ウクライナ侵攻の戦闘に連動して行われたサイバー攻撃の実態とは

NTTデータは12月14日、2022年のサイバーセキュリティ動向に関する説明会を開催した。説明会では、サイバーセキュリティ技術部　情報セキュリティ推進室 NTTDATA-CERT Executive Security Analystの新井悠氏が、ロシアによるウクライナ侵攻における戦闘活動とサイバー攻撃を中心に解説を行った。

ロシア軍関連機関のサイバー部隊の属性

昨今、国家の利益を求めるために、国家が主導するサイバー攻撃が増えている。ウクライナ侵攻でもその傾向は見られており、ウクライナに加えて、ウクライナを加勢するNATO諸国を狙うサイバー攻撃も増加している。

新井氏は、ロシア政府が支援するサイバー攻撃グループを明らかにするため、セキュリティベンダーによるロシア軍関連機関のサイバー部隊アトリビューション（属性判定）の結果を紹介した。

ロシア連邦軍参謀本部情報総局(GRU)は「APT28」「Sandworm」のグループを、ロシア連邦保安庁(FSB)は「Gamaredon」のグループを、ロシア対外情報庁(SVR)は「APT29」のグループを支援しているという。

APTは「Advanced Persistent Threat」の略で、執拗に(Persistent)、高度な(Advanced)攻撃を指す。

「APT28」はGRU配下の26165部隊が実態といわれており、2016年と2020年のアメリカ大統領選挙へに介入したといわれている。このほか、米国の関係先に対して多数のサイバー攻撃を2008年から行っているという。

「Sandworm」はGRU配下の74455部隊で、ウクライナ侵攻に伴ったサイバー攻撃でしばしば名指しされている。

「APT29」はロシア対外情報庁(SVR)に帰属があると推定されており、「SUNBURST」と名付けられた米国政府機関への攻撃を首謀したといわれている。「Sunburst」は、ネットワーク監視ソフトウェア「SolarWinds Orion Platform」の脆弱性の悪用を端緒として、米国政府などを狙った大規模サプライチェーン攻撃だ。

「Gamaredon」は、ウクライナ保安庁（SSU）の調査により、FSB配下 にあるといわれている攻撃グループだ。ウクライナの国家機関、主に治安、防衛、法執行機関に対して標的を絞ったサイバー攻撃を担当している とされている。

• 

  ロシア軍関連機関のサイバー部隊アトリビューション

軍事作戦と連動しているサイバー攻撃

続いて新井氏は、マイクロソフトが軍事作戦とサイバー攻撃が連動していると指摘している説明した。

下図は、マイクロソフトの「ウクライナを守る：サイバー戦争の初期の教訓」をもとに、新井氏が作成した軍事作戦とサイバー戦争の実行状況だ。これを見ても、その関連性の高さはお分かりいただけるだろう。

• 

  軍事作戦とサイバー戦争の実行状況

新井氏は、軍事作戦とサイバー戦争の連動性に関連する憶測として、以下3点を挙げた。

• サイバー攻撃がうまくいかない時に物理的な攻撃を実行している
• 重要施設と制御しているITシステムが分かれている時、それぞれを攻撃している
• サイバー攻撃で破壊行為が行われた結果、復旧人員を攻撃するために遅れて攻撃している

ウクライナ侵攻で悪用されたとみられるウイルス

さらに、新井氏はウクライナ侵攻で悪用されたとみられるウイルスがすべてワイパータイプであると指摘した。ワイパータイプのウイルスは、システムを破壊する目的で主要なファイルを削除するなどして、機能不全を発生させる感染活動を行うものだ。

• 

  ウクライナ侵攻で悪用されたと見られるウイルスの検出状況

ワイパーを用いた攻撃手法はさまざまだが、例えば、「HermeticWiper」の場合、攻撃者は、既知の脆弱性の悪用やパスワード破りによってネットワーク内に事前に侵入し、標的内ネットワークで横展開して、ワイパーを頒布して停止させるといった活動を行う。

ハクティビストとの連携

さらに、新井氏はハクティビストの関連性についても説明した。ハクティビズムとは、アクティビズム（積極行動主義）とハック（サイバー攻撃など）をかけあわせた造語で、政治的な意思表示や政治目的の実現のためにハッキングを手段として利用する行為もしくはそのような行動主義的傾向を指す。ハクティビズムを実行する活動家は「ハクティビスト」と呼称されることがある。

ウクライナ侵攻においても、親ロシア・親ウクライナそれぞれにハクティビストのグループが形成されたという。例えば、親ロシア派のハクティビストグループに、2022年2月に活動を開始した「Killnet」がある。

「Killnet」は、2022年1月にサイバー犯罪者向けのDDoSの代行請負サービスを出発点としており、ウクライナ侵攻を節目にハクティビストグループに変身したそうだ。

同グループはNATO加盟国の政府機関や民間企業に対してDDoS攻撃を繰り返し実行している。2022年9月には、日本の政府機関4省庁のサイトや、国内民間企業の運営するサイトにDDoS攻撃を行って通信不全を発生させたという声明を発表した。

加えて、ウクライナ侵攻当初（2022年2月）から活動しているハクティビストグループ「Xaknet Team」は、killnetと連携しており、ウクライナ軍の使用している機材を攻撃して成功させたと主張しているとのことだ。

一連のサイバー攻撃に向けた対抗策とは

新井氏は、今年2月～5月までに観測されたワイパーによる攻撃において、偵察行為を行って事前に調査された環境や設備の情報をもとに攻撃を