現実世界がサイバー空間に与える影響――ウクライナ侵攻とサイバー攻撃

 こんにちは、Armoris 広報の酒井です。エストニアのサイバーセキュリティの権威で、Armorisの協力メンバーでもあるRain Ottis(レイン・オッティス)が、2023年12月、企業向けに講演し、現実世界がサイバー空間に与える影響と2023年のサイバー紛争について、2023年11月11日時点の情報を語りました。今回は、ロシアによるウクライナ侵攻とサイバー攻撃について、ウクライナレジリエンスを高める契機となったインシデント、ロシアによるものとされるサイバー攻撃のあらましなど、Rainが語ったエッセンスを紹介します。(以下は、Rainによる講演内容の要約です)

レイン・オッティス(Rain Ottis)――タリン工科大学サイバーオペレーション学科教授で、以前は、NATO Cooperative Cyber Defence Centre of Excellenceとエストニア国防軍に勤務していました。

ウクライナ侵攻前からあった、ロシアによるサイバー攻撃

 2022年2月24日に始まったロシアによるウクライナ侵攻。しかし、実際には2014年のクリミア併合以来、両国は緊張状態が続いていました。

 例えば、2015年12月、ウクライナの電力網に対するロシアによるものとされる攻撃。首都キーウなどで大規模停電が発生し、約22.5万人に影響を与えました(この事件は、重要インフラへのサイバー攻撃によって停電が発生した世界初の事例だと言われています)。

 これは複雑で多層的なサイバー事件で、送電網へのアクセスを目的としたフィッシングやマルウェアの使用が含まれていました。OT用のハードウェアのファームウェアが侵害され、制御を取り戻すには、変電所を一カ所ずつ回って物理的に送電経路を切り替える必要がありました。さらに、電力会社のコールセンター機能を麻痺させる「TDoS(Telephony Denial of Service)攻撃」や、データを消去するためにマルウェア「KillDisk」が使用されるなど、ウクライナの復旧をより困難なものにしました。冬のウクライナの平均最低気温はマイナス4度。私の知る限り、この事件で命を落とした人はいなかったようですが、その可能性は大いにありました。

 もう一つ、非常によく知られたサイバー攻撃は、2017年の「NotPetya(ノットペトヤ)」と呼ばれるもので、会計ソフト「MEDoc」のソフトウェア更新の仕組みが悪用されました。当時としては比較的高度なマルウェアで、ウクライナの企業や団体に拡散されました。

地上より前に始まっていたサイバー空間の動き

 地上での侵攻が始まる直前の2022年1月から2月にかけては、サイバー空間で、これに関係するとみられる多くの事件が発生しました。つまり、地上より先にサイバー空間で動きが始まっていたのです。

 具体的には、ウェブサイトの改ざん、DDoS攻撃、ワイパー・ランサムウェアや他のタイプのマルウェアが非常に広範にわたって使用されました。再びウクライナの電力網を標的にした「Industroyer2」というマルウェアの使用も確認されましたが、幸い、この電力網への攻撃は早期に検知され、影響はありませんでした。

 しかし、2月24日の地上での侵攻が始まって1時間後、通信衛星ユーテルサット」を保有する通信衛星「KA-SAT」の地上局に攻撃があり、ウクライナだけでなく他の地域でも多くのシステムと組織がインターネット接続を失いました。ほとんど単なる迷惑行為で復旧可能なものでしたが、この状況で最初の数時間のうちに通信を失うことは壊滅的な影響を与える可能性がありました。ただ幸いなことに、ウクライナには代替の通信手段があり、防衛に致命的な影響はありませんでした。

影響し合う現実世界とサイバー空間

 サイバー空間の動きは、他の領域にも影響を及ぼしています。その一つがインフラを巡る争いです。要は、ケーブル、ルーター、アンテナなど、インターネットの物理インフラを制御する国が、この戦いでは明らかに有利なのです。第二に、電磁波の周波数帯の支配をめぐって非常に重大な対立が発生しました。これは主に電子戦の分野の問題ですが、周波数帯をコントロールできれば、通常では不可能なサイバー攻撃を起こせる可能性があります。また、経済制裁は明らかにロシアの戦争遂行に悪影響を与えました。国外からの輸入が規制されたことで、ハードウェアとソフトウェアの調達が制限されたのです。

 2022年から2023年にかけては何が変わったのでしょうか。注目すべき点は、多くの専門家の予想に反し、実際には大きな損害を与えるサイバー攻撃がほとんど発生していないことです。試みや攻撃の主張がなかったわけではありません。むしろさまざまな攻撃者が参加していますが、大きな被害は確認されていません。

ロシアによる標的型攻撃 法執行機関やメディア、エネルギー関連も標的に 

 ここからは、ロシアのAPT(標的型攻撃)のレベルに関してです。ここで紹介するのは、政府の情報機関がスポンサードする脅威グループのことで、2023年の主な標的は、ウクライナの法執行機関だったとみていいでしょう。

 彼らは戦争犯罪の証拠収集を妨害する試みに関係していると思われます。つまり、ロシア側は、ウクライナの法執行機関が後にロシアに対して裁判で使用する可能性のある証拠の収集を阻止しようと考えているとみられます。また、ウクライナのメディア企業に対するサイバー攻撃も観測されています。私はこれを大規模な情報キャンペーンの一環とみています。メディアへの攻撃は比較的単純です。DDoS攻撃を使用して、Webサイトをダウンさせるか、マルウェアを用いてシステムを内部から破壊するかです。

 最後に、ロシア側はエネルギーに関しても諦めていません。彼らはそこで足場を築き、エネルギーシステムを操作しようとしていますが、私の知る限り、今のところ大きな成功はありません。使用されている方法は比較的よく知られているもので、組織やシステムにアクセスするために、さまざまなフィッシングが行われています。

サイバー攻撃は何度も繰り返される 日本企業も警戒を

 ランサムウェアを含むマルウェアは非常に広範囲に使用されています。新しいものが次々導入され、情報戦の一部として使用されています。攻撃者が何らかのデータにアクセスできるようになると、データを漏えいさせようとします。重要なのは、こうした攻撃が一度や二度ではなく、何度も繰り返されているということです。

 日本の民間企業にとっても決して対岸の火事ではありません。つまり、攻撃されたことが分かり、システムをクリーンアップしたとしても、安全とは言えないわけです。攻撃者はあなたのシステムをある程度知っているため、何度も攻撃を試みるでしょう。そして、あなたの会社は攻撃を繰り返しやすい”簡単なターゲット”とみなされます。

 今回はここまで。次回は、ハクティビストの動きについてRainが語った内容をご紹介します。