米国のセキュリティ会社は、昨年ソニー・ピクチャーズ・エンタテインメントに対して行われた壊滅的なハッキング攻撃が北朝鮮とつながりのあるグループによって実行されたというさらなる証拠を提示した。
FBIはすでに攻撃の発信源として北朝鮮を名指ししているが、FBIが捜査の詳細を全て明らかにしていないこともあり、一部の安全保障専門家は懐疑的だ。
セキュリティ企業のクラウドストライクは北朝鮮が犯人だと考えている企業の一つで、火曜日にその主張を裏付ける新たな証拠を提示した。
クラウドストライクは、ソニーに対して使用されたマルウェアと、2013年に「サイレント・チョリマ」と呼ばれるグループによって展開された破壊的なコードとの類似点を発見したと述べた。このグループは、すでに韓国と米国への複数の攻撃に関連付けられている。
クラウドストライク 2013年にサイレント・チョリマが使用したマルウェアコードと昨年のソニー攻撃の類似点
クラウドストライクのCTO、ドミトリ・アルペロビッチ氏は火曜日のウェブキャストで、ソニーへの攻撃がどのように実行されたかを説明した際、各攻撃で使用されたコードの一部は構造と機能がほぼ同一であると述べた。(録画はこちらで視聴可能。)
さらに、両方の攻撃で使用されたマルウェアには同じ場所に同じ誤植があり、「security」が「secruity」と綴られていると彼は述べた。
CrowdStrikeは、Silent Chollimaによる攻撃とソニーへの攻撃の間に、破壊的な「ワイパー」マルウェアの使用やコードの展開方法など、既に類似点を特定していた。しかし、コード自体の類似点については説明していなかった。
類似点は、ネットワークを通じてコードを拡散するために使用されるマルウェアの一部にあります。データ消去を行う部分は、ソニーに対して使用されたマルウェアの方がかなり進化しており、同じプログラムの後継バージョンであることを示唆しているとアルペロビッチ氏は述べています。
マルウェアはアンダーグラウンドのフォーラムで共有され、再利用されることがありますが、2013年の攻撃とソニーへの攻撃のソースコードは公開されていないとアルペロビッチ氏は述べています。そのため、別のハッカーグループがSecret Chollimaのコードをリバースエンジニアリングし、タイプミスに至るまで正確に再現することは不可能だと考えられます。
「これほど多くの『もし』や『でも』を考えれば、それは非常にあり得ないことになってしまう」と彼は語った。
ソニー・ピクチャーズの従業員が11月24日に仕事場に出勤した際に目にしたメッセージ
ソニーへの攻撃の犯行声明を出したグループは「Guardians of Peace(平和の守護者)」を名乗っている。Silent Chollimaは攻撃ごとに異なる名前を使用することが多く、ソニーへの攻撃でも同様の行為を行った可能性がある。
シマンテックを含む他のセキュリティ企業も、ソニーへの攻撃と北朝鮮との関連性を指摘している。
「事件を締め上げるために、より多くの詳細と追加の証拠を提供しているだけだ」とアルペロビッチ氏は語った。
「この事件の責任については多くの疑問が投げかけられているが、より多くの公的な証拠が示されれば、誰が本当に責任を負っているのか人々が判断するのに役立つだろう」と彼は語った。
12月、FBIは北朝鮮による攻撃を公に非難し、その結果、幹部の電子メールや給与データ、未公開の映画など、大量の企業データがウェブ上で公開された。
