ニュース

ロシアは戦争開始前から自国の正当性を主張する準備を始めていた――マイクロソフトが解説

  • 藤本 京子

2022年11月25日 06:00

 日本マイクロソフト株式会社は24日、11月上旬に公開したセキュリティに関する年次レポート「Microsoft Digital Defense Report 2022」に基づくメディアブリーフィングを開催した。同レポートは、マイクロソフトが日々収集する43兆件のセキュリティシグナルをベースにさまざまな情報を分析し、まとめたものだ。

 米Microsoft サイバーセキュリティソリューショングループ チーフセキュリティアドバイザーの花村実氏によると、攻撃者はひとつのランサムウェア攻撃を仕掛ける前に周到な準備をしているという。

 「攻撃者はまず、アクセスが可能かどうかによってターゲットとなる2500の組織を抽出し、その中から60の組織に攻撃を開始する。その約3分の1にあたる20の組織で実際の侵害が成功し、最終的に、その中から最も利益のある組織をひとつ選んで攻撃している」と花村氏は説明する。

ランサムウェアのターゲットは、2500組織から1組織に絞られる

 ランサムウェアのターゲットとなりやすい業界について花村氏は、製造業やヘルスケア業界を挙げる。こうした業界はシステム停止による打撃が大きく、ランサムウェアで身代金を入手しやすいと考えられるためだ。

 ランサムウェア攻撃は、最初のプレランサムウェアの段階と、実際に暗号化するデプロイメントの2段階に分かれているが、「暗号化の段階では侵害を止められないため、いかに準備段階で検知し防ぐかが大切だ」と花村氏。マイクロソフトが実施したランサムウェア復旧調査では、「93%が特権アクセスの管理やラテラルムーブメント(水平展開)の制御が十分でなかったために被害が大きくなったことがわかっている」という。

米Microsoft サイバーセキュリティソリューショングループ チーフセキュリティアドバイザー 花村実氏

さまざまな国家主導のサイバー攻撃

 レポートでは、国家主導で行われるサイバー攻撃についても解説している。中国のハッキンググループNickelはその一例だが、2021年12月にはマイクロソフトのデジタルクライムユニットが42のコマンドアンドコントロールドメインを制圧し、Nickelの攻撃を阻止している。ただ、それでもNickelは攻撃を継続し、2022年3月から5月の間に世界5つ以上の政府機関を再度侵害した。マイクロソフトでは、「彼らにできるだけコストをかけさせ、非効率な攻撃となるよう努めている」(花村氏)という。

国家主導の攻撃に関係のある各国組織のデータ
中国による国家主導のサイバー攻撃

 北朝鮮も国家主導のハッカーによるサイバー攻撃を行っており、日本もそのターゲットになっているという。北朝鮮が優先事項としているのは、国防力の増強と、苦境する国の経済の強化、そして国内の安定化だ。他の国家主導型攻撃との違いについて花村氏は、「北朝鮮はミサイル発射などにコストをかけているため、なるべく資産を増やそうと、暗号資産への攻撃で効率よく金銭を稼ごうとしている」と説明している。

北朝鮮による国家主導のサイバー攻撃

 ロシアは、ウクライナ戦争を始める前にも同国に対しサイバー攻撃を仕掛けていたほか、戦争初日にはウクライナの政府系データセンターを攻撃した。ただし、花村氏によると、マイクロソフトはウクライナのシステムが止まらないよう支援しており、「ウクライナ政府組織のデータを国外のパブリッククラウドに移行させ、今も政府のシステムは稼働している」という。

 またロシアは、戦争前にデジタル影響工作も仕掛けていた。マイクロソフトの調査によると、ロシアは2月24日に戦争を開始した後、プロパガンダによって自国の正当性を強調しており、そのための準備を何カ月も前から実施していたという。

 その準備とは、2021年11月29日にYouTubeにひそかに流した偽情報で、ウクライナが生物兵器を開発しているという内容だ。2月24日に戦争を開始した際、ロシアは自らの行為を正当化するため、そのYouTubeの偽情報を参照するという偽装工作を行った。11月の情報発信時に目立ってしまうと情報の正当性が検証されてしまうため、確認されないようひそかに発表し、後で参照するという手法を取ったというのだ。「こうした偽情報とソーシャルエンジニアリングを組み合わせた攻撃が、今後活発になってくるのではないか」と花村氏は警告している。

ロシアのデジタル影響工作

IoTデバイスにも注意

 花村氏は、IoTデバイスに対するリスクについても解説した。「パッチ未適用や脆弱な状態にあるIoTデバイスの数は数百万にのぼり、攻撃者もIoTへの攻撃が有効だと考えている」と花村氏。特に、昔作られたIoTデバイスは、ウェブに直接アクセスする制御方法を採っていたため、そこを悪用する攻撃が多かったという。「そのようなIoTデバイスは危険なため減少傾向にあるが、それでもメンテナンスにはリモート管理のポートを開ける必要があり、そのポートをスキャンして脆弱性を把握し、攻撃に至るケースが増えている」と花村氏は説明する。

 サイバー環境にはさまざまなリスクが潜んでいるものの、花村氏は「基本的なセキュリティ対策を施していれば、攻撃の98%は防ぐことが可能だ」と話す。「多要素認証やゼロトラスト、モダンアーキテクチャ、アンチマルウェアなどを採用し、パッチをしっかりと当てる。また、データを分類し、機密度の高いデータを集中的に守るようにしてもらいたい。その中で、セキュリティ、IT、ビジネスが連携し、サイバーレジリエンス(耐性)を高めることが重要だ」と花村氏は述べた。

基本的なセキュリティ対策で攻撃の98%は防御可能に