2024.01.25 13:28
2022.04.22 18:00
インターネットセキュリティ大手トレンドマイクロのセキュリティエバンジェリスト、岡本勝之氏は21日、日本記者クラブ(東京都千代田区)でロシア軍のウクライナ侵攻に伴う「サイバー攻撃」の概況に関し、会見した。ウクライナ、ロシア双方によって活発なサイバー攻撃の応酬が行われているものの、ロシア側の攻撃は現在まで奏功していない点、ウクライナの防御が2014年のクリミア危機以来、強化されていると解説した。また、サイバー攻撃にはウクライナ、ロシア以外の多くの国と地域の人員も参加しており、そうした行動が国際法に抵触する可能性についても指摘した。
岡本氏は、ウクライナ政府のサイバー攻撃対策組織のCERT‐UAなどの公開情報(オープンソース)の分析と、同社が実施したウイルス検体解析などをもとに説明した。
ウクライナの侵攻に関連するサイバー攻撃の概況としては「DDoS攻撃」と標的組織のネットワークに侵入し、機密情報の詐取やシステムインフラの破壊を企図する「標的型攻撃」双方が盛んに行われているという。
会見前日にCERT‐UAサイトがダウン
DDoS攻撃では、遠隔操作ウイルス(ボット)に感染したコンピューターやIoT機器(ウェブカメラ、ルーター)などを踏み台とし、大量の通信や脆弱性の利用により、標的のサーバーをダウンさせるスタイルが多く観測されていて、「攻撃が行われていることを見せつけること」を企図したものが目立つという。
ロシア軍による本格的な侵攻が始まる前は、ウクライナの銀行、政府機関に対する攻撃が多数確認され、複数のサイトがダウンした。岡本氏は「ウェブサイトが見られなくなると、ネットバンキングなどの利用者が利用できない。基本的には示威攻撃。攻撃力を見せつけるような攻撃になっている。例えば、国防省、政府関係のサイトが落ちるとそこの防御が弱いように見えてしまう。ウェブサイトは正規の情報発信の経路。利用者が情報を見に行こうとするときに、落ちていると防御が弱いように思ってしまう」と解説する。
会見前日、前々日にはCERT‐UAのサイトがダウンしていたとのことで、「攻撃を行ったその場だけ、影響があって、その後復旧することを繰り返している」と語る。
開戦当初には「ピザ屋」への謎の攻撃
同社では現在、感染したIoT機器ネットワークからどういう遠隔攻撃が行われているかを監視をしているという。
ロシア軍の攻勢が始まった2月23日前後時点で、攻撃命令がボットネットワークで見られたといい、ウクライナ国内の人材関連企業や「おもしろいところではピザ屋などへの攻撃も見られた」(岡本氏)という。
しかし、その後に関し、岡本氏は「基本的にロシア側に対する攻撃の命令が飛び交っているのが観測されている」と語る。クレムリンのサイト、インフラ系組織、銀行、電子決済サイトへの攻撃命令が観測されているという。
むしろ、IoT機器を乗っ取るというパターンの攻撃は、ロシア側への攻撃命令が多いという。「DDoS攻撃はウクライナIT義勇軍、アノニマスが攻撃のメーン。アノニマスなどのハッカーがIoT乗っ取りの手口をよく使っているのではないかと思われる」と分析した。
一方、ネットワークへの侵入を経て、システムの破壊を企図する「標的型攻撃」は、ウクライナに対して行われているという。なりすましメールや標的型メールを送信し、受信する人の職務内容に沿ったメールを送り、開かせるという手法が活発なようだ。
具体的には避難民の管理に関与する職員などに対するフィッシング攻撃が観測されたという。偽のサイトに誘導してアカウント情報を騙し取ろうとしたもので、ウクライナのポータルサイトの軍関係者のプライベートアドレスが乗っ取られてしまい、そこから連絡先情報に対してフィッシングが行われたという。
また、ウクライナ国内の有力ニュースサイト利用者にも、認証情報を騙し取るメールが送られたほか、ウクライナの国立医療サービスやウクライナの警察を詐称して送られたメールなども確認されているという。
ロシア側の攻撃ミスも
一方で、攻撃者側のミスも見つかっている。岡本氏は、一連の標的型攻撃を解析したところ、「感染したパソコンの位置情報がウクライナ、ロシアだと動かないということが確認された。ウクライナを攻撃しているのに、ウクライナで動かないというのはどう考えてもミスだと思われる」と語った。
また、混乱を招くための破壊活動も目立った。ワイパーを中心とした破壊活動に表に見えた事例としては、1月時点から、「Whisper Gate(ウィスパーゲート)」などを用いた攻撃で70以上の政府機関やIT企業などに対し、サイトのシステムが壊されたり、サイトが改ざんされたり、嘘の表示が出たりしているという。
またランサムウェアに見せかけたワイパー攻撃も見られる。例えば、OSが立ち上がらず、“謎のメッセージ”が出てくる仕様のものも見つかった。メッセージの内容は「あなたのパソコンのハードディスクは壊した。ビットコインで払うことを求める」などと、身代金を要求するランサムウェアを装っているが、岡本氏は「お金を払ってももとには戻らない」と注意を呼びかけた。
ロシア軍のクリミア併合後の2015年には、ウクライナに対するサイバー攻撃で大規模停電が発生したが、「それとほぼ似ている攻撃」もなされたようだ。岡本氏は「高圧変電所やエネルギー関連施設に対しての攻撃が行われて、成功していたら大きな混乱があった。4月8日の時点で発動する予定だったが、セキュリティーベンダーなどの活動で未然に防がれたと言われている」と語った。
ウクライナへの主な攻撃者としては考えられているのはUAC-0082(もしくはSandworm・サンドワーム)などで、サンドワームは前述の15年の大規模停電や平昌オリンピック開会式などのへの攻撃を主導したとみられているという。「ルーターを狙うbotも投入してきているほか、VPNフィルターにも関与している」という。また、アメリカ大統領選で民主党陣営の情報盗んだUAC-0028などの活動も観測されているという。
一方で、岡本氏は「ロシア側からの攻撃が発生しているが、停電などの大きな被害にいたっていないということがポイントだ」と強調する。
関連して、ロシア政府を支持するランサムウェアグループ「Conti」では、当初、ロシア政府への支持を公言していたが、「その後、内部でもめたらしく、ロシア政府も含めて特定の政府を支持する旨は取り消した」という。岡本氏は「サイバー犯罪グループは複数の国にまたがっている。基本、『Conti』にはロシアに多くのメンバーがいるので、最初はロシアを支持したが、他の国のメンバーからの異論があったようだ。内部情報が出ており、現在、揺らいでいるようだ」と分析している。
サイバー戦争への参加は国際法上どうなるのか?
一方、ロシアへの攻撃としてはウクライナ政府がメッセージアプリTelegramで参加を呼び掛けた「IT Army of Ukraine」を特徴として挙げた。ガスプロムなどのロシア大手企業や政府関係に対するネットワーク攻撃を呼び掛けている。
岡本氏は「政府主導のサイバー攻撃というのは、基本的には公にならないのだが、Telegramに参加すれば、誰でもでも見られる。初めての例ではないかと思う。サイバー攻撃は国際法上の戦闘行為に見なされるのかなど、例えば、日本から攻撃を行った場合、日本からの攻撃とみなされるのかなど、判断されていない」と指摘。「日本の国内法では、私戦予備及び陰謀罪で、他国に対する攻撃が禁止されている。そうした法律に抵触しないかなども考えていかないといけない」と語った。
一方で、一連のサイバー攻撃の応酬に関し、「目新しい攻撃手法はあったのか」という問いに対し、岡本氏は以下のように語った。
「一部のマルウェアは洗練されたものであったが、目新しいコードを実装したものではなく、セキュリティ企業やCERTーUAで報告されている限りゼロデイ攻撃(未知の脆弱性を突く)も公表されていない。基本的な守りを固めていれば防御できる攻撃が多いといえる。
14年のクリミア併合と比べてサイバー攻撃と比較すると、ウクライナ側の防御レベルは上がっていて、攻撃をかなり抑え込んでいるといえると思う」
(文=Business Journal編集部)
Business news pick up
RANKING
17:30更新
関連記事
