FBIは金曜日、この事件の責任は北朝鮮にあると発表した。大規模なハッキングソニー・ピクチャーズ エンタテインメントの。このハッキングにより、従業員の個人情報や恥ずかしいメールが漏洩し、一連の脅迫の末、最終的にはコメディ映画『ザ・インタビュー』の公開中止につながった。
関連項目:
のFBIの公式声明ソニー・ピクチャーズ エンタテインメント(SPE)への侵入がどのように行われたと考えられるかについての洞察を提供した。
マルウェア全般
FBIは、SPE攻撃は「破壊的なマルウェアの展開」で構成されていたと述べている。言い換えれば、ハッキング グループは SPE システムをマルウェアに感染させ、数千のシステムへのアクセスを提供しただけでなく、データふるい分けが完了した後にそれらのシステム上のデータを破壊しました。調査と他の政府機関との協力により、「北朝鮮政府がこれらの行為に責任があると結論付けるのに十分な情報」が得られた。
FBI はこの結論の一部を、攻撃に使用されたデータ削除マルウェアの技術分析に基づいています。 FBIは、このマルウェアは「北朝鮮の攻撃者が以前に開発したとFBIが把握している他のマルウェアとの関連性を明らかにした」としている。同局は、特定のコード行、暗号化アルゴリズム、侵害されたネットワークに類似性を発見したと述べている。
さらにFBIは「今回の攻撃に使用されたインフラと、米政府がこれまで北朝鮮に直接結びつけてきた他の悪意のあるサイバー活動との間に重大な重複があることを観察した」と述べた。 FBIは、すでに「この攻撃で使用されたデータ削除マルウェアにハードコードされたIPアドレスと通信する既知の北朝鮮のインフラに関連付けられている」IPアドレスをいくつか発見したと発表した。
言い換えれば、攻撃に使用されたマルウェアは、すでに北朝鮮と関係があるコンピューターと直接通信するように作成されていたということです。
FBI はまた、ツールと攻撃方法が類似していたことを確認しました。韓国の銀行への攻撃この攻撃は北朝鮮に関連しているとされています。
FBIの声明自体には具体的な詳細や証拠が不足しているが、FBIが責任者として北朝鮮を名指しすることに前向きであるという事実は多くを物語っている。
コンピューター研究者のニコラス・ウィーバー氏が Twitter で指摘したように、インテリジェンスに基づいて行動することと、そのインテリジェンスを無価値にしてしまう可能性のある詳細を提供しすぎることとの間には、難しいバランスがあります。
SIGINT の難問: SIGINT に基づいて動作すると、将来の SIGINT の価値が低下します。 SIGINT を公開すると、将来の SIGINT の価値の多くが破壊されます。 — Nicholas Weaver (@ncweaver)2014 年 12 月 19 日
ウィーバー氏はまた、FBIがこれまでに提示した証拠の欠如は、おそらくNSAを含む他の情報源から得た情報によってバランスがとれていると信じている。
@declamIMO、おそらくそうです。 NSAがおそらく知っている方法は次のとおりです。https://t.co/y2eigezcScしかし、SIGINT なので何とも言えません。 — Nicholas Weaver (@ncweaver)2014 年 12 月 19 日
懐疑論は依然として多い
それでも、特により具体的な証拠がない場合、すべての安全保障研究者や専門家が北朝鮮、特に北朝鮮政府との関連が正確であると確信しているわけではない。
サイバーセキュリティの専門家でTaia Global社の最高経営責任者(CEO)を務めるジェフリー・カー氏も懐疑論者の1人だ。同氏はマッシャブルに対し、「最大の間違いの一つは、攻撃の原因が北朝鮮のインターネットにあることが分かるため、それが何らかの形で北朝鮮政府によるものだと思われてしまうことだ。北朝鮮のインターネットは基本的に外部企業によって提供されているため、それは誤った想定だ」と語った。今回のケースはタイの会社です。提示されたものは何も代替シナリオを除外するものではないのに、なぜ最も深刻なシナリオに飛びつくのでしょうか?」
