速報:ロシア・ウクライナをめぐる危機

※本記事はセキュアワークス株式会社から提供を受けております。著作権は同社に帰属します。

2022年2月24日(木)
著者:Secureworks

最終更新日:2022年2月25日

※本記事は、 https://www.secureworks.com/ で公開されている Live Updates: Russia-Ukraine Crisis を翻訳したもので、 2022 年 2 月 25 日執筆時点の見解となります。

2022年2月24日、ロシアがウクライナへの軍事侵攻を開始しました。当社のカウンター・スレット・ユニット™(CTU™)リサーチチームは、その前日(2/23)夜半にかけて、ウクライナの行政機関や金融機関に向けたサービス拒否攻撃およびワイパー攻撃の報告を受けこれを調査しました。これらの攻撃はウクライナの組織に狙いを定めた攻撃であること、および2017年のNotPetya攻撃などで用いられた「ワーム(感染拡大)機能」は搭載されていないことが示唆されています。したがって、ウクライナ以外の国々に攻撃の影響が拡大する恐れは低いと見られます。

現在進行中のロシアによる軍事作戦を後押しする目的で、ウクライナの法人や団体を狙ったさらなる破壊的攻撃が行われる恐れがあります。また、西側諸国による経済制裁への報復としてのサイバー攻撃も予想されます。報復を目的とする攻撃は、ロシア政府を後ろ盾とする脅威に加え、親ロシア派の独立系攻撃グループによって行われる可能性があります。

米サイバーセキュリティ・インフラセキュリティ庁(CISA)、イギリス国家サイバーセキュリティセンター(NCSC)、欧州連合サイバーセキュリティ機関(ENISA)を含む世界各国のコンピューター緊急対応チーム(CERT)は、組織のサイバーレジリエンス強化に役立つベストプラクティスの共同ガイダンスをリリースしました。

推奨策

ウクライナのセキュリティ状況が急激に悪化していること、およびサイバー攻撃の拡大スピードの速さを踏まえ、CTU™リサーチャーは、ウクライナを拠点とする事業運営を社内のグローバルネットワークから論理的に分離することの検討を強く推奨します。たとえば、ウクライナを拠点とする仕入先やビジネスパートナーとのVPN常時接続の遮断、ネットワークのリモート共有を遮断するなどの対策が可能です。ウクライナで事業を運営されている場合は、停電や、事業活動に必要なサービスの停止などに備え、業務を継続できるよう対策を講じてください。

西側諸国の制裁や軍事対応への報復攻撃の可能性を踏まえ、CTUリサーチャーは世界中の組織に警戒を強化するよう推奨しています。ランサムウェアまたはデータ消去マルウェアによる攻撃に備え、事業継続計画および事業復旧プロセスを改めて確認しましょう。また、基本的なセキュリティ対策(インターネット接続システムにパッチを適用し既知の脆弱性を防ぐ、ウイルス対策ソリューションの導入およびメンテナンスを行う、エンドポイント検知・対応ソリューションのデータを監視するなど)が重要です。そして米国務省またはそれに相当する各国の政府機関・外務省が公布する勧告を注視し、その内容に従いましょう。

セキュアワークスの対応

当社のCTUリサーチチームは、衝突激化に起因するとみられる活動を監視しています。また、米国が主導するJoint Cyber Defense Collaborative(JCDC)や、官民の各パートナーとも密に連携しています。2月21日のアドバイザリーをはじめ、1月中旬以降、現在進行中の状況を説明するCTUの資料が複数公開されています。

Taegis™をはじめとする当社のソリューションをご利用中のお客様には、ロシアの脅威グループが使用する既知のツールを検出するための多くの対策プログラムが存在します。しかしながら、ウクライナを標的とした活用では、これまで観測されていなかったツールが使用される可能性があります。CTUリサーチャーは報告された脅威を分析し、適宜、新たな対策プログラムを開発しています。2月23日には、データ消去マルウェアに対するエンドポイント向けの対策プログラムが公開されました。

出典

https://www.cisa.gov/shields-up
https://www.ncsc.gov.uk/news/organisations-urged-to-bolster-defences
https://www.enisa.europa.eu/news/enisa-news/joint-publication-boosting-your-organisations-cyber-resilience