ウクライナ政府の 15 の Web サイトが一斉に攻撃されオフラインに追い込まれた

Multiple Ukrainian government websites hacked and defaced

2022/01/14 BleepingComputer — ウクライナにおける公的機関の Web サイトのうち、少なくとも 15 の Web サイトが不正アクセスを受け、改ざんされ、その後にオフラインに追い込まれた。その中には、外務省/農業省/教育科学省/安全保障・防衛省/閣僚内閣のオンライン・ポータルなどが含まれている。改ざんされたメッセージは、ウクライナ語/ロシア語/ポーランド語で書かれており、サイトの訪問者に対して、公共のネットワークにアップロードされている、すべての市民データが漏洩していることを警告していた。

この記事を書いている 2002年1月14日の時点では、ウクライナの IT 専門家が復旧作業を行っている状況にあり、一部のサイトはアクセスできない。また、ウクライナのサイバー警察は、これらの攻撃により、個人情報が漏洩したわけではないことを発表し、市民を怖がらせるために偽の警告メッセージが流されていることを強調している。

警察の発表では、「他のリソースへの攻撃の拡大と、技術的な問題の局在化を防ぐために、他の政府サイトの業務を一時的に停止した。現在、サイバー警察は、国家特別通信局およびウクライナ保安局とともに、デジタル証拠を収集し、サイバー攻撃に関与した者を特定している」と述べている。

情報筋がジャーナリストの Kim Zetter に語ったところによると、危険にさらされたウクライナの 15 のサイトすべてが、CVE-2021-32648 の脆弱性を持つ、古いバージョンの October CMS を使用していたとのことだ。この不適切な認証の脆弱性 (CVSS : 9.1) を悪用する攻撃者は、特別に細工したリクエストを送信し、プラットフォーム上でパスワードをリセットすることで、管理者アカウントを乗っ取ることが可能となる。

この脆弱性は、2021年8月に公開された Build 472 の Ver 1.1.5 で修正されているが、ウクライナ政府における、いくつかの Web サイトでは、セキュリティ・アップデートが適用されていなかったようだ。その後に、ウクライナのサイバー・ポリスからの勧告により、Zetter が報告した October CMS の脆弱性が、侵入経路であることが確認された。

ポーランドにも影響?

ウクライナが攻撃を認めた翌日に、ポーランド国防省も、軍の機密情報を含むデータベースの一部が侵害されたと発表した。同省では、不正アクセスされたデータベースに、テスト・ファイルが含まれていたのか、実際のデータが含まれていたのかは不明であり、現在も調査が継続中であるとしている。しかし、現地の報道関係者は、流出したファイルの正当性と、ウクライナのサイバー・セキュリティ事件には関連性あると、確信を持って語っている。

行為者不明

サイバー・ポリスは、第361条 (コンピュータおよびネットワークへの不正な干渉) に基づき、刑事手続きを開始したが、その行為者は不明である。ポーランドの人々は、改ざんされたページに投稿されたメッセージに、明らかな文法上の誤りがあることに気づき、Yandex 翻訳の結果だと主張している。そのため、行為者がロシア人である可能性があるとされている。

ウクライナとロシアの間には、極度の緊張状態が漂っているが、Web サイトの改ざんという行為は、GRU のようなロシアの国家支援型ハッキンググループの、典型的な攻撃方法ではない。そのため、研究者たちは、ポーランドやウクライナの政府機関を標的とした経歴を持つ、APT ハッキング・グループ GhostWriter の攻撃だと推察している。2021年11月 に Mandiant は、GhostWriter グループとベラルーシ政府を結びつけるレポートを発表した。Mandiant は、「UNC1151 は、ウクライナ/リトアニア/ラトビア/ポーランド/ドイツを中心に、さまざまな政府機関や民間企業を標的にしている」とレポートに記している。

ターゲットには、ベラルーシの反体制派/メディア企業/ジャーナリストも含まれている。これらの、政府に対して厳しいスタンスを持つ情報機関は複数あるが、具体的な標的の範囲はベラルーシ政府の関心事と最も一致している。また、昨日に、ウクライナのサイバー警察は、世界中の企業に対する 50件以上の攻撃に関与した、5つのランサムウェア・グループの逮捕を発表した。ただし、この件への報復として、政府 Web サイトの改ざんが行われた可能性は低いと思われる。

ウクライナとロシアの国境で、緊張が高まっていると、テレビのニュースでも繰り返して報道されています。武力侵攻に先行して、ロシアから情報戦が仕掛けられているというのが、一般的な見方になると思います。October CMS の脆弱性 CVE-2021-32648 が悪用されているようですが、一挙に仕掛けるサイバー攻撃の威力を見せつけられた気がします。敵対者の情報網を混乱させるというのは、戦闘における常套手段です。その一方では、ロシア当局による REvil の強制捜査という出来事もあります。なにか、続報が見つかったら、継続して訳していきます。

%d bloggers like this: