ウクライナに対するロシアのサイバー攻撃からビジネス リーダーが学べること

※この投稿は米国時間 2023 年 2 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。

• Google の新しいレポートは、ウクライナに対する攻撃について「世界の紛争でサイバー作戦がこれほど重要な役割を果たしたのは初めてのことである」としている。

• ウクライナ侵攻を支えているロシアの戦術、技法、手順は、世界中で他の脅威アクターによって頻繁に使用されている。

• エグゼクティブ リーダーは、こうした脅威を理解することで、組織のセキュリティ リスク軽減に貢献することができる。

ロシアがウクライナに侵攻して以降のこの 1 年間、かつてないレベルのサイバー攻撃作戦が、リアルな紛争を支えている様子を目の当たりにしてきました。その攻撃は戦場にとどまらず、直接紛争に関与していない組織にもしばしばダメージを与えています。

Google の脅威分析グループ（TAG）は、Mandiant や Google の信頼性と安全性チームの支援を受けて、ウクライナに対するロシアのサイバー作戦の一部を詳しく調べた「戦場の霧」と題するレポートを発表しました。このレポートでは 3 つのトレンドに焦点を当て、エグゼクティブ リーダーがこれらを理解することが同様に重要であると述べています。

1. ロシアは、戦時の優位性を得るために破壊的なサイバー攻撃を行っている。

2. ロシア政府は、人々の戦争に対する認識をロシアにとって有利なものにするために情報操作を行っている。

3. 東欧のサイバー犯罪者は政治的志向をめぐり二分しており、世界のサイバー犯罪の連携と規模に影響を与えている。

ロシアは主にリアルな戦場での成果を重視していますが、一方でサイバー空間での大規模な作戦も目立っており、世界の企業や組織にも影響を与える可能性があります。

レポートで述べられているように、「さまざまな脅威アクター グループがウクライナに大きく注目するようになっており、ウクライナの政府、軍、民間のインフラストラクチャに対する破壊的な攻撃が激増し、NATO 諸国を標的としたスピア フィッシング活動が急増して、ロシアの複数の目標を達成するために考案されたサイバー作戦が増加」しています。「たとえば、脅威アクターが特定のシナリオを進めるために、機密情報をハッキングして漏洩させることが確認されている」などです。

ウクライナ侵攻の裏でロシアが展開した戦術、技法、手順は、世界中で、多くの分野や業界の当事者を標的とする他の脅威アクターによって頻繁に使用されています。エグゼクティブ リーダーがこのような脅威を理解することで、組織のリスクを軽減する対策を講じることができます。

ここでは、Google のレポートで論じられている脅威に備えるためにリーダーが知っておくべきことを紹介します。

破壊的な攻撃に対する防御の準備

多くの企業や組織にとって、ダウンタイムは受け入れられるものではありません。分散型サービス拒否（DDoS）攻撃は、組織全体をオフラインに陥れる古典的な破壊攻撃です。ランサムウェアも、サイバー犯罪者が組織に対する恐喝やデータの破壊に使用してきた脅威だと考えることができます。攻撃者は、他にもさまざまなマルウェアを使用して、データを破壊し、証拠を隠滅して、システムを操作不能にすることが知られています。

リーダーはセキュリティ チームに、こうした攻撃に対する防御策を講じるよう促す必要があります。セキュリティ チームは、システムとネットワークの強化を含む先制措置を講じることで、こうした脅威から組織を守るための準備を整えることができます。このことについては、Mandiant が発表したホワイト ペーパーが参考になります。破壊的な攻撃に対してセキュリティを強化する方法を幅広く紹介しています。また、Linux 強化ガイダンスと DDoS 対策の推奨事項も提供しています。

脅威インテリジェンスを活用して情報操作に対抗する

レポートによると、ロシアは主に、ウクライナ政府の根底を揺るがし、ウクライナに対する国際的な支持を分断して、ロシア国内の支持を維持するために、情報操作を行っています。

ロシアの脅威アクターは多くの場合、虚偽の情報を含む対象のシナリオを複数のチャネル（ソーシャル メディアなど）に拡散して人々を操り、現実の意思決定に影響を与えることで、これを達成します。このような情報操作によって組織が直接的にも間接的にも影響を受けているケースがよく見受けられます。風評被害につながり、企業が顧客を失ったケースもありました。

