を専門に追う見当たり捜査員。顔写真を頼りに、都会の雑踏で同じ「顔」を見つけ出す。極めて小さな確率にかける刑事には流儀が。

    2021年5月14日

  • 追跡 記者のノートから

    国会、行っていないのに…(改訂版)事件

    河井案里元議員は国会議員に当選したこと自体が無効になり地元住民が国に歳費などを返還させるよう求める訴えを。しかし法律には国が歳費などの返納を求めたり勾留中の歳費を凍結したりすることができる規定は見当たらず...いったいなぜ。                   

    2021年5月11日

  • 追跡 記者のノートから

    大学生はなぜ、強盗犯になったのか事件

    白球を追っていた高校球児。大学進学後、希望の企業に内定をもらい社会人として踏み出そうとしていたやさきに強盗傷害の疑いで逮捕された。きっかけはSNSでのアルバイト探し。なぜ犯罪に手を染めたのか。

    2021年4月30日

  • 追跡 記者のノートから

    “兜町の風雲児”の最期事件

    去年、東京・下町の木造アパートで火事があり、1人の遺体が見つかった。亡くなったのはかつて「兜町の風雲児」と呼ばれ、相場師として巨万の富を築いた、知る人ぞ知る人物。カネを追いかけ、そして翻弄された男の栄光と転落の人生をたどった。

    2021年4月9日

  • 追跡 記者のノートから

    ひとり、都会のバス停で~彼女の死が問いかけるもの事件

    微笑みかける写真の女性。当時は70年代、劇団に所属し希望に満ちた日々を過ごしていたという。しかし去年11月、都内のバス停で男に殴られ死亡した。所持金は8円。彼女の人生にいったい何があったのか。

    2021年4月30日

  • 父親の遺体と6年暮らした 息子が語ったのは…事件 社会

    「あなたにも気の毒な事情があったのではないかと思いました」 私は“背景事情を含めてもっと理解したい”と突然の訪問の趣旨を伝えた。55歳の息子は少し驚いたような様子だったが、「まあ、汚いですが」と言い招き入れてくれた。

    2021年9月16日

  • 上智大生殺害から25年 遺族に寄せられた新証言事件

    1996年に東京 葛飾区の住宅で上智大生が殺害され放火された事件は、未解決のまま9月9日に25年になります。警視庁は不審な人物についての新しい目撃情報をもとに似顔絵を作成、情報の提供を呼びかけています。

    2021年9月7日

  • 主婦は盗みを繰り返した~彼女が向かった先は事件

    2400万円もの現金を盗んだとして実刑判決を言い渡された30代の被告。法廷に立つ彼女は、夫と子どもがいる主婦だ。明らかになったのは生活苦をきっかけに盗みを始め、深みにはまっていった実態だった。

    2021年9月1日