サイバーリスク：サイバー攻撃は国境を越える

現時点では、当初想定されていたようなロシアからのサイバー攻撃は確認されていないものの、予断を許さない状況であることには変わりないため、各国政府機関から企業や組織に対してサイバー攻撃への注意喚起やアドバイザリーが提供されている。

日本においても3月1日、経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、 内閣官房内閣サイバーセキュリティセンターの7省庁合同で、「サイバーセキュリティ対策の強化について(注意喚起)」^*1と題された注意喚起が公表された。

ここでは平時におけるリスク低減、インシデントの早期発見、そしてインシデント発生時の適切な対処や回復について以下の７つのアドバイスが提供されている。

1. リスク低減のための措置
   • パスワードが単純でないかの確認、アクセス権限の確認、多要素認証の利用、不要なアカウントの削除等により、本人認証を強化する。
   • IoT 機器を含む情報資産の保有状況を把握する。特に VPN 装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ (最新のファームウェアや更新プログラム等)を迅速に適用する。
   • メールの添付ファイルを不用意に開かない、URL を不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。
2. インシデントの早期検知
   • サーバ等における各種ログを確認する。
   • 通信の監視・分析やアクセスコントロールを再点検する。
3. インシデント発生時の適切な対処・回復
   • データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
   • インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。

今一度、現状の再点検の意も含めて、ご確認されたい。

周辺国にも波及

さて、ウクライナの状況は変化しており、本稿が公開される頃には執筆時点の想定と大幅に異なるような状況も考えられる。そこで今回は、上記で紹介した注意喚起が公表された時点で、どのようなサイバー攻撃が行われていたのかを振り返ってみたい。

2月23日、ウクライナでの衝突が始まる数時間前、ウクライナのある組織（非公表）に対してシステムのMBRを破壊するディスク・ワイピング・マルウェア（Trojan.Killdisk）というマルウェアを用いたサイバー攻撃が行われた。MBRというのはシステムが起動するために必要な箇所であり、これを破壊されるとシステムそのものの起動ができなくなる。

この件を調査した大手セキュリティ企業によると、実は既に昨年12月23日の時点で不正侵入されており、1月16日には不正操作するために用いるWebシェルが標的となったシステムにインストールされていたことが確認されている。このマルウェアはワームと呼ばれるもののように自動的に展開していくのではなく、手動でアクティブ化されることで発動する。すなわち、昨年12月に仕込んでおいたマルウェアはすぐにアクティブ化せず、このタイミングまで虎視眈々と待ち続けていたということだ。

さて、ラップトップにソフトウェアをインストールされる際、「このソフトウェアは信用できます」とか「信用できません」といった警告が表示されたことはないだろうか？　これはプログラムの安全性を証明するためのデジタル署名が有る場合（信用できます）と、無い場合（信用できません）によるものである。

そして、今回用いられたこのマルウェアは、このデジタル署名を用いることで安全なプログラムのように見せかけていた。更に、このデジタル署名を記録していた証明書は、キプロスで登記されているアートとケーキを扱う会社の社名となっていた。そのため、証明書を発行するためにフロント企業を使ったか、既に閉鎖されている企業の情報を流用した可能性が考えられる。

また、別のセキュリティ企業の調査によると、同様のマルウェアは23日時点でウクライナ国内だけでも数百台の端末から発見されている。そして同様の被害は、1月頃からウクライナ政府に対するサイバー攻撃で用いられていたことが確認されている。

また、サイバー攻撃はウクライナ国内に限らず、ラトビアとリトアニアにあるウクライナ政府の請負業社と、ウクライナ系金融機関などもウクライナでの衝突開始早々に被害を受けている。

このサイバー攻撃では、システムの破壊と同時にランサムウェアも用いることで被害者の注意を逸らし、金銭目的の犯罪者による犯行を装うことで攻撃者の意図や追跡を困難にしている。

