ウクライナ侵攻:ロシア「制裁への報復」サイバー攻撃に備えよ
昨年末以来、ウクライナ情勢が緊迫化する中、ウクライナ政府だけでなく欧米政府も警戒を強めてきたのが、ロシアからのサイバー攻撃だ。何故ならば、ロシアは、軍事攻撃に情報操作やサイバー攻撃を組み合わせ、戦略目標を達成する「ハイブリッド戦」を今までも行ってきたためである。
よく知られているのが、2014年のクリミア併合時の事例だ。ロシアは軍事侵攻前に大規模なサイバー攻撃を行い、ウクライナ軍の通信をダウンさせてしまった。また、ソーシャルメディアを使って偽情報を広げ、マスコミにも取り上げられるようにし、ウクライナ国内における混乱拡大を招いたのだ。
制裁措置への報復としてのサイバー攻撃
現在懸念されているシナリオは4つある。
第1に、ウクライナ軍や政府の対応を妨害し、国内でパニックを引き起こすため、ウクライナ国内の電力、交通、金融、通信などの重要インフラ企業に業務妨害型のサイバー攻撃を起こすことだ。
第2に、ウクライナ軍や政府にサイバースパイ活動を仕掛け、ロシア側にとって有利になるような機密情報を窃取してしまうことである。
第3に心配されているのが、ウクライナを狙ったサイバー攻撃の余波がドミノ式に世界に広がってしまうシナリオである。
例えば、2017年6月、「ノットペトヤ」と呼ばれるコンピュータウイルスを使ったサイバー攻撃が、ウクライナの政府機関、銀行、マスコミ、キエフ空港、通信会社、電力会社などを襲った。
このコンピュータウイルスは、感染したハードディスクドライブ内のデータを削除し、システムを使い物にならないようにしてしまうことで、組織の業務を止める。米国政府は、ロシア連邦軍参謀本部情報総局(GRU)による犯行と後に断定したが、ロシア政府は関与を否定している。
ここで注目すべきなのは、「ノットペトヤ」ウイルスが、最終的には世界65カ国に拡散、総被害額が100億ドル(約1兆1550億円)にも及んでいることだ。
しかもロシアは、その後、世界的に広く使われているサービスにサイバー攻撃を仕掛けることで、サプライチェーンを悪用し、被害をドミノ式に様々な国の顧客企業や政府機関へと拡大する手法も編み出した。たとえ攻撃する側が意図していなかったとしても、予想以上に多くの国々にサイバー攻撃の被害が及ぶ危険性があるのだ。
最後に第4のシナリオは、ロシアの軍事侵攻に対する制裁措置を取った国々に対し、金融機関などの重要インフラへ報復としてサイバー攻撃を仕掛けるものだ。このシナリオの場合、サイバー攻撃を受けた国の社会経済活動が中断し、安全保障上のリスクとなり得る。また、ウクライナ危機への対応・支援に遅れが生じる可能性もある。
約70のウェブサイトが改竄
1月13日、ウクライナの外務省、教育科学省、国防省など約70のウェブサイトがサイバー攻撃を受けてウェブサイトが改竄されてしまい、ロシア語、ウクライナ語、ポーランド語で「恐れよ、そして最悪の事態に備えよ」とのメッセージが書き込まれた。こうしたサイバー攻撃は決して高度なスキルを必要とするものではないが、ウクライナに脅しをかけて心理戦を仕掛け、混乱をもたらそうとしたものと考えられる。
ウクライナ政府は、ロシアによるサイバー攻撃だとして非難した。ロシアからの偽情報に対抗するためウクライナ政府が作った戦略通信情報セキュリティセンターは、「政府機関へのこれだけ重大な攻撃はしばらく見ていなかった」とし、「今回の攻撃は、NATOにおけるウクライナの将来について、ロシアによる交渉が失敗したことと関連しているようだ」と分析した。
攻撃に先立つ1月上旬、ロシアは米国政府や北大西洋条約機構(NATO)、欧州安全保障協力機構(OSCE)とNATOの東方不拡大をめぐり交渉していたが、結局決裂した。
GRUによるDDoS攻撃を米英政府が非難
さらに2月15日、ウクライナ国防省や軍参謀本部など70近くの政府のウェブサイトが「DDoS攻撃(分散型サービス拒否、ディードス)」と呼ばれる種類のサイバー攻撃を受け、一時ダウンしてしまった。国営銀行Oschadbankや大手銀行PrivatBankもDDoS攻撃を受け、アプリやオンライン決済が一時不能になっている。
「DDoS攻撃」とは、対象のサーバーやウェブサイトに大量のデータを送りつけることで過剰な負荷をかけ、ダウンさせてしまう手法を指す。
ウクライナのミハイロ・フョードロフ副首相兼デジタル変革相は、この攻撃が「時間をかけてじっくり準備された」「未曾有の」規模のものであったと指摘し、サイバー攻撃はウクライナの不安定化とパニックのためだろうと見ている。
2月18日、米英両政府は、ロシア軍の情報機関であるGRUがウクライナへのDDoS攻撃を行った可能性が非常に高いと発表。ウクライナの主権を無視したもので、受け入れることのできない行為と非難した。また、オーストラリア政府も、英米に呼応する形で2月20日に同様の非難声明を公表している。
2月20日は、ウクライナ危機について各国の首相や大統領、閣僚が議論していたミュンヘン安全保障会議の最終日であった。
米英政府は、今までもサイバー攻撃を実行した組織の身元を公表し、非難する発表を数多く行ってきたが、従来は攻撃から発表まで数カ月から1年以上もの時間を要していた。今回は、発表までに数日しかかかっておらず、史上最速である。
米マサチューセッツ工科大学の科学技術誌「MITテクノロジーレビュー」は、この方針の大転換の背後には、2016年の米大統領選挙への介入を行った攻撃者の特定と公表までに1年かかったとの反省があると見る。
アン・ニューバーガー国家安全保障担当副補佐官(サイバー・先端技術担当)は2月18日、「破壊的サイバー攻撃が行われた場合、なるべく早急に指摘し、実施した国に責任を負わせる必要がある」と記者団に対して説明した。
尚、ウクライナ政府は、このDDoS攻撃には、ベラルーシ国防省系ハッカー集団「UNC1151」も関わっていると見ている。
侵攻後3日間で196%増のサイバー攻撃
大規模なDDoS攻撃は、軍事侵攻の前日2月23日にも発生した。ウクライナ議会が緊急事態宣言の発出についての話し合いを始めたのとほぼタイミングを合わせて、ウクライナ内閣、外務省、インフラ省、教育科学省、大手銀行などのウェブサイトが一時ダウンしてしまった。ウクライナの国力を長期的に削ぐための攻撃というよりは、軍事侵攻時のウクライナ側の混乱増幅を目的としているものと考えられる。
英BBCによると、DDoS攻撃の一部は、ロシアの愛国的ハッカーたちがウクライナに混乱をもたらすため、自発的に行なったという。
イスラエルのサイバーセキュリティ企業「チェックポイント」の調べでは、ウクライナへの軍事侵攻後3日間で、ウクライナ政府機関や軍のウェブサイトへのサイバー攻撃は196%急増した。一方、ロシアの組織へのサイバー攻撃も4%上昇している。
狙われる重要インフラ
ウクライナ国家安全保障国防会議のセルヒー・デムデューク副議長は、テレビ朝日の2月11日の取材に対し、例年と比べると11月以降、ロシアからのサイバー攻撃が3倍増となっていると語った。特に狙われているのが、金融やエネルギーなどの重要インフラである。
また、危機において通信やメディアの情報が遮断されると、社会不安やデマ情報が広がりやすくなるため、通信網やメディアへのサイバー攻撃も懸念されている。ウクライナ西部のリビウでは、インターネットや電話がサイバー攻撃でダウンした場合を想定し、市当局と警察が市民向けに共同訓練を実施。緊急時には、パトカーが市街地を回って市民に情報提供を行う。
航空会社や航空関連部門向けに安全・紛争地域情報を提供している「セーフ・エアスペース」は2月23日、意図しない撃墜だけでなく、航空管制を標的としたサイバー攻撃の恐れがあるため、ウクライナのいかなる地域の上空も飛行すべきではないとの警告を出した。
軍事侵攻の起きた2月24日には、ウクライナで通信ネットワークと電話回線に対する大規模な妨害が観測され、ウクライナ北東部のハリコフなどで通信がダウンした。
2月25日、米国防総省高官が匿名で記者会見を行い、激戦地となっている南部ヘルソンのダムと水力発電所がサイバー攻撃を受けていると明らかにした。この水力発電所は、クリミアとウクライナ南部への電力供給を担っている。高官は、攻撃元の完璧な特定はできていないと前置きしつつも、おそらくこのサイバー攻撃はロシアからであろうとの見方を示した。
この記者会見では、水力発電所へのサイバー攻撃がどういった性質のものかは明らかにされていない。ただ、2015年12月と2016年12月の厳寒期にも、ロシアからのサイバー攻撃によりウクライナで停電が発生しているため、懸念すべき動きだ。
この米国防総省高官によると、ウクライナメディアのウェブサイトにもサイバー攻撃が行われているが、今のところ、通信は続いているとのことである。実際、ウクライナの主要英語新聞「キーウ・ポスト」は2月24日、「ロシア侵攻直後から常にサイバー攻撃を受けている」とツイートしている。
通信ネットワークがダウンしていない理由
とは言え、軍事侵攻が始まる前の予想と比べ、ロシアからのウクライナの重要インフラへのサイバー攻撃の烈度はまだ低めである。当初は、ロシアがまずウクライナの通信ネットワークにサイバー攻撃を仕掛け、通信をかなりダウンさせるのではないかと見られていた。
しかし、サイバー攻撃で通信ネットワークが中断させられてはいるものの、完全にはダウンしていない。2月28日付の米ワシントン・ポスト紙(電子版)は、その理由としていくつかの仮説を紹介している。
1つには、ロシアは軍事侵攻すればウクライナがすぐに屈服するものと見込んでおり、占領後に自分たちが使う通信ネットワークを維持しておきたかったからだというものだ。
2つ目の説は、通信が使えなくなると、そもそもロシアがサイバー攻撃で情報収集できなくなってしまうという考え方である。
3つ目は、軍事侵攻中のロシア軍兵士たちが使うインターネット回線を維持しておきたかったとの見立てだ。
一方、ウクライナ側の防御体制に要因があるとの分析もある。
米I Tニュースサイト「ワイアード」は、ウクライナがサイバー攻撃に備え、通信ネットワークの分散化とセキュリティ対策を進めてきたことが功を奏した可能性について言及している。
但し、今後ロシアがウクライナへの猛攻を進めるにつれ、サイバー攻撃は苛烈なものになるだろうとの見解も米ワシントン・ポスト紙は示している。
軍人を標的にするベラルーシ国防相系ハッカー集団
2月25日、ウクライナ政府のコンピュータ緊急対応チームは、ベラルーシ国防省系ハッカー集団「UNC1151」が、ウクライナ軍人のメールアカウントに侵入しようとしているとフェイスブック上で明らかにした。UNC1151は、大量のなりすましメールを使い、ウクライナ軍人や関係者の個人アカウントを狙っているという。
強固なセキュリティ対策を施している職場のアカウントではなく、セキュリティ対策が行き届きにくい個人のアカウントを標的とすれば、侵入しやすいと見込んでいるためであろう。
攻撃者が侵入に成功し、メッセージの中身やアドレス帳にアクセスしてしまうと、その情報を使って新たななりすましメールを他の人々に送ってしまう恐れがある。
米サイバーセキュリティ企業「マンディアント」によると、UNC1151は過去2年間、ウクライナ軍を狙ったサイバー攻撃を繰り広げており、今回のウクライナ軍人を標的としたサイバー攻撃もそのパターンに合致している。
尚、ウクライナ軍関係者へのサイバー攻撃が次の段階に移ったのではないかと示唆する攻撃が既に見つかっている。ハッキングされたウクライナ軍人のメールアカウントを悪用して、ウクライナ避難民の支援をしているヨーロッパ政府関係者になりすましメールが送られていたことが判明した。
このなりすましメールを発見した米サイバーセキュリティ企業「プルーフポイント」は攻撃者が誰か名指しはしていないが、ウクライナ避難民の動向やロシアにとって重要な事案についての情報を収集するため、引き続きヨーロッパ諸国が狙われるのではないかと分析している。
軍事侵攻にあわせて複数種類の攻撃を準備
このほか、ウクライナ危機に乗じて「ノットペトヤ」のような妨害型のサイバー攻撃をロシアが再び行おうとしているのではないかと危惧させる動きが、既にいくつか見つかっている。
1月15日、米マイクロソフトは、破壊型のコンピュータウイルス「WhisperGate」を使ってウクライナ国内の複数の組織に対して進められているサイバー攻撃を1月13日に見つけたと発表した。身代金要求型ウイルスであるランサムウェアに見せかけて、1万ドル(約116万円)相当の身代金支払いを求める脅迫メッセージが表示されているが、金を回収する仕組みがそもそもない。
そのため、このコンピュータウイルスは金銭目的ではなく、あくまでも業務妨害を目的に作られたと考えられる。
こうした妨害目的のコンピュータウイルスは、ロシアの軍事侵攻のあった2月24日に再び発見された。
スロバキアのサイバーセキュリティ企業「ESET」の調査によると、この新規のコンピュータウイルス「HermeticWiper」が作られたのは、昨年12月28日だった。この日はウクライナ政府機関などへのDDoS攻撃も行われており、明らかに軍事侵攻にあわせて、複数の種類のサイバー攻撃を2カ月かけて準備し、被害を増大させようとする意思が感じられる。
さらに、半導体大手「ブロードコム」のサイバーセキュリティ部門「シマンテック」が調べたところ、感染被害を受けていたのは、ウクライナの金融機関と、ウクライナ政府との契約業務のあるラトビアとリトアニアの企業であった。
ロシアによるウクライナへの軍事侵攻前、データ破壊を狙ったサイバー攻撃がウクライナ内務省のネットワークに仕掛けられていた。誰が行った攻撃だったのか、どのコンピュータウイルスを使ったものだったのは現時点では不明であるが、このハッカーは、ウクライナの通信ネットワークからも大量のデータを抜き取っていた。
最も警戒感が高まっている金融業界
