特集

ウクライナ侵攻におけるサイバー攻撃は武力攻撃と連動する“ハイブリッド戦”の様相に――、NTTデータ・新井氏

 2022年2月24日にロシアがウクライナへの侵攻を開始してから、間もなく1年を迎えようとしている。いまだ戦争の終わりが見えない中にあって、物理的な武力攻撃だけではなく、実はサイバー空間においても熾烈な攻防が展開されている。NTTデータ サイバーセキュリティ技術部 情報セキュリティ推進室 NTTDATA-CERT Executive Security Analyst 新井悠氏はこの戦争の現状を「ハイブリッド戦」と表現するが、その背景には、物理攻撃だけでなくサイバー空間においても国家規模で執拗(しつよう)な攻撃を繰り返す組織が存在している。

 本稿では、2022年12月14日に新井氏が語った2022年のサイバーセキュリティの動向から、ウクライナ侵攻におけるサイバー攻撃に焦点をあて、ウクライナで展開されている“ハイブリッド戦”の概況を見ていきたい。

NTTデータ サイバーセキュリティ技術部 情報セキュリティ推進室 NTTDATA-CERT Executive Security Analyst 新井悠氏

組織的なAPT攻撃を繰り返す攻撃部隊の実態

 米国政府や情報セキュリティベンダーの解析によれば、ウクライナ侵攻においては、ロシア政府関係機関がバックアップするAPT(Advanced Persistent Threat)攻撃が繰り返し行われていると言われている。APT攻撃の特徴は文字通り、執拗に(Persistent)、かつ高度な(Advanced)攻撃をしてくることで、新井氏は「APT攻撃ではゼロデイなど非常に洗練された攻撃手法が取られており、また攻撃に使うマルウェアも自分たちで研究/開発して採用していることから、かなりの予算が投じられた大規模な組織体制が背後に存在するとみられる」と指摘する。

 ウクライナ侵攻においては、以下の3つのロシア政府関係機関に所属する複数のサイバー攻撃部隊がAPT攻撃を展開しているというアトリビューション(属性判定)が、セキュリティベンダーから出されている。

・ロシア連邦軍参謀本部情報総局(GRU)
・ロシア連邦保安庁(FSB)
・ロシア対外情報庁(SVR)

 以下、新井氏の説明をもとに、上記の関係機関に属する代表的な4つのサイバー攻撃部隊について概要を示す。

APT28

GRU配下の26165部隊が実態といわれており、「ファンシーベア(Fancy Bear)」「ストロンチウム(STRONTIUM)」「ポーンストーム(Pawn Storm)」といった別呼称もある。2008年ごろから米国に対して多数のサイバー攻撃を仕掛けており、特に、2016年の米国大統領選挙でヒラリー・クリントン候補の選挙対策本部長を務めたジョン・ポデスタ氏の私的なGmailアカウントを乗っ取り、その内容をWikileaksにアップロードし暴露した(とされる)ことで知られる。なお、この事件に関与した罪で、APT28に所属する12人のロシア人職員が米司法省から起訴された(2018年)。また、2020年の米国大統領線にも介入したといわれている。

Sandworm

GRU配下の74455部隊で、「イリジウム(IRIDIUM)」などの別呼称もある。ロシアによるクリミア併合(2014年)以降に活動を開始したともいわれており、2015年12月にはウクライナの電力会社3社のシステムに侵入し、約23万世帯の市民に影響を与える大規模停電を引き起こした事案にかかわっているとみられる。なお、この攻撃では「KillDisk」というワイパータイプ(後述)のマルウェアが使われたことも話題となった。2020年10月、米司法省はSandwormに所属する6人のロシア人将校を7つの罪状で起訴しているが、その中にはマルウェア「NotPetya」を利用した米国の企業や病院への攻撃、平昌オリンピック(2018年)を狙ったスピアフィッシングキャンペーンなどが含まれている。ウクライナ侵攻に伴ったサイバー攻撃で名指しされることが非常に多い部隊。