正確かつタイムリーな脅威インテリジェンスは、情報操作で混乱する世界における立ち位置や、攻撃の標的となった場合の業務上の影響を最小限に抑える最善策について、組織が最新情報を得るために役立ちます。脅威インテリジェンスは組織にとって最も重要な脅威を把握するための最善のツールになり得ますが、多くの組織は、脅威インテリジェンスを取り入れるためにセキュリティ態勢をどのように調整するかという課題を抱えています。

2 月 13 日に発表された脅威インテリジェンスの展望レポートによると、脅威インテリジェンスを組織全体に適用することが、多くのセキュリティ リーダーによって大きな課題と見なされています。信頼性の高い脅威インテリジェンス プロバイダと連携することも、脅威インテリジェンスを確実に活用する一つの方法です。

ランサムウェアや恐喝などの金銭目的の攻撃に備える

「戦場の霧」レポートは、東欧のサイバー犯罪エコシステムで生じているさまざまな活動により、世界中の金銭目的のサイバー攻撃にダウンストリームの影響が及ぶ可能性があることを指摘しています。重要な点は、脅威アクターの中でも政治的忠誠や地政学で意見が分かれており、中には完全に活動を停止しているものもあるということです。脅威アクターの戦術、技法、手順は急速に変化し続けています。つまりセキュリティ チームは、新たな脅威が出現したときに対応できるよう準備する必要があります。

ランサムウェアと恐喝は依然として最上位の世界的脅威であり、脅威アクターがこうした不正な活動から利益を得るという目標を変えることはないと思われます。サイバー犯罪者は、影響の大きいランサムウェア攻撃からの復旧で組織を恐喝できることを知っており、価値の高いデータやシステムを狙ってきます。

エグゼクティブ リーダーは、組織において最も価値のある資産を特定し、優先順位付けできます。データとファイルが暗号化されたり破壊されたりしてもシステムを復元できるため、バックアップは重要です。脅威インテリジェンスと、セキュリティ侵害インジケーターを検出するツールを使用することで、ランサムウェアの展開に先行することの多い活動を特定できます。また、リスク軽減戦略を導入することで、影響を軽減したり侵害を防止したりできます。

セキュリティ チームを動かす措置としては、エンドポイントの強化（ファイアウォール保護など）、認証情報の適切な管理（ID とアクセスのツールなど）、復旧計画の策定が挙げられます。可能であれば、ランサムウェア防御評価により、脅威の予防、検出、対応能力を定期的にテストすることを要件にします。

フィッシングに対する警戒を緩めない

フィッシングは、攻撃者が組織に侵入する際によく使用する手口であり、ロシアのサイバー作戦において重要なツールとなっています。脅威アクターはフィッシング メールに工夫を凝らし、多くの場合、ソーシャル メディアやその他のソーシャル エンジニアリングから得た個人情報を使用してターゲットをあざむきます。

組織は、フィッシングに関する意識向上トレーニングを実施して、不審なメールを報告するよう従業員に促す必要があります。セキュリティ意識の高い組織は、2 要素認証キーを含む複数の保護レイヤを備えた Google アカウントなどのサービスを利用する傾向があります。そうすることで、不審なメールが受信トレイに届かないようにしています。Chrome を含め、ウェブブラウザは安全なブラウジング機能や、企業向けのセキュリティ統合機能を備えており、悪意のあるウェブサイトやフィッシング メールから保護するために役立っています。

組織を守るため、進化する脅威の状況を常に把握する

違反が見つかった直後に組織がとる措置は修復に大きく影響する可能性があるため、違反に対応する組織の能力を定期的にテストすることが不可欠です。

レッドチームは関連する実際の攻撃によって組織の防御力をテストし、机上演習では、セキュリティ インシデントへの組織の対応を支援する最善の方法を関係者全員が把握していることを確認します。可能であれば、インシデント対応リテーナーを用意することを検討します。そして、対応の備えをする必要があるのは技術チームだけではないということを忘れてはなりません。インシデント対応の準備には、最高情報セキュリティ責任者、エグゼクティブ リーダー、広報、顧問弁護士が参加する必要があります。

レポートでは、サイバー作戦が実際の紛争にどれほど大きく影響したのかが示されています。世界中の政府、企業、その他の団体に対し、直接的にも間接的にも影響が及んでいます。悪意のあるサイバー活動は今後さらに活発化するため、予防、検出、対応の準備を整える必要があります。