ロシアによるサイバー攻撃:ウクライナから NATO へと標的が拡大する可能性は?

Russian Use of Cyberweapons in Ukraine and the Growing Threat to the West

2022/08/19 SecurityWeek — その始まりは AcidRain だった。AcidRain は、イタリアの Viasat のサーバーを標的とした攻撃のことであり、ウクライナからヨーロッパ全域において、同社における多数のモデムと、インターネット通信を管理するサーバを狙ったものだった。この攻撃は、ロシアによるウクライナ侵攻のタイミングに合わせて実施され、ロシアからウクライナへ向けたサイバー戦争のテンポを劇的に速めることになった。AcidRain を用いる、戦術的な論拠は明白である。ウクライナの通信機能を低下させることで、ロシア軍は戦況を有利に展開できるからだ。 

SentinelLabs は、AcidRain について、VPNFilter というマルウェアの間に類似点があることを発見した。FBI は後者について、APT28 (別名 Fancy Bear/Sofacy) の仕業としたが、Sandworm (別名 Black Energy) の仕業とする意見もある。しかし、どちらのグループもロシアの GRU (ロシア連邦軍参謀本部の対外軍事情報機関) により運営されているため、AcidRain の攻撃の背後にロシア GRU がいたとするのは、妥当な主張といえる。

しかし、現時点における AcidRain の実態は、ロシアが国家として用いるサイバー兵器とは、一線を画している。その違いは、ウクライナ以外の国々 (NATO 諸国) の重要なインフラをダウンさせたことにある。たとえば、犠牲者の中には、ドイツの風力発電機 5,800 基が含まれている。 


Trustwave のレポート (PDF) では、その後のウクライナへ向けて展開された、多数のロシア国家サイバー兵器について報告されている。そして、それら全てにおいて、ウクライナ国内をターゲットにしているという共通点がある。 

Trustwave の VP of Security Research である Ziv Mador は SecurityWeek に対して、「AcidRain の主要ターゲットが、ウクライナのモデムだったとしても、それがヨーロッパ全体のモデムにも影響を与えることを、攻撃者は知っていたはずだ」と述べている。つまり、AcidRain は、国家としてのロシアにおける、他のサイバー攻撃/サイバー戦争とは一線を画しているのだ。

そこには、考慮すべき重大な意味がある。西側の重要インフラに対するロシアの攻撃姿勢には、倫理的な消極性というより、コストと利益の分析に基づく消極性が存在する。つまり、AcidRain を利用した場合は、ウクライナの通信を劣化させるという利点があり、また、西側の重要インフラを攻撃しないという規範を、コストに見合ったかたちで乱すというものだった。

AttackIQ の VP of Cybersecurity Policy and Strategy である Jonathan Reiber は、「プーチン大統領は、早急なエスカレーションを望んでいないと推測する。ウクライナとの間で、選択肢が完全になくなり、後手に回るような状況に追い込まれるまで、西側のターゲットに対して破壊的なサイバー攻撃を行うつもりはないだろう。その時点になれば、AcidRain も、プーチンの行動規範に拘束されることはなくなる。つまり、国際的なサイバー戦争のルールは崩壊しつつある」と述べている。

Trustwave の研究は、ウクライナ侵攻が始まってからの、ロシア国家のサイバー攻撃を分析し、攻撃グループを支配する国家機関に結びつけている。主な攻撃者としては、SVR (ロシア対外情報庁) 配下の APT29 (別名 Cozy Bear/The Dukes) および、GRU 配下の APT28 と Sandworm、そして、FSB (連邦保安庁) 配下の Gameredon (別名 Primitive Bear/Armageddon) と Dragonfly (別名 Energetic Bear/Crouching Yeti0 などがある。なお、InvisiMole が含まれているのは、Gameredon と関係があるためだ。

別の年表では、戦争が始まって以来の、ウクライナに対する膨大な量の攻撃が、破壊と諜報の2つのカテゴリーで表示されている。

一連の攻撃で使用されているマルウェアには/HermeticWiper/HermeticRansom/IsaacWiper (Gameredon)/LoadEdge (InvisiMole) /DoubleZero (帰属不明の .NET Wipre)/CaddyWiper/AwfulShred/SoloShred/Industroyer2 (Sandworm)/CredoMap (APT28) である。