APT29

SVRに帰属する(とみられている)攻撃部隊で、「コージーベア(Cozy Bear)」「ノーベリウム(NOBELIUM)」などの別呼称がある。2010年ごろから米国に対して多数のサイバー攻撃を仕掛けており、2020年にはSolarWindsのネットワーク監視ソフトウェア「SolarWinds Orion Platform」にバックドアを仕込んだ「SUNBURST」攻撃を首謀、SolarWindsの更新ファイルをマルウェアに置き換えることで大規模なサプライチェーン攻撃を成功させ、米国政府機関を含む多くの組織/企業に被害をもたらした。「それまで“サプライチェーン攻撃”といえばハードウェアを対象にすることが多かったが、SUNBURSTは(更新ファイルやファームウェアという)ソフトウェア部品に仕込んで目的を達成した」(新井氏)ことから、サプライチェーンをソフトウェアでもって悪用するという、新たな攻撃の概念を定着させたといえる。

Gamaredon

ウクライナ保安庁(SSU)の調査によれば、FSBの配下にあるといわれる攻撃部隊で、「アクティニウム(ACTINIUM)」「プリミティブベア(Primitive Bear)」「アルマゲドン(Armageddon)」などの別呼称が存在する。クリミア併合から攻撃を開始しており、ウクライナの国家機関、特に治安/防衛/法執行機関をターゲットに、執拗に標的型メール攻撃(メールにファイルを添付してクリックさせる攻撃)を繰り返しているとされる。

情報セキュリティベンダによるロシア軍関係組織のサイバー部隊アトリビューション

 では、これらの攻撃部隊はウクライナでの“ハイブリッド戦”でどのような戦績を挙げているのだろうか。新井氏は2022年6月にMicrosoftが発表したインテリジェンスレポート「ウクライナの防衛:サイバー戦争の初期の教訓(Defending Ukraine:Early Lessons from the Cyber War)」をもとに、物理的な軍事作戦とサイバー攻撃が連動したいくつかの事例を紹介している。

・開戦前の2月14日、オデーサに所在の重要インフラに対してサイバー攻撃→4月3日、オデーサ近郊の燃料製造/貯蔵庫に対する空爆
・開戦直後の2月28日、首都キーウに所在の映像会社にサイバー攻撃→3月1日、キーウのテレビ塔にミサイル攻撃→同日、キーウ所在の複数の映像会社にサイバー攻撃
・3月2日、ザポリージャに所在の原子力発電関連会社にサイバー攻撃→3月3日、ザポリージャ原発をロシア軍が占拠
・3月4日、Sandwormによりヴィーンヌィツャ市の行政ネットワークにサイバー攻撃→同日、ヴィーンヌィツャの空港に対してミサイル攻撃→3月16日、ヴィーンヌィツャのテレビ等に対するロケット攻撃
・3月11日、ドニプロ市に所在の政府機関にサイバー攻撃→同日、ドニプロ市に対する最初の空爆が実施
・4月19日、Sandwormによりリビウ所在の物流関連施設にサイバー攻撃→4月29日、Sandwormによりリビウ所在の運輸会社にサイバー攻撃→5月3日、リビウの鉄道用発電施設にミサイル攻撃

Microsoftのレポートをもとに作成した、2022年前半におけるウクライナ各都市へのハイブリッド攻撃の実際

 最初に挙げたオデーサのケースだけはやや期間が空いているが、あとはいずれも特定の施設に対するサイバー攻撃の直後または数日後に、同じ場所もしくはその近郊を狙ったミサイル攻撃や空爆が行われている。また、3月のヴィーンヌィツャと4月のリビウに対する攻撃については、Microsoftが明確に、アトリビューションをSandwormと特定している点も注目される。

 ここで疑問となるのが「これらの軍事攻撃は本当に事前のサイバー攻撃が必要だったのか、通常兵器だけでも同じ攻撃ができたのでは」という点だが、新井氏は「個人的な憶測だが」と前置きしながらも、ロシア軍が物理攻撃とサイバー攻撃を組み合わせた理由として3つの可能性が考えられるという。