事前の対策でリスク低減

同じく2月23日には、ウクライナの防衛省・外務省・内務省などのウェブサイトがロシアからのDDoS攻撃によって停止した。被害は数百台の端末におよぶとみられている。これらの組織は2月に英米政府がロシアの諜報機関を非難した直後からサイバー攻撃を受けており、2月13日から14日にかけての攻撃では、一部の政府機関や大手銀行などが終日停止するといった被害も発生した。この時の攻撃を受け、政府機関では緊急対応の技術者強化や、新たにDDoS対策のセキュリティ製品を導入していたこともあり、23日以降の攻撃では以前よりも影響が少なくなっている。

ここまで紹介したように、複数の手法を用いてサイバー攻撃が行われているが、10種類や100種類などのマルウェアや手法が用いられた場合、その影響はウクライナ国内だけでなく、NATO同盟国をはじめ多数の国に波及する可能性が高い。実際、ロシアが関与されているとされているランサムウェアのNotPetyaでは、世界中で脆弱性を抱えた機器が多かったために、攻撃者が意図していた標的を超えて広がり被害が拡大したという経緯もある。

犯罪グループ

ロシアによるウクライナへのサイバー攻撃は今回に始まったことではなく、従来から行われてきた。

例えば、ロシア連邦保安局FSBに関連するとされるGamaredonというグループは、これまで発電所や水道施設などの重要インフラや政府機関などへ、諜報やシステム破壊を目的とした5000回以上のサイバー攻撃を行なってきたことが判明している。そのため、2021年11月にはウクライナのセキュリティ機関であるSSUが5名の関係者を、ウクライナ刑法111条に基づいて訴追した。本件に関するレポートはSSUより公開されており^*2、本稿執筆時点ではアクセス可能であるが、ウクライナ侵攻が始まった当初はアクセスすることができなかった。

また、昨年米国の食肉供給業社JBS^*3、IT企業Kaseya^*4はじめ日本企業なども多数被害に遭ったRevilランサムウェアグループは、米国の要請によりロシアFSBによって1月に解体されているものの、新しい動きもある。

ロシアが支援するサイバー犯罪グループのAPT29（別名、CozyBear、ノーベリウム）は、2020年末にSolarWindsを攻撃した^*5ことでも有名であるが、ウクライナ侵攻とは別に直近では大使館をターゲットにし始めている。

これらの攻撃は一般の人には直接的な影響を与えないかもしれないが、潜在的な政治的影響を及ぼす可能性がある。実際に、トルコ大使館職員になりすまして、大使館や関係者などに同じ手口を仕掛けようとしていることがセキュリティ企業によって確認されている。

世界の反応

2月24日、世界的に著名なハクティビストグループのアノニマスは、ロシアによるウクライナ侵攻後、プーチン政権に対して「サイバー戦争」をTwitter上で宣戦布告した。ここでは、クレムリンや下院を含むロシア政府のウェブサイトを削除すると宣言しており、既に、ロシア国営の国際テレビネットワークRTのウェブサイトを削除したことが報告されている。

同じく24日には、ドイツはロシアを拠点としたサイバー攻撃を防ぐための体制を強化していることを発表した。また、EUは2019年に設立したサイバー・レスポンス・チームでウクライナを支援することを表明している。欧州中央銀行（ECB）からは、制裁および関連する市場の混乱が発生した場合に、ロシアによる報復のサイバー攻撃のリスクについて欧州の金融機関に警告した。

米国では、1月18日に米CISAが発行した企業に対する警告において、ウクライナの組織と関連している場合には、それらの組織からのトラフィックを監視・検査・隔離するために特別な注意を払い、トラフィックのアクセス制御を確認するよう促している。

同じくCISAからは2月、ロシアのサイバー攻撃によって米国のネットワークが影響を受ける可能性があることついて警告を発し^*6、具体的な対策などについても記載している。

いくつかの主要な多国籍企業のセキュリティおよびインテリジェンスチームでは、ロシアのサイバー攻撃を想定して運用における2次および3次の影響の可能性を評価しており、一部の企業では、ウクライナの危機に関連した攻撃や詐欺の増加を予想している。

リスク評価ではまず、企業がウクライナの国立銀行やその他の重要インフラなどに直接的に関連しているかを確認する方法がある。また、対策としては次のようなことがあげられる。

1. 事業継続計画を確認する。
2. サプライチェーンを綿密に調べる。
3. 侵害に関連してネットワーク、ベンダー、法執行機関と積極的に連携する。
4. 従業員のセキュリティ意識を浸透させる。
5. 企業インテリジェンスチームとITチームがソリューションについて緊密に連携していることを確認する。

今後

IBMが2月に公開した調査^*7によると、英国ではエネルギー産業が最も多くサイバー攻撃の標的となっておりインシデントの24%を占めていた。英国政府機関であるGCHQの見解としては、重要インフラを攻撃することで国民の士気を低下させることを目的としているとしている。

攻撃手法も日々アップデートされている。

ロシア連邦軍参謀本部の諜報部門の一部であると考えられているSandwormグループ（別名、APT28、Fancy Bear、Sednit、Sofacy、Voodoo Bear）がファイアウォールを攻撃するマルウェアを開発したということを、2月23日に米CISA, NSA, FBI、英NCSCによる共同アドバイザリー^*8にて注意喚起した。

このグループは過去にも大規模なサイバー攻撃をウクライナに対して行なってきたとされており、2018年にはこのマルウェアの旧型によって、ウクライナの塩素ステーションがサイバー攻撃により停止している。

今回注意喚起されたマルウェアに感染すると、ファイアウォールの先にあるサーバにマルウェアをダウンロードさせたり、更に追加機能を実装していくこともできてしまう。

また、世界の問題はロシアとウクライナだけではなく、同時進行でイランの問題などもある。

2月24日には米FBI, CISA, CNMF、英NCSCが発行した共同アドバイザリー^*9において、イランの情報セキュリティ省（MOIS）の関連組織とみられているMuddyWater（別名、Earth Vetala、MERCURY、Static Kitten、Seedworm、TEMP.Zagros。2017年頃から活動しているとされている。）によって、通信・防衛・地方自治体・石油および天然ガスなど、さまざまなセクターの政府および民間セクターの組織を標的としたサイバー諜報活動とサイバー不正操作が行われていることを注意喚起している。

このように攻撃ベクトルもあらゆる方向から向かってきているが、被害に遭ったあとの復旧もスムーズにはいかない可能性がある。コロナ禍に伴う半導体不足に追い討ちをかけるように、2月11日にはロイターが報じたところ^*10によると、米国の半導体産業がウクライナ産のネオン、パラジウムなどに依存しているため、米国の半導体サプライチェーンが脆弱であることを報じており、半導体不足の影響が一層深刻なものとなる可能性がある。

本稿が公開される頃には平和が訪れていることを願っているが、サイバー空間の脅威はあらゆる面に影響を及ぼし、その復旧は長期化している可能性もある。

出典

^*1 https://www.meti.go.jp/press/2021/03/20220301007/20220301007.html

^*2 https://ssu.gov.ua/uploads/files/DKIB/Technical%20report%20Armagedon.pdf

^*3 https://www.wtwco.com/ja-JP/Insights/2021/06/crb-nl-june-adachi

^*4 https://www.wtwco.com/ja-JP/Insights/2021/08/crb-nl-september-miki

^*5 https://www.wtwco.com/ja-JP/Insights/2021/04/crb-nl-april-adachi

^*6 https://www.cisa.gov/shields-up

^*7 https://www.ibm.com/security/uk-en/data-breach/threat-intelligence/

^*8 https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter

^*9 https://www.cisa.gov/uscert/ncas/alerts/aa22-055a

^*10 https://www.reuters.com/technology/white-house-tells-chip-industry-brace-russian-supply-disruptions-2022-02-11/