カー氏は、FBIが情報のほとんどを民間警備会社から入手しており、その情報を精査したり検証したりしていないように見えると指摘した。同氏はさらに、「ホワイトハウスは現在、北朝鮮政府が関与していることが確実であるかのように、何らかの行動を起こす準備を進めている。一方、実際に責任を負っているハッカーたちは、これは最も壮大な偽旗であるため、笑っているだろう」と付け加えた。これまで。"
サイバーセキュリティの専門家でエラッタ・セキュリティの責任者であるロバート・グラハム氏も、北朝鮮政府との関係に疑問を抱いている。グラハム氏はエラッタ・セキュリティ・ブログで、FBIの北朝鮮証拠は「ナンセンス」だと述べた。
コンピューターによる証拠の重要な点は、それを秘密にしておく必要がないことです。 FBI はこの北朝鮮のマルウェアを簡単に公開できます。それはソニーに損害を与えることはなく、捜査に悪影響を与えることもありません。ウイルス対策ベンダーやセキュリティベンダーがそれを阻止するためのシグネチャを開発するのに役立つだろう。それが実際に誰を指しているのかを確認するために、ソース分析を集中化します。 FBI の言葉を真に受ける必要はありません。証拠は自分たちで確認できるはずです。
忌まわしい歴史的前例
2013年の韓国の銀行とメディアへの攻撃と同様、ソニーへの攻撃も前例のないものではない。クラウドストライク企業や政府と協力してサイバー攻撃からの保護に取り組むセキュリティ会社は、ソニーのハッキングについて独自の調査を行っている。
によると会社のウェブサイト上のブログ投稿, クラウドストライクはこれらの攻撃の背後にあるグループを追跡しており、2006年に遡って韓国などに対する攻撃を行ったグループと同じであるとしている。
クラウドストライクは、暗号名「サイレント・チョリマ」で知られるこのグループが過去に米国のウェブサイトに対してDDoS攻撃を仕掛けたとしているが、「(ソニーのハッキングは)彼らがウェブサイトに対してデータ破壊的な攻撃を仕掛けているのを我々が観察したのは初めてだ」と述べている。米国に本拠を置く組織。」
クラウドストライクは、このグループが北朝鮮と関係があるというFBIの評価を信じており、それに同意しているようだ。
クラウドストライクのインテリジェンス担当副社長であるアダム・マイヤーズ氏は、帰属はどのシナリオがより可能性が高いかによって決まると述べた。同氏はマッシャブルに対し、「われわれは分析的判断において、この最近の活動が北朝鮮によるものとわれわれが考えている他の活動と一致していると高い自信を持って評価するだろう」と語った。
HPにも掲載されていましたセキュリティブリーフィングこれは、この攻撃のタイムラインと、北朝鮮に決定的な責任を負わせることの難しさをよく示しています。 HP は以前に役立つ情報を発行しましたセキュリティブリーフィングそれは北朝鮮のサイバー脅威に焦点を当てています。
FBI の証拠に納得していないセキュリティ専門家でも、FBI の主張に必ずしも異議を唱えているわけではありません。
私はフィーブの答えを受け入れますが、私は彼らが自分たちの仕事を見せたとは信じていません。ほとんどの場合、これは彼らの作品ではなく、NSA からコピーしただけであるためです。 — the grugq (@thegrugq)2014 年 12 月 19 日
私たちはまだ勉強中です
この攻撃とその背後に誰がいるのかに関するさらなる情報は、特に実行者がまだ逃走中であるため、今後数日から数週間にわたって続々と流出し続けるだろう。
今のところ、映画『ザ・インタビュー』を公開しないことでグループをなだめたようだ。とはいえ、ソニーが計画を変更した場合、あるいはグループがいずれにせよ情報公開を継続することを決定した場合、損害を与え、多額の費用がかかる情報漏洩が続く可能性がある。