わずか数カ月の間に、国家に主導された大規模な攻撃が行われた背景として、以前からマルウェアなどが開発/準備されていたことが示唆される。おそらく、2014年のクリミア併合以来、ロシアはサイバー戦争の足場を固めているのだろう。

Ziv Mador は、「開発期間については、何を言っても意味がないだろう。私の推測では、ロシアのような国は、何年も前からサイバー兵器を準備している。それは、将来の戦争のために、あるいは、終末の日のために準備されている」と述べている。AcidRain を除けば、ロシアの国家兵器の大半はウクライナに照準を合わせている。つまり、現時点におけるプーチンは、世界的なサイバー・エスカレーションを避けようとしていると推測される。しかし、すでに AcidRain は、彼にとっての不可侵のルールでないことを教えてくれる。

Jonathan Reiber は、「西側諸国から強いられるコスト負担を避ける意味で、サイバースペースでエスカレートしないことが、ロシアの利益につながることは間違いない。私の推測では、プーチンはウクライナで後手に回るまで、西側をターゲットにした破壊的なサイバー攻撃を行うつもりはないようだ。後手に回り、NATO 諸国に対してサイバー攻撃を行えば、ロシアにおける費用対効果の比率が変わってくる」と述べている。

しかし、ロシアから西側の重要インフラに対して仕掛けられる現在の攻撃が、国家主導の攻撃でないと仮定すべきではない。Reiber は、「私は何も想定していない。私たちが、ロシアで見てきたパターンは、ロシア政府は自分の利益のために、また、戦略的に優位に立つために、代理グループを使用しているというものだ。それらは、必要最小限の制限の中で活動していることを示しているが、必要があると判断したときは、いつでも制限を撤回するだろう」と述べている。

彼は、「その一例として、Colonial Pipeline のインシデントや、それ以前からのロシア・ビジネス・ネットワークが引き起こしたインシデントがある。つまり、数多くの非国家組織が代理人グループとして活動し、作戦を展開しているのだ。ロシア政府をダイレクトに支援する攻撃ではなくても、それらの代理グループが、政府の利益のために行動しているケースが多いと認識できる」と述べている。

西側諸国を攻撃するための代理グループの利用は、ロシアによる国家活動の定義を曖昧にしている。

しかし、この不安定なバランスを崩したのが、AcidRain である。それは、ロシア政府が GRU を通じて資金を提供したサイバー攻撃であり、ウクライナの戦場からはみ出し、NATO 加盟国内の重要インフラ (ドイツの風力発電機) をダウンさせたものだ。すでに、一線が突破されたことを示唆している。 

ロシアは、プーチンが国家の利益になると判断したとき、そして、コストを上回る利益を得られると判断したときはいつでも、躊躇せずに西側の重要インフラを、ダイレクトに攻撃することを意識しておく必要がある。 

ウクライナ戦争の結果がどうであれ、地政学的な緊張は、これからの数年にわたり高まり続けるだろう。欧米の組織は、ロシア政府のエリート・ハッカーにより、自国がダイレクトに攻撃される可能性が高まっていること、そして、スパイ行為から破壊行為へと、攻撃面積が拡大していることを考慮する必要がある。

Trustwave の調査は、ロシアのサイバー兵器の規模を示している。そして、Ziv Mador が SecurityWeek に語ったように、彼らは、未知のゼロデイを隠し持ち、新たなサイバー兵器を開発していくだろう。

Viasat に対する AcidRain 攻撃については、3月11日の「西側諸国がロシアを批判:Viasat が運営する KA-SAT 衛星ネットワークへのサイバー攻撃」と、3月31日の「Viasat 衛星ブロードバンド・サービスを攻撃する AcidRain マルウェアとは?」に詳細がありますので、よろしければ、ご参照ください。そして、今日の記事ですが、AcidRain がテーマにはなっていますが、その裏にある、ロシア政府と代理グループとの関係性を掘り下げる、とても興味深い内容になっています。平時であれば犯罪集団であっても、有事には軍事組織へと組み入れられるグループが、他にもたくさんいそうです。関連記事として、1月18日の「ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?」と、1月21日の「ロシア当局の REvil 逮捕を受けて:ハッカーたちはダークウェブで何を囁く?」も、なかなか面白いものとなっています。

%d bloggers like this: