2024年のパリオリンピック:侵害はスタートのピストルが鳴る前にはじまる
Published 7月 23, 2024.
世間では、2024年7月26日にパリで開幕するオリンピックへの関心がますます高まっています。しかし、オリンピックで開催される試合やその楽しみに向けてウォーミングアップしているのはアスリートだけではありません。2021年の東京オリンピックでは、4億5,000万件ものセキュリティイベントが発生してブロックされる事態となりましたが、パリオリンピックではその8~10倍に上る数のサイバー攻撃が発生すると予想されています。つまり、パリオリンピックのリスクはかつてない程に高まっているということになります。今回KELAは、オリンピックに関連して発生するであろうサイバー攻撃の種類や想定される標的、攻撃を計画している脅威アクターなどを調査し、レポートにまとめました。今回のブログではその概要をご報告します。レポートの全文はこちらからダウンロードしていただけます。
リスクにさらされているのは誰か?
サイバー犯罪者が自らの目的を果たすために、オリンピックなど注目度の高いイベントに対する人々の関心や熱狂を悪用することが明らかとなっています。彼らが攻撃を行う理由も様々であり、金銭的利益や社会的混乱が目的の場合もあれば、イデオロギーや政治的な動機が要因となっている場合もあります。
パリオリンピックを標的とする脅威アクターが狙いうる標的は多岐にわたり、例えばオリンピック関連のウェブサイトやアプリ、放送サービス、さらにはオリンピック委員会の電子メールアカウントを標的にする可能性もあれば、オリンピックの公式パートナーを狙う可能性もあります。また、パリオリンピックでは84社が公式パートナーとなっていますが、その他にもサードパーティのサービスを通じて同イベントに連携しているパートナー企業や、ホスピタリティ業界、旅行・レジャー業界の企業などが存在します。KELAが行った調査では、パリオリンピックの公式エネルギーサプライヤーである「EDF France」社や、同オリンピックのパートナーとしてITサービスを提供する「Atos」社のアカウントをはじめ、オリンピックと関連がある組織の内部アカウントが侵害されている事例が複数確認されています。これらのアカウント情報は情報窃取マルウェアによって窃取された後、サイバー犯罪プラットフォームで公開されたり、販売されていました。
さらに我々の調査では、オリンピック関連ドメイン(olympics.com、paris2024.org、 paralympic.org)の資格情報が約600件漏えいしており、そのうちの約150件が平文のパスワードとセットで漏えいしていたことが判明しました。また、オリンピックと関連があるアカウントの侵害件数も8,700件超に上りました。
脅威アクターの攻撃を警戒する必要に迫られているのは、オリンピックのパートナー企業だけではありません。今回のオリンピックの開催地はフランスであることから、フランスの組織に対する攻撃が全般的に増加することが予想され、その中でも特に電気通信、エネルギー、医療、物流などの重要インフラが狙われる可能性があります。また企業のみならず個人も、チケット詐欺などの犯罪に警戒する必要があります。
金メダルをとるのはどの脅威アクター?
オリンピックに関連して注意すべきサイバー攻撃は、影響工作、サイバースパイ活動による情報窃取、ダメージをもたらす破壊系マルウェア、業務のダウンタイムを余儀なくされるDDoS攻撃、金銭目的のランサムウェア攻撃など多岐にわたります。そしてこれらの攻撃を実行する脅威アクターの中には、サイバー犯罪ソースで流通している資格情報を悪用する者もいると思われます。オリンピックを標的する可能性がある脅威アクターとしては、以下が挙げられます。
国家の支援を受けたアクター
パリオリンピックで脅威となる可能性が最も高い国はロシアです。その理由として、フランスがロシア・ウクライナ間の戦争でウクライナ側を継続的に支援していることや、国際オリンピック委員会(IOC)がロシア人選手に対し、「ロシアの代表」としてオリンピックに参加することを禁止したことなどが挙げられます(ただし一定の条件を満たしたロシア人選手については、「個人資格の中立選手」としての参加が認められています)。そしてKELAの調査でも、ロシア系の脅威アクター「Storm-1679」が2024年6月に「Olympics Has Fallen 2」という動画を使用し、パリオリンピックに関する影響工作キャンペーンを行っていたことを確認しています。この動画は、Storm-1679が2023年に作成した動画「Olympics Has Fallen」の続編であり、いずれもAIで生成した有名人の声が使用されています。
2024年6月にStorm-1679のTelegramチャンネルに掲載された投稿(上図はKELAのプラットフォームで表示した投稿)
ハクティビスト
2016年のリオオリンピックでは、政治的動機による攻撃が発生しましたが、ロシア・ウクライナ間の戦争とイスラエル・ハマス間の衝突が続いている現状を鑑みると、パリオリンピックはより高いリスクにさらされているといえます。
すでに親ロシア派ハクティビストグループ「NoName057(16)」にいたっては、ロシアやベラルーシの選手が自国を代表してオリンピックに参加することに反対した国々の組織に対し、DDoS攻撃を仕掛けています。
オーストリアがロシアとベラルーシのパリオリンピック参加に反対しているとの報道を受け、NoName057(16)がオーストリアの労働経済省にDDoS攻撃を行ったとする犯行声明 (上図はKELAのプラットフォームで自動翻訳した投稿)
別の親ロシア派グループ「People’s Cyber Army」は、攻撃を遂行することで「オリンピックに向けたトレーニングを行っている」と豪語しています。この発言は、おそらく同グループがパリオリンピック開幕後に活動を活発化しようと考えており、その準備を行っていることを意味しているものと思われます。
People’s Cyber Armyがフランスを標的するとの犯行声明を出し、オリンピックを目前に控えて「トレーニングの最終段階」に入ったと発言している投稿 (上図はKELAのプラットフォームで自動翻訳した投稿)
金銭的動機で活動する脅威アクター
もちろん、金銭的利益を目的とする脅威アクターが日和見的に標的を選んで実行する攻撃も、多数発生すると思われます。また、「繁忙期に業務を停止できない企業は速やかに身代金を支払うだろう」と確信しているランサムウェアグループもいるでしょう。
ランサムウェアグループやデータリークグループはフランスの組織を頻繁に攻撃しており、KELAが確認した限り、2024年に入って以降これまでに60を超える(フランスの)組織が被害を受けています。
オリンピック関連の組織、そして同イベントと関連のある様々な外部組織は、参加者や観客の財務情報をはじめ大量の機密データを扱うことになるため、データを売買して利益を得ようとする攻撃者の標的になる可能性が高いと思われます。またフランスのみならず、世界各国でもオリンピックファンの観戦欲求を悪用したチケット詐欺や偽商品の販売、不正なストリーミングサイトなどを扱うフィッシング詐欺が発生する可能性があります。
位置に着いて、用意。警戒スタート!
オリンピック期間中は、個人も組織もサイバー攻撃に警戒する必要があります。例えばソーシャルエンジニアリング攻撃を行う脅威アクターの場合、オリンピックをトピックにして標的に接近する可能性があります。また攻撃者の動機が何であれ、サイバー犯罪エコシステムも攻撃の急増に対応するべく準備を整えることでしょう。
フランスの組織、そしてオリンピックと関連のあるあらゆる企業はサイバー犯罪エコシステムを注意深く監視し、脅威インテリジェンスを活用して、攻撃に悪用されうるアカウントの侵害や資格情報の漏えいなどを特定する必要があります。
オリンピックをとりまくサイバー犯罪の詳細や具体的な事例については、KELAのレポート「2024 Paris Olympics: Cyberattacks are Far from Fair Game」をダウンロードしてご確認ください。
