Microsoft の 2022 Digital Defence Report：ロシア対ウクライナのハイブリッド戦争の影響

“Disturbing” Rise in Nation State Activity, Microsoft Reports

2022/11/04 InfoSecurity — Microsoft の Corporate VP, Customer Security & Trust である Tom Burt は、11月3日に開催されたオンライン・プレス・ブリーフィングにおいて、2022 Microsoft Digital Defence Report (MDDR) について説明し、国家による攻撃的なサイバー活動が、この１年の間に劇的に増加していると述べている。

ロシア対ウクライナのハイブリッド戦争の影響

この最新レポートでは、2021年7月〜2022年6月の間に Microsoft が観測した、サイバー脅威の動向が紹介されている。それにより、重要インフラを標的とした国家によるサイバー攻撃の割合が、20% から 40% へと急増したことが判明した。その背景には、ウクライナの重要インフラに対するロシアの攻撃や、米国を含む西側同盟国をターゲットにした積極的なスパイ活動などがある。

Tom Burt は、「今年のサイバー・セキュリティ・アクティビティをレポートするにあたって、ウクライナのハイブリッド戦争について語らずにはいられない」と述べている。

Burt は、この紛争中にウクライナの政府や重要サービスは、ロシアによる執拗なサイバー攻撃に直面したが、最近の英米政府と同様に、その見事な防御力に対して賞賛の言葉を繰り返した。

ロシアは、ウクライナのネットワークを混乱させることに成功したが、ウクライナは被害から回復する際に弾力的であったと述べている。 

この成功の主な要因は、紛争が始まった当初に、ウクライナ政府がデータとワークロードをクラウドに移行することを決定し、そのプロセスを Microsoft が支援したことにある。Microsoft の EMEA Chief Security Advisor である Sarah Armstrong-Smith は、InfoSecurity との最近のインタビューにおいて、ウクライナの各省庁のデータをクラウドへ移行した際の、同社の役割を強調している。

彼は、「この移行により、AI 技術の活用とデータの可視化が推進され、サイバー攻撃からの保護と防御に有用な、世界最高水準のサイバー・セキュリティが実現した。さらに、データセンターへの物理的な攻撃により、データが破壊されないようにする、今回の移動における物理的なセキュリティ要素も重要だ」と指摘している。

また Burt は、「何年にもわたるロシアからのサイバー攻撃を経験した後に、ウクライナの政府／CERT／民間セクター間で強力なコミュニケーションが進化し、サイバー攻撃の被害から迅速に回復できるようになった」とも述べている。

また、Microsoft は、ロシアがウクライナを標的にした、破壊的なマルウェアを継続的に進化させていることを確認している。彼は、「現時点においてロシアは、ウクライナに展開するマルウェアの第７世代または第８世代に入っている」と述べている。

国家による活動全般

この報告書では、ロシアとウクライナの紛争を超えたレベルで、サイバー・スペースにおける国家が、ますます攻撃的になっていることが明らかにされている。これらの行動は、主に諜報活動や監視を目的としたものだが、Microsoft は、「破壊的な目的のためにサイバー兵器を使用する、国家に支援された脅威意欲の高まり」も指摘している。

その一方で、イランの脅威アクターたちは、米国の政権移行後に、積極的に行動している。一連のサイバー攻撃には、イスラエルを標的とした、数々の破壊的な工作が含まれ、イスラエルで緊急ロケットのサイレンを鳴らすほどの、攻撃を実施したこともある。

Burt は、興味深いことに、イランの脅威アクターがランサムウェア攻撃に関与することもあるが、キーを提供する意図はなく、国家をターゲットにしたデータの暗号化を行っている。それは、破壊的な攻撃だと述べている。

2022年9月にアルバニア政府は、イランとの外交関係をすべて断ち切ったが、その背景ンには、7月15日に発生したランサムウェア攻撃により、アルバニア政府の大量のデジタル・サービスや Web サイトが一時的に停止したというインシデントがあった。

また、同報告書では、北朝鮮におけるサイバー犯罪と国家活動のクロスオーバーが続いていることも強調されている。

Burt は、「いまの北朝鮮は、暗号通貨の窃盗を積極的に推進しているが、それを資金源にして、同国のサイバー犯罪活動などが進められてきた」と述べている。

東南アジアにおいて中国と米国との緊張が高まる中、地域的な影響力を強化するために、諜報活動や情報サイバー攻撃を拡大していることを、Microsoft は観察している。

サイバー犯罪の傾向

金銭的な利益を求めるサイバー犯罪者の攻撃も、2021年7月〜2022年6月において、量的／質的な巧妙さを増しているとのことだ。Burt は、最も影響力のある２つのベクトルは、ランサムウェアの蔓延と、ビジネスメールの侵害であると指摘している。ランサムウェア攻撃の主な進化は、検知を回避するために使用される技術の適応力であり、この傾向は 2023年も続くと考えているようだ。

もう１つの懸念すべき傾向は、すべての脅威ベクターにおいて、特にランサムウェアにおいて、Cybercrime-as-a-Service が急増していることだ。つまり、洗練されたサイバー犯罪シンジケートが、技術力の低い者を含む他者に対して、サービスを提供するケースが増加していることになる。それにより、サイバー犯罪者の参入障壁が著しく低下している。したがって、加害者の役割は、被害者の選択と、金銭授受の交渉だけに、絞り込まれるケースが多発している。

2022年11月3日に、European Cybersecurity Agency (ENISA) が発行した、脅威の状況年次報告書 2022 によると、今年のサイバー犯罪状況は、ロシアのウクライナ侵攻の影響を、大きく受けていることが判明している。

文中にあるように、ロシアによるウクライナ侵攻が始まってから、この世界は大きく変わってしまいました。その意味で、Microsoft のような企業が、今年の集大成とも言える充実したレポートを提供しくれるのは、とても有り難いことです。このブログでも、この変化には注目し、Ukraine というページを作っていますので、よろしければ、ご参照ください。また、as-a-Service で検索も、コモディティ化の状況を明らかにしてくれます。