2022年2月24日、ロシアはウクライナに対し全面侵攻を開始しました。本記事では、ウクライナにおけるロシアのサイバー戦活動を紹介します。
ウクライナに対するロシアの侵攻が開始されました。既に、年始から前兆としてのサイバー攻撃が行われており、ニュースになっています。
ロシア、ウクライナへのサイバー攻撃否定 米の批判「根拠なし」(ロイター)
https://jp.reuters.com/article/ukraine-crisis-cyber-russia-idJPKBN2KO06K
さらに2022年2月23日、ロシア軍のウクライナ東部派遣に先立ち、ウクライナ政府機関および銀行が再びサイバー攻撃を受けました。
ウクライナで大規模サイバー攻撃、一部はデータ消去ソフトを利用か(ロイター)
https://jp.reuters.com/article/ukraine-crisis-cyber-idJPKBN2KS1HN
ロシア・サイバー部隊によるウクライナ攻撃は、2010年代を通じて継続的に行われてきました。
本記事では、米国でベストセラーとなったロシア・サイバー部隊についてのルポルタージュ『Sandworm』、また、ハイブリッド戦争に関する文献を参考に、ロシア・サイバー部隊によるウクライナ攻撃の経緯と、最新状況を紹介します。
ウクライナはロシア・サイバー部隊の演習場
ウクライナは
ロシア・サイバー部隊の演習場
2014年 親欧米派クーデタ
2013年11月から、当時ウクライナ大統領だった親ロシア派のヴィクトル・ヤヌコーヴィチの退陣を求めるデモ活動が始まりました(ユーロマイダン)。デモは首都キエフにおける政府との武力衝突に発展し、ヤヌコーヴィチは亡命しました。
代わってEUへの加盟を目指す親欧米派の暫定政権が発足すると、ロシアはウクライナに対する影響力を確保すべく軍事動員を開始しました。
2014年、ロシア語話者の多いウクライナ東部やクリミアにロシア軍部隊が派遣されるのと前後して、ウクライナ政府機関に対するサイバー攻撃が行われました。このとき、Snake(あるいはTurla、Uroboros)マルウェアが用いられました。
この攻撃を実施したのは、ロシア連邦保安庁(FSB)のハッカーグループでした。
ウクライナでは、実際の軍を動員する前段階として、サイバー攻撃や逆情報(Disinformation)作戦などを活用するハイブリッド戦争が実践されました。
ロシア連邦軍参謀総長ゲラシモフ(Valery Vasilyevich Gerasimov)が提唱した「ゲラシモフ・ドクトリン」は、従来の攻撃に加え、テロ、経済的圧力、プロパガンダ、サイバー攻撃を統合した戦略です。ロシアのような経済的に超大国に及ばない主体にとって、こうした戦略は重要です。
ウクライナはNATOの加盟国ではないため、西側諸国による報復を気にする必要がありません。
内戦の勃発以後、当地はロシア・サイバー部隊による攻撃の標的となります。このため、ウクライナはロシア・サイバー部隊の演習場と呼ばれるようになりました。
選挙干渉、SNSを使ったプロパガンダ、人種・民族間対立の扇動、フェイクニュース、重要インフラへの攻撃など、のちにアメリカ合衆国を襲うサイバー作戦がことごとくウクライナで実験されています。
2015年 送配電網(パワーグリッド)への大規模攻撃
2015年12月には、ウクライナ送配電網に対する大規模なサイバー攻撃が行われました。BlackEnergyマルウェアが標的に送電施設ネットワークに潜伏・発動し、設備に異常動作を引き起こし破壊するというものです。
攻撃の結果、全土で停電が発生し、冷暖房停止やATM運用停止など、市民にも様々な被害を与えました。
攻撃者は、ロシア軍参謀本部情報総局(GRU)に属するハッカーグループSandworm(別名Voodoo Bear, Iron Viking)だと推定されています。
2016年 TV局・港湾業者に対する攻撃
2016年には、Sandwormグループが再び攻撃をしかけました。使われたマルウェアKillDiskはTV局や港湾業者のネットワーク中枢に侵入し、自らの分身をネットワーク参加のコンピュータに複製し、一斉にハードディスク消去を行いました。
