そして、JR東日本とJALへのサイバー攻撃で共通するのは、短期間での集中的なアクセスがあったこと。NHKはJAL関係者の話として、「午前7時24分ごろからネットワーク機器の通信量が急激に増えた」と報じている。
これと同様にJR東日本も「多数のアクセスを受けた」状況で、Suicaの障害発生時間帯に、JR東日本に向けたバックスキャッターが見つかっていた。バックスキャッターとは、DDoS(Distributed Denial of Service、分散型サービス妨害)攻撃の代表的な手法であるリフレクション攻撃で観測される通信(パケット)を指す。
JALは警視庁に「DDoS攻撃を受けた」(読売新聞)と相談したという。DDoS攻撃は政府機関や会社などのシステムを麻痺させる目的で行われることが多い。
北朝鮮のハッカー集団「ラザルス」
JALへのサイバー攻撃を受けて筆者が気になるのが、先のDMMビットコイン事件との関係だ。日本の警察庁と米国の連邦捜査局(FBI)は24日、北朝鮮当局の下部組織とされるハッカー集団「ラザルス」の一部門「トレーダートレイター」が流出に関与したと公表した。
この2日後にJALへのサイバー攻撃が行われた。年末年始の繁忙期に日本のナショナルフラッグであるJALを狙った背景には、政治的な動機を感じざるを得ない。
ちなみに、ラザルス(Lazarus)とは、かつてATP38と呼ばれていた、北朝鮮の偵察総局第3局(海外情報部)隷下のサイバー戦部隊で、主にハッキングによる外貨稼ぎを行なっており、2014年に起こった「ソニー・ピクチャーズ エンターテインメント」(SPE)へのサイバー攻撃で一般に名を知られるようになった。
この事件は、SPE社が金正恩氏の暗殺をテーマとしたコメディー映画を製作していたことへの報復とみられており、攻撃によって社員間の電子メールや従業員の個人情報、未公開新作映画のコピーなどが流出した。