1.サイバー攻撃だけではうまくいかなかったので通常兵器を使って当初の軍事目的を達成
2.重要インフラとITシステムが別々の場所に存在する場合、通常攻撃部隊とサイバー攻撃部隊が役割分担して両面から攻撃
3.インフラにサイバー攻撃を仕掛けると、復旧のためにITスキルをもつ人材が現地に派遣されるため、そのタイミングで人材もろともインフラを物理攻撃

こうして追っていくと、まさに物理とサイバーの“ハイブリッド戦”といえる攻防が生々しく展開されていることがわかる。

ワイパータイプのウイルスによって大きな被害が生じた

 ウクライナ侵攻におけるサイバー攻撃においてもうひとつ注目すべきポイントとして、新井氏は検出されたコンピュータウイルスがすべてワイパータイプであることを挙げている。

 ワイパー(Wiper)とはシステムを破壊することを目的としたコンピュータウイルスで、ハードディスクから磁気情報を削除するなどしてシステムから主要なファイルを消去し、機能不全を発生させる。過去には2013年に韓国の放送局や金融機関でワイパーが悪用されてシステムが機能不全に陥り、ATMやモバイル決済が停止するという社会的にひろく影響が出た事例があったが、新井氏は「ワイパー自体は平時であればOSの標準機能でバックアップが可能であり、それほど脅威としては大きくない」と指摘する。

 だが、ウクライナ侵攻では「HermeticWiper」「AcidRain」「Industroyer2」といった新しいタイプのワイパーが衛星通信会社や高圧変電所などの重要インフラを攻撃し、大きな被害を生じさせている。これについて新井氏は「戦争という有事においてワイパーで攻撃されると復旧に時間がかかる。平時では大きな問題にならなくても、有事であれば十分にダメージを与えられることが明らかになったため、今後ワイパーによる被害は長期化するおそれがある」と警鐘を鳴らす。

ウクライナ侵攻で検出されたコンピュータウイルスはすべてワイパータイプであることが大きな特徴。平時では大きな被害になりにくいワイパーだが、戦争という有事では相手方に十分なダメージを与えることが可能であることを実証した

 ワイパーを使った具体的な攻撃例として新井氏が紹介したケースの中から、ここではIndustroyer2による電力インフラへの攻撃を見ていきたい。Industroyer“2”という名前の通り、このワイパーには前バージョンとなる「Industroyer1」が存在しており、2016年にキーウで発生した数時間の停電を引き起こした要因となるマルウェアとして知られている(2015年の大停電と同様にSandwormによる攻撃とみられる)。2022年4月、この検体のバージョン2となるIndustroyer2が、ウクライナの高電圧変電所を標的とした攻撃で使用され、電力供給に若干の影響を及ぼした。

 Industroyer2の特徴は電力プラントの攻撃に特化したマルウェアという点だ。このマルウェアは、発電所や変電所が制御システムとやりとりする際に使用する「IEC-104(別名:IEC 60870-5-104)」という特殊なTCP通信プロトコル(2404番ポート)を悪用して攻撃を行う。

発電所や変電所などの電力プラントのみをターゲットとするIndustroyer2の攻撃手法。何らかの方法で標的のネットワークに侵入後、一定の時間をかけてワイパーをデプロイして潜伏したのちに、最終的なターゲット(制御システム)にIEC-104プロトコル経由で不正なコマンドを送信する

 2022年4月の変電所への攻撃ではまず、何らかの手段を用いて標的とするネットワークに侵入し、変電所内の関連システムに対してワイパーを頒布して、あるタイミングで機能停止を発生させる。このとき、Industroyer2だけでなく、Windowsシステムをターゲットにする「CaddyWiper」も同時にばらまかれており、制御システム侵入への踏み台としてWindows端末を利用しようとしていたことがうかがえる。

 その後、踏み台にされたシステム上でIndustroyer2が起動、2404番ポートをターゲットに制御システムへの接続を開始し、接続が確立すると出力停止を指示するメッセージを約3秒ごとに制御システムに対して送信していた。

 新井氏は「(3秒ごとに)電力のツマミを徐々に絞るかのように“これ以上電気を流すな”という指示を送信している。出力メッセージを読んでも変更箇所がわかりにくく、標的となった電力プラントのシステムそのものに精通していないと不可能な攻撃」と指摘しており、攻撃者が何らかのインサイダー情報を獲得していた可能性もあると思われる。

Industroyer2の攻撃を示した出力内容。電力プラントの通信のみで使われるIEC-104プロトコルを用いて約3秒ごとに出力停止の指示を行っている

 この2022年4月の攻撃は、ウクライナ政府の緊急対応チーム(CERT-UA)とセキュリティベンダーの連携により、大規模な影響が出る前に撃退されたことが報道されている。だが新井氏も指摘するように、たとえ直接の被害が大きくなくてもワイパーによる執拗な攻撃は、有事であれば十分にダメージを与えることが可能だ。

 これまでのサイバー攻撃では標的に侵入し、情報を搾取する「スマッシュ&グラブ(smash and grab)」が戦術として一般的だったが、ウクライナ侵攻におけるサイバー攻撃ではスマッシュ、つまり攻撃の結果にかかわらずとにかく執拗に攻撃を繰り返す手法が非常に目立つ。いつ終わるともわからない攻撃の繰り返しは、ボディーブローのように人々の心身を疲弊させ、システムの混乱が広範囲に広がっていく。そうした意味でも今後のワイパーの台頭には十分な注意が必要だといえる。

ハクティビストの活動が活発化

 国家機関をバックにした組織的な攻撃に加えて、ウクライナ侵攻における注目すべき潮流として、ハクティビストによる活動(ハクティビズム)が挙げられる。ハクティビズムとは「アクティビズム(積極行動主義)」と「ハック(サイバー攻撃など)」をかけ合わた造語で、政治的な意思表示や目的達成のためにハッキングを手段とする行為を指すことが多い。

 ハクティビズムを実行する活動家はハクティビストと呼ばれるが、代表的な存在として「アノニマス(Anonymous)」がよく引用される。彼らはもともと「情報の自由など共通の理念に賛同する人々による社会運動」「非常に緩やかで分散化された、指揮系統をもったインターネット上の集まり」であったが、次第に政治的色彩の強い主張を行う複数のサブグループへと分化していった経緯をもち、いまや当初に掲げていた“情報の自由”などの理念への傾倒は薄れている。ウクライナ侵攻でも、親ロシア/親ウクライナそれぞれにハクティビストのグループが形成され、ソーシャルメディアの「Telegram」などを拠点に活動を行っている。

 ウクライナ侵攻に関連した代表的なハクティビストとして新井氏が名前を挙げたのが、親ロシア派の「Killnet」である。Killnetがハクティビストとして活動を開始したのは2022年2月、ロシアによるウクライナ侵攻が開始を受けてのことだが、それ以前はサイバー犯罪者向けのDDoS代行請負サービスを行っており、侵攻が始まってから親ロシア派のハクティビストグループに転じたものと見られている。以来、NATO加盟国の政府機関や民間企業に対して繰り返しDDoS攻撃を実施、2022年9月にはデジタル庁の「e-Gov」などを含む日本の政府機関や民間企業のWebサイトに対してもDDoS攻撃を行い、「通信不全を発生させた」という声明を発表している。

 Killnet本体の活動拠点はTelegram上にあるが、実際の攻撃は特定の目的ごとに分散したサブグループがターゲットを選定し、実際に攻撃にあたっている。また、攻撃の拡大を図るために、DDoS攻撃実行用のスマホアプリやPythonによるスクリプトツール、解説マニュアルなどもネット上でひろく頒布している。ただしKillnetは「実際の戦闘活動とはまったく関係なく、ほぼ無作為にターゲットを選定してDDoS攻撃を実行」(新井氏)しており、前述のAPT攻撃のように物理的な戦況と連動しているわけではないという。

 新ロシア派のハクティビストとしてもうひとつ、注意が必要なグループとして新井氏は「Xaknet Team」を挙げている。このグループも2022年2月の侵攻直後から活動を開始しており、ウクライナの主要な機関にDDoS攻撃を仕掛けたり、ウクライナ外務省のシステムに侵入して内部文書を流出させたりしたと主張、またKillnetとの連携も主張している。

