ウクライナをめぐる国際情勢に関しアメリカのサイバーセキュリティ企業のマンディアントが以下のサイバー脅威分析と見解を発表している。以下は米マンティアントのブログを日本法人であるマンディアント株式会社が抄訳したもの。
サイバースパイ活動はすでに世界的な活動として定着していますが、情勢が悪化するにつれて、ウクライナ国内外においてより積極的な情報操作や破壊的なサイバー攻撃が見られると予測されます。
- UNC2452、Turla、APT28といったロシア情報機関とつながりのあるロシアのサイバースパイ攻撃グループは、ほぼ間違いなく、この危機に関する情報提供の任務を請け負っています。これらの勢力はすでに、ロシアの外交政策決定に資する情報を得るために、世界中の政府、軍事、外交、および関連するターゲットを頻繁に狙っています。
- ロシアは、占領下のクリミアや東ウクライナで活動するArmageddon (UNC530) など、この地域でさらに多くのサイバースパイを利用しています。
- 捏造されたコンテンツの作成と流布、望ましいシナリオを促進するためのソーシャルメディアなどの情報操作は、この危機の文脈においてすでに行われています。親ロシア派や、ロシアの利益に沿ったシナリオを推進する人々が、東欧のNATO加盟国やパートナー国に対して定期的に情報工作を行っているのを、私たちは引き続き観測しています。
- 特に、あるウクライナ政府関係者は、最近行われたウクライナ政府のWebサイトの改ざんはUNC1151(私たちがベラルーシと関連付けた攻撃グループ)によるものであると述べていますが、私たちはこのアトリビューションを確定的なものとすることができません。私たちは以前、GRUに関連する攻撃グループであるSandworm TeamとAPT28による同様の活動を観測しているからです。
- 破壊的なサイバー攻撃は、サイバースパイ活動やその他の情報操作と比較すると、比較的まれなケースです。Sandworm Teamはロシアの卓越したサイバー攻撃能力で、ウクライナで停電を引き起こした複雑な攻撃や、史上最も大きな被害につながった破壊的な攻撃を行った実績があります。NotPetya また、MandiantがIsotope(UNC806/UNC2486 aka Berserk Bear, Dragonfly)と呼ぶ攻撃者は、米国と欧州の重要インフラを侵害してきた長い歴史を持っています。私たちは今のところ、この攻撃者がそれら重要インフラを破壊しようとするのを観測していませんが、これらの侵害は、ロシアが深刻な破壊を引き起こす準備ができたときの有事のための準備であると考えられます。
情報操作は、ロシアやベラルーシのサイバー活動の常套手段です。このような攻撃者は、その目的を達成するために様々な戦術を駆使します。これには、組織的に偽の活動を伴うソーシャルメディア・キャンペーン、ハッキング&リーク作戦による侵害、望ましいシナリオを広めるための捏造コンテンツの流布などが含まれますが、これに限定されるものではありません。
- 大まかに言えば、情報活動を行う攻撃者は、敵国内および敵国間の既存の分裂を利用し、民主的制度に対する信頼を損ない、NATO同盟、欧州連合、西欧諸国内に不信感をもたらすことによって、ロシアの利益を促進しようとしてきました。
- GhostwriterやSecondary Infektionなど、影響力を行使しようとする作戦には、偽造文書、改ざんされた写真、偽の請願書など、捏造されたコンテンツが定期的に使用されています。
- 侵入活動によって得られたデータは、効果的に流出し、永続的な結果をもたらすスキャンダルを引き起こしています。私たちは、親ロシア派が盗んだデータを流出させる前に、意図したシナリオに沿うよう改ざんしたり、改ざんされていないデータと一緒に流出させたりしているのを確認しています。
- 情報操作の当事者は、ジャーナリストや「ハクティビスト」といった第三者を利用して、情報やシナリオを正当化し、その内容をロンダリングしています。このような第三者の多くは、情報活動を行う攻撃者と意図的・非意図的に協力していますが、サイバースパイグループ「UNC1151」が支援する「Ghostwriter」のようなキャンペーンが、正当な情報源を侵害し、これを利用することも確認されています。これには、ニュースや自治体のサイト、ソーシャルメディアのアカウントなどが含まれており、これらを通じて情報を発信しています。
- また、Internet Research Agencyが行っているようなロシアの情報操作キャンペーンは、真偽不明のペルソナやメディアを作成して、目的を達成するための誤ったシナリオを広めるコンテンツを公開・宣伝しています。
破壊的なサイバー攻撃は、分散型サービス妨害攻撃から重要インフラへの複雑な攻撃まで、さまざまな形態で行われます。ロシアは、他の国々と同様、危機の際にこの能力を活用します。
- 破壊工作の成功は、多くの場合、規模の問題であるといえます。最も効果的な破壊工作は、幅広い効果をもたらします。これを実現するために、攻撃者は、最終的な一般顧客と依存関係にある重要なターゲット(ウクライナの電力網など)を混乱させることに集中したり、(NotPetyaのケースのように)多数のターゲットを直接混乱させたりします。
- 重要インフラやOTのネットワークに対する攻撃は、他の方法よりも実作業とリードタイムがかかる可能性があります。Isotopeのような攻撃者は、これらのターゲットを侵害するために積極的なスタンスを取っているように見えます。そのため、この種のターゲットは、今回のような有事のために、今回の危機よりかなり前に侵害されていた可能性があります。このようなネットワークの防御に当たる組織の担当者は、TEMP.Isotopeのような攻撃者を積極的にあぶり出すことを検討する必要があります。
- また、破壊的なツールや他のよりシンプルな方法を用いて、多数のターゲットに対して同時に攻撃を仕掛けることも可能です。一般に、ロシアの攻撃者は、このような規模のアクセスを得るために、戦略的なWeb侵害やソフトウェアサプライチェーンを利用しています。このような方法によるマス・プロパゲーション(大量増殖)は、差し迫ったサイバー攻撃の早期警告となる可能性があります。
- 攻撃の加害者は、しばしば活動の証拠を捏造したり、他の誰かに責任があることを示唆するような虚偽の責任声明を出したりします。彼らは、コードに証拠を仕込み、事件がこれまで知られていなかった民族主義者、犯罪者、または政府のハッカーによって実行されたことを示唆する公的な声明を出します。また、ウクライナで発生した最新の事件のように、ワイパーがランサムウェアを装ったケースも複数回発生しています。このような「偽旗」は紙一重であることが多いのですが、一般大衆へのアトリビューションに対する納得感を得ることを困難にし、これらの作戦をより否定しやすくしているのです。
- ランサムウェアはサイバー攻撃の一形態であり、国家に関連する攻撃者が金銭的動機が疑わしい「ロック&リーク」キャンペーンの一環として使用しています。ロシアには成熟した犯罪組織があるため、このような能力を利用することができるのです。治安当局はこれまでにも国家安全保障のために犯罪組織を活用しており、任務遂行のために犯罪組織を活用することはいくらでも可能です。
- 今回の危機で観測された破壊的な攻撃は、政府のシステムに集中しているように見えますが、通常は民間のシステムが最大の効果を発揮するよう狙われています。このような攻撃は、公共事業だけでなく、輸送や物流、金融、メディアなども標的にして、特に成功を収めています。
- サイバー攻撃は、情報操作の一形態として利用されることがほとんどで、持続的な破壊的効果をもたらすというよりも、むしろ認識を操作することを意図していることを意味します。防御側は、サイバー攻撃者が目標を達成するために必要な技術的能力を過大評価し、技術的に単純な作戦の価値を過小評価する傾向があります。
サイバー能力は、国家が政治的、経済的、軍事的優位を競うための手段であり、暴力や不可逆的な損害なしに、公然の紛争へとエスカレートする可能性があります。2016年の米国選挙工作やNotPetya事件のような情報操作やサイバー攻撃は深刻な政治的・経済的影響をもたらす可能性がありますが、ロシアはこれらの作戦が紛争の大きなエスカレーションにつながらないことを合理的に期待できるため、好んで行うのかもしれません。
(編集部)
