コンテンツに移動
セキュリティ & アイデンティティ

戦場の霧: ウクライナでの紛争はサイバー脅威の状況をどう変えたのか

2023年2月28日
https://storage.googleapis.com/gweb-cloudblog-publish/images/sukurinshiyotsuto_2023-02-28_9.11.34.max-2600x2600.png
Google Cloud Japan Team

ロシアのウクライナ侵攻から 1 年が経過しようとしています。本ブログ記事では、Mandiant と Trust & Safety による追加調査の内容とともに、戦争を機に活発化したサイバー脅威の状況の変化に関する分析情報を Google TAG がお届けします。

※この投稿は米国時間 2023 年 2 月 16 日に、Threat Analysis Group blog に投稿されたものの抄訳です。

約 1 年前、ロシアがウクライナに侵攻し、その戦争においてサイバー作戦が重要な役割を果たしていることが引き続き確認されています。サイバーの役割についての理解を深めるために、Google はこのたび、Google の Threat Analysis Group(TAG)、Mandiant、Trust & Safety の分析に基づくレポート「Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape(戦場の霧: ウクライナでの紛争はサイバー脅威の状況をどう変えたのか)」をリリースしました。本レポートには、政府の支援を受けた攻撃者、情報操作(IO)、脅威アクターのサイバー犯罪エコシステムに関する新たな調査結果と過去に遡っての考察が含まれています。また、2022 年の特定のキャンペーンに焦点を当て、その脅威アクターの詳細についても取り上げています。

ウクライナを支援するために力を合わせる

戦争が始まって以来、政府、企業、市民社会団体をはじめ、数え切れないほどの人々が、ウクライナの国民と各種機関を支援するために 24 時間体制で活動しています。Google は、こうした取り組みの支援のほか、ウクライナへの新たなコミットメントと支援を継続的に発表しています。これには、政府機関への 50,000 個の Google Workspace ライセンスの寄贈、同地域における Android スマートフォン向けの迅速な空襲警報システム、企業、起業家、難民に対する支援、そしてロシア国営ニュース メディアの収益化を無期限に停止し、目に触れないよう制限する措置が含まれます。

しかし、最も喫緊の課題として挙げられるのが、ウクライナ政府がほぼ絶え間なくデジタル攻撃を受けていることです。ウクライナ侵攻直後、Google は分散型サービス拒否(DDoS)攻撃から保護する機能を無償で提供する Project Shield の利用対象を拡大し、ウクライナ政府のウェブサイトおよび世界中の大使館がオンライン状態を維持して重要なサービスを提供し続けられるようにしました。

また、ウクライナ政府および重要インフラ事業者に対しては、Cyber Defense Assistance Collaborative(サイバー防衛支援共同体)のもとで、侵害評価、インシデント対応サービス、サイバー脅威インテリジェンスとセキュリティ変革サービスの共有など、サイバー攻撃の検出、緩和、防御を支援するための直接的なサポートを継続しています。さらに、セキュリティ コミュニティやリスクの高いユーザーの意識を高め、情報の質を維持するために、ユーザーに対する保護機能を実装し、サイバー攻撃の追跡と阻止を継続して行っています。

世界中の政府、企業、セキュリティ関係者を巻き込んで行われるこのレベルの集団的な防御の取り組みは、前例のない規模といえるでしょう。Google はこれまでに学んだことを世界のセキュリティ コミュニティと共有し、将来に向けたより効果的な防御態勢の整備に役立てたいと考えています。

主な調査結果

1. ロシア政府の支援を背景とする攻撃者は、サイバー スペースで決定的な戦争優位性を得るために積極的かつ多角的な取り組みを行っているが、大半の場合その成果は混沌としている。

これには、さまざまなグループがウクライナに照準を合わせるようになったこと、ウクライナ政府、軍、民間のインフラストラクチャに対する破壊的な攻撃が激増したこと、NATO 諸国を標的としたスピア フィッシング活動が急増したこと、ロシアの複数の目標を推進するよう考案されたサイバー作戦が増加したことなどが含まれます。たとえば、脅威アクターが特定のシナリオを進めるために、機密情報をハッキングして漏えいすることが確認されています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/sukurinshiyotsuto_2023-02-28_9.19.15.max-1600x1600.png

ロシア政府の支援を受けた攻撃者は、侵攻に至るまでの間、2021 年からサイバー作戦を強化しました。そして 2022 年、ロシアはウクライナのユーザーを標的とした攻撃を 250%(2020 年比)増加させました。また、同じ期間に NATO 諸国のユーザーを標的とした攻撃も 300% 以上増加しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/sukurinshiyotsuto_2023-02-28_9.19.22.max-1000x1000.png

2022 年、ロシア政府の支援を受けた攻撃者は、他のどの国よりもウクライナのユーザーを標的にしました。これらの攻撃者は、ウクライナの政府や軍事組織に集中していることが確認されていますが、私たちが阻止したキャンペーンでは、重要インフラ、公共事業や公共サービス、メディアや情報空間にも重点を置いていることが示されています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/sukurinshiyotsuto_2023-02-28_9.20.21.max-1200x1200.png

Mandiant は、インシデント対応作業から、ウクライナが 2022 年の最初の 4 か月間に多くの破壊的なサイバー攻撃を受けたことを確認しました。これは過去 8 年間で最も多く、その攻撃は侵攻の開始頃にピークに達しています。この時期以降も大規模な活動が見られたものの、攻撃のペースは鈍化し、2022 年 2 月の最初の段階に比べるとあまり体系的に計画されていないようでした。具体的には、破壊的な攻撃は、攻撃者がアクセスを取得または回復した後に、侵害されたエッジ インフラストラクチャを通じてすばやく展開されることがよくありました。多くの作戦において、ロシア連邦軍参謀本部情報総局(GRU)が、活動の各段階を通じてアクセス、収集、破壊という競合する優先順位のバランスを取ろうとした試みがうかがえます。

2. モスクワでは、戦争に対する国民の認識を形成するために、国が支援する公のメディアから内密のプラットフォームやアカウントまで、あらゆる種類の情報操作が行われている。

これらの情報操作には 3 つの狙いがあります。

  1. ウクライナ政府を弱体化させること

  2. ウクライナに対する国際的支援を崩壊させること

  3. ロシア国内での戦争支持を維持すること

ロシアでの軍備増強、侵攻、部隊の動員など、紛争における重要な出来事に関連して活動が急増することが確認されています。Google は、これらの活動が Google のポリシーに違反する場合、公然または秘密の情報操作キャンペーンを阻止するために、プロダクト、チーム、地域を超えて積極的に対処すべく取り組んできましたが、ポリシーを回避しようとする執拗な試みに引き続き遭遇しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/sukurinshiyotsuto_2023-02-28_9.19.36.max-1600x1600.png

私たちが Google プロダクトにより阻止したロシアの秘密の情報操作は、主にウクライナでの戦争に対するロシア国内の支持を維持することに焦点を当てており、90% 以上のインスタンスがロシア語で記述されていました。

3. この侵攻は、東欧のサイバー犯罪エコシステムに大きな変化を引き起こし、犯罪グループ間の連携と世界のサイバー犯罪の規模の両方に長期的な影響を及ぼす可能性がある。

政治的忠誠心や地政学を理由に分裂したグループもあれば、優れたオペレーターを失ったグループもあります。このような出来事は、こうしたグループに対する考え方や、彼らの能力に関する私たちの従来の認識に影響を与えることになるでしょう。また、ランサムウェアのエコシステムが専門化する傾向も見られます。これはアクター間で戦術を融合させ、決定的な攻撃者のアトリビューションがより困難になる状況を生んでいます。またウクライナでの戦争で、予想が的中しなかったものもあります。たとえば、ウクライナ国外の重要インフラに対する攻撃の急増は確認されませんでした。

TAG はまた、金銭目的の驚異アクターと密接に関連する戦術が、通常は政府の支援を受けた攻撃者の標的となるような組織への攻撃キャンペーンにおいて展開されていることも確認しています。TAG は2022 年 9 月、過去に IcedID バンキング型トロイの木馬を配布し、人間の攻撃者によるランサムウェア攻撃を引き起こした脅威アクターである CERT-UA の UAC-0098 と活動が重なる脅威アクターについて報告を行いました。私たちは、UAC-0098 の一部のメンバーは元 Conti グループのメンバーであり、ウクライナを標的としてその手法を再利用していると評価しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/sukurinshiyotsuto_2023-02-28_9.19.45.max-1500x1500.png

今後の展望

  • 私たちは、ロシア政府の支援を受けた攻撃者が、ロシアの戦略的目標を進めるために、ウクライナと NATO 加盟国に対してサイバー攻撃を継続することを、高い確信を持って評価しています。

  • 私たちは、(事実か否かに関わらず)戦況が根本的にウクライナ側にシフトするような展開(たとえば、兵力の損失、政治的または軍事的支援を提供するための外国との新たな約束など)に対して、モスクワが破壊的な攻撃を増加させることを、高い確信を持って評価しています。これらの攻撃は主にウクライナを標的としていますが、NATO 加盟国を含むように拡大していくでしょう。

  • 私たちは、ロシアが上述の目標を達成するために、特に国際的な資金調達、軍事援助、国内の国民投票などの重要な時期が近づくにつれて、情報操作のペースと範囲を拡大し続けると、中程度の確信を持って評価しています。しかし、こうした活動が望ましい効果をもたらすのか、それともロシアの侵略に対する反発を徐々に強めていくだけなのかは、はっきりしません。

サイバーが将来の武力紛争において重要な役割を果たし続け、従来の戦争の形態を補完することは明らかであり、このレポートが、今後待ち受ける事態に備えるための行動喚起となることを願っています。Google は、集団的防御を支援するために自らの役割を果たすことにコミットしています。継続的な進展を促進するとともに、組織、企業、政府、およびユーザーがオンラインでの安全性を確保できるよう、さまざまなパートナーと協力できることを期待しています。


- Threat Analysis Group シニア ディレクター Shane Huntley
投稿先