乗っ取られたサーバーは、コンピュータウイルスの遠隔操作に利用される(こうしたサーバーはコマンド&コントロール《C&C》サーバーやC2サーバーと呼ばれる)。
コンピュータウイルスは、あらかじめこうしたC&Cサーバーと通信できるように細工されており、一度パソコンに感染するとC&Cサーバーと自動で通信を開始してしまう。
A社に対しては、多くのセキュリティ会社がサーバーが乗っ取られていることを警告していた。2014年12月には公的機関である経済産業省の外郭団体、一般社団法人ジェイピーサート・コーディネーションセンター(JPCERT/CC)がA社にサーバーの乗っ取りを通知していた。
JPCERT/CCは、日本国内で発生したセキュリティに関する事件の技術的情報を取りまとめるとともに、ネットワーク管理者と共有することを目的にした団体で、A社のサーバーに関しても早くから注視していた。
A社に対して複数のセキュリティ会社が、「サーバーの脆弱性を解消するために、必要なら無償で技術協力する」とまで伝えていたが、A社から前向きな返答はなかった。セキュリティ会社の担当者は、「いまもA社のサーバーが悪用されている状況は変わっておらず、防止策を取らないのが不思議」と証言する。
A社の担当者は、サーバーが遠隔操作に利用され、悪用されていることをセキュリティ会社から指摘されたことを認めたうえで「通信の秘密があり、サーバーが悪用されているか事前に検知することはできない。不審な通信が分かればできる限りの対策はしている」と話している(産経新聞2015年8月22日)。
だが、この言い分は実に奇妙で、意図的にサーバーが遠隔操作に利用されている状態を放置したとしか思えない。
仮に通信の秘密の問題があったとしても、ネットワークを監視することは「違法性阻却事由」が認められており、「サーバーが悪用されているか事前に検知することはできない」との理由にはならない(「違法性阻却事由」とは、法律上は違法行為であっても目的が正義に反しなければ違法ではないとする考えで、正当防衛や緊急避難がこれに該当する)。
事実、A社はネットワーク監視で有名な情報セキュリティ企業にネットワークの監視業務を委託しており、サーバーが悪用されていたことも分かっていたはずだ。
日本企業は中国共産党の配下か
A社のサーバーをC&Cサーバーとして利用し、大規模なサイバー攻撃を仕掛ける手口は、セキュリティ会社によって「クラウディオメガ」(Cloudy Omega)攻撃(キャンペーン)と名づけられ、海外でも有名になっていた。
2015年8月23日に台湾で開催された「ヒットコン」(HITCON)というハッカーのイベントでもこの問題は紹介され、日本のみならずハイテク企業が多く集まる台湾や金融都市シンガポールまでもが被害に遭っている、と報告されている。
イベント参加者は、「乗っ取られたサーバーを長年放置しているA社は、中国共産党の配下にある企業ではないかとの疑いがある」とさえ話している。
その結果として年金機構へサイバー攻撃が行われ、100万人以上の個人情報が、最終的には中国の都市、上海と瀋陽へ流出したのを筆者の所属する情報安全保障研究所では確認済みだ。
中国のサイバー攻撃は、2015年までは他人が契約したレンタルサーバーの脆弱性を見つけ、それが見つかればC&Cサーバーに仕立て上げるという作業が行われていたが、脆弱なレンタルサーバーを見つけ出すよりも、自身で契約したレンタルサーバーのほうが何かと都合が良いことに気づいたのか、2016年以降は自身で契約したレンタルサーバーが用いられるようになった。
ここでいう「自身」とは、ハッキングを仕掛ける側のことだが、自身で契約したレンタルサーバーは脆弱性を意図的に放置できるので、C&Cサーバーとして利用できる期間、すなわちハッキングできる期間が長いことや大量の個人情報や機密情報で容量が増えても誰も気に留めない、気づかれないなどメリットが大きい。
国内のレンタルサーバーを偽名で契約する手口は、いまも増加している。
レンタルサーバーの契約は、現在もクレジットカードさえあれば住所や氏名などが全くのでたらめでも、誰でも自由に契約できる。レンタルサーバーがたびたびサイバー攻撃に利用されていながら、なぜか規制しようとしないのが日本の実情だ。