米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁と米連邦捜査局(FBI)は2月26日、合同で米国企業向けの注意喚起文書を出した。
ロシアによるウクライナ侵攻に先立ち、2種類の妨害型コンピュータウイルスを使ったサイバー攻撃がウクライナに対して行われていた事実に触れた上で、こうした業務妨害を目的としたサイバー攻撃が再びウクライナに対して仕掛けられ、意図せずして被害が他の国に広がってしまう可能性があると指摘している。
そして、ITシステムの脆弱性対策、アンチウイルスソフトの活用、データのバックアップ、厳重なアクセス管理など、早急に取るべき具体的対策を列挙した。
報道や各国政府の注意喚起文書を見る限り、現時点で最も警戒感の高まっている業種は金融のようだ。少なくとも2月9日の時点で、欧州中央銀行はヨーロッパの金融機関に対し、ロシアからのサイバー攻撃の危険性が高まっているとして、ITシステムの脆弱性に最優先で対処するよう求めている。また、ヨーロッパの金融機関は、サイバー攻撃への対応能力を確かめるための演習をその時点で行っていた。
英国の金融機関も例外ではない。英銀行大手「ロイズ」のチャーリー・ナンCEOは、2月24日の決算発表後の会見で、ウクライナ情勢が緊迫する中、この2〜3カ月間、ロシアからのサイバー攻撃を「強く警戒」してきたと明らかにしている。前日に英国政府と銀行間でロシア情勢について会議を行った際、サイバー攻撃対策も議題になったという。
国際決済網である国際銀行間通信協会(SWIFT)からのロシアの一部銀行の締め出しが決定されたことで、さらに危機感は高まった。
銀行が現在特に警戒しているのが、ランサムウェア攻撃、ウェブサイトをダウンさせるDDoS攻撃、データを破壊する妨害型のサイバー攻撃、情報窃取であり、しかも複数の種類のサイバー攻撃が同時に行われるのではないかとも危惧している。
米国証券業金融市場協会は昨年から対策を進めており、11月にはランサムウェア攻撃を受けたとの想定で大規模なサイバー演習を業界向けに実施した。また、米国の金融業界は、攻撃者視点での脆弱性の洗い出しを進めているほか、サードパーティによるサプライチェーンリスクへの対応として、取引先へのサイバーセキュリティ対策強化も求めている。
ただ、妨害型サイバー攻撃がたとえ特定の組織や業種を狙って行われたとしても、国境のないインターネットを伝って、ドミノ式に感染被害が他業種や他国に広がる可能性は十分ある。
だからこそ、2月26日付のフィナンシャル・タイムズ紙の報道によると、金融だけでなく、パイプライン、航空、電力などの重要インフラ企業も、サイバー戦がエスカレートした際、ロシアやランサムウェア攻撃集団などからサイバー攻撃を受ける可能性に備え、サイバーセキュリティ強化を進めているという。
サイバー空間も作戦領域の1つ
サイバー空間が陸、海、空、宇宙に続く第5の作戦領域と目されてから10年以上が経つ。今回のウクライナへの軍事侵攻は、サイバー空間も作戦領域の1つとなったことを現実問題として世界に突き付けた。今後、どのような手法のサイバー攻撃がどの対象に仕掛けられるか予断を許さない。
しかも、コロナ禍でデジタル化が進み、インターネットやハイパースケール・クラウドなどのITインフラが世界経済や安全保障で担う役割が今まで以上に増している今日、サイバー攻撃の影響は当事者の組織や当事国にとどまらない。ランサムウェア攻撃で部品やサービスの仕入れ先が感染すれば、供給が滞り、工場などの稼働が一時停止することもあり得るのだ。
世界情勢、国際政治、エネルギー問題など様々な要素が加わって、サイバー攻撃が行われていることを考えると、サイバー攻撃への対応にあたっては、日々のサイバー攻撃被害に対処する技術者だけでなく、国際安全保障や経済、語学、法律、インテリジェンスなど多様な分野の専門家の参加が不可欠である。
日本では、経済産業省と金融庁が、2月23日にサイバーセキュリティ強化を求める注意喚起を出した。デジタルインフラが世界共通である以上、国境を越えてサイバー攻撃被害がドミノ式に広がるリスクを日本も看過することはできない。
個々の企業・組織のレベルでは、まず脆弱性対策を早急に進めると共に、データが失われたとしても迅速な復旧ができるよう、こまめにバックアップデータを取り、オフラインでも保存しておくことが必要だ。また、サイバー攻撃の兆候の監視や、被害最小化のための連絡体制を含めた対応要領の確認も進めておきたい。
********
松原実穂子
NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。