 Xaknet Teamの“戦績”として一躍有名になったケースが、ウクライナの指揮統制システム「Kropyva」の解析である。Xaknetのメンバーがあるロシアメディアに語ったインタビューによれば、Xaknet Teamはウクライナ侵攻の関係者からKropyvaの解析を依頼され、アプリの通信先を特定し、DDoSの実施を依頼、通信先サーバーをダウンさせることに成功し、その功績をロシア連邦軍中央軍管区参謀長の大佐から表彰されたという。

 Xaknetが解析したKropyvaとは、ウクライナ軍が活用しているインテリジェンスマッピングソフトウェアで、GPSによる自己位置表示やデジタル地図へのアクセス、ほかのシステムとのデータ交換機能などを備えており、Androidタブレットにインストールして砲兵制御や偵察ドローン制御、射撃補正といった複雑な計算を必要とする任務で利用されている。ウクライナ軍からの信頼は非常に高く、地雷除去などの作業にも欠かせないという。

 Xaknetがインタビューで語ったところによれば、彼らはKropyvaのAPKを解析し、Androidタブレット上でプログラムをアクティベートする際、インターネット経由で特定のサーバーに通信するか、電話またはTelegramによるメッセージの送受信が必要であることを利用して、その通信先をわずか3分でDDoSでダウンさせ、多くのタブレットにKropyvaを利用できなくさせたといわれている。

 このケースはハクティビストによるDDoS攻撃として注目を集めることになったが、Xaknetは「われわれは生活基盤は別にあり、政府機関とは関係ない。Kropyvaの解析はロシア軍兵士の命を守るためにたまたまやったこと」と、同じインタビューで主張している。

 新井氏は「ハクティビストはハッキング技術が未熟な場合も少なくないが、Xaknetはやや特殊なハクティビストで、高い技術力をもったメンバーが多く、収入も安定している。基本的に政府機関からであっても無理な依頼に応える必要はないが、今回は愛国心が政府機関と連動したケース」と指摘しており、本来なら政府機関とかかわりないはずのハクティビズムが政府機関と連携してしまう可能性が今後も十分に考えられる。

平時からの地道で継続的な備えが、より重要に

 以上の説明を踏まえて新井氏は、ウクライナおよび日本などの友好国が取るべき対策として以下を挙げている。

・2022年前半に観測されたワイパー攻撃では、事前の偵察行為がその後の物理攻撃につながっているケースが多い。したがって事前の予兆を監視し、検知/排除を地道に積み重ねていく必要がある
・サイバー攻撃者の目線で、どのように侵入し攻撃するかを考え、それに対して有効な対策や組織体制を構築し、攻撃につながりうる箇所を点検する
・2022年に明確になったハクティビストの脅威と動向にも目を配る。特にTelegramチャンネル上での彼らの活動を平時から観測する体制が求められる

 ここで新井氏があらためて強調したのは「ハイブリッド戦」と「平時からの備え」である。ウクライナ侵攻に伴い、通常兵器とサイバー攻撃をまじえたハイブリッド戦が今後、世界の戦地で本格的に展開されるケースはますます増えるだろう。特に戦闘が本格的に開始する前の平時にワイパーなどを駆使して標的の調査や偵察などの事前準備を整えておく戦術は、物理的な攻撃だけでなくランサムウェア攻撃などでも援用できるアプローチだ。

 「いざサイバー攻撃が始まってしまうと、NTTデータのようなセキュリティ人材を多く抱える組織であっても止めることは難しい」と新井氏は言う。また、2022年の夏以降はロシア/ウクライナ双方から発信される情報が非常に少なくなっており、新井氏のようなセキュリティのスペシャリストであっても攻撃の分析が難しくなってきているという。

 だからこそ、これまで以上に平時からの地道で継続的な備えがより重要になる。物理的な戦争はウクライナという日本から遠い場所で起こっている出来事だが、その侵攻を支援するサイバー攻撃は日本を含む世界中の国々が当事者となる可能性がある。そういう意味ではハクティビストの暗躍も世界が認識すべき段階にきているといえるだろう。有事が起こっても冷静な対応を可能にする、あるいは有事を起こさせないための平時の備えが、2023年のセキュリティにはよりいっそう求められることになる。