さらに、スロヴァキア発のセキュリティ企業ESETと、生産設備セキュリティ企業Dragosが、ウクライナ電力システムにしかけられた新マルウェアを発見しました。このマルウェアはCrashOverrideと呼ばれ、モジュールを入れ替えることで世界中の電力インフラを攻撃可能な仕組みを持っていました。
2017年 ウクライナ全土へのNotPetya攻撃
ロシア軍GRUのSandwormグループは2017年、ウクライナの大手会計ソフトウェア企業Linkosをハッキングし、会計ソフトMeDocのアップデートサーバにNotPetyaマルウェアを侵入させました。
NotPetyaはPetyaランサムウェアを改造した疑似ランサムウェアでした。NotPetyaは、会計ソフトのアップデート通信を通じてウクライナ政府機関、金融機関、企業などに拡散されました。
このような手法は、サプライチェーン攻撃と呼ばれます。
NotPetyaが発動すると、PCのファイルを次々に暗号化します。しかし、この暗号には復号化(暗号を解除すること)機能がないため、実質は「ワイパー」と呼ばれるデータ破壊マルウェアに分類されます。
NotPetyaはウクライナにとどまらず、港湾システム大手Maersk、電子カルテ大手Nuance、西側諸国企業、ロシア企業にも次々に拡散し、大きな被害をもたらしました。
2022年のロシア侵攻に伴うサイバー攻撃作戦
2022年のロシア侵攻に伴う
サイバー攻撃作戦
2021年からロシア政府・軍の様々なハッカーグループが偵察活動を行っていることは、各国サイバー当局やセキュリティ企業の調査によって明らかになっていました。
2022年、ロシアがウクライナ国境に対する動員を開始するとともに、複数のサイバー攻撃作戦が同時展開されました。
2022.1.14~ WhisperGate
ウクライナ政府機関の多数のWebサイトがアクセス不能となる事態が発生しました。
調査の結果、Webコンテンツ管理システムの脆弱性をついた改ざん攻撃および、WhisperGateマルウェアを用いた攻撃が行われていることが発覚しました。WhisperGateは、NotPetyaと同様のワイパー(データ破壊)機能を備えています。
2022.2.15~ ウクライナ国防省および銀行へのサイバー攻撃
ウクライナ国防省などに対して大量のデータを送りつけて通信障害を起こす「DDoS攻撃」が発生しました。米政府は、ロシア軍GRUによる犯行と特定、非難しています。
2022.2.24 英米当局が新マルウェア特定・注意喚起
米CISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)、米FBI、米NSA、英国国家サイバーセキュリティセンター(NCSC)が合同でアラートを発行、Cyclops Blinkマルウェアに対する注意喚起を実施しました。
Cyclops Blinkマルウェアは、特定ベンダー(WatchGuard)製セキュリティ製品を通じてネットワークに侵入する機能を持ち、ロシア軍GRUがウクライナに対して利用していると考えられています。
まとめ
- 2014年の親欧米派クーデタ以降、ロシアはウクライナへの干渉を継続している
- ロシア軍・情報機関は、ウクライナに対し度々大規模サイバー攻撃をしかけてきた
- 2022年の全面侵攻に先立ち、再びサイバー攻撃が実施されている
本記事では、サイバー攻撃を中心にロシア・ウクライナ紛争を紹介しました。
しかし、ロシアが最も重視するのは、マルウェアやDDoS攻撃を用いたサイバー作戦ではありません。
ロシアにとっては、人の精神に影響を及ぼすことが情報戦(Information Warfare)の核心です。大統領選への干渉も、ウクライナ電力インフラへの攻撃も、人びとの心理を操作する作戦です。
ロシアは、GDPがイタリアやカナダよりも少ない国です。軍事費は米国の1割にも届きません。こうした貧しい国が選ぶ攻撃方法は、イラク戦争における叛乱勢力・テロリストと同じく、人びとの心をゆさぶるテロ行為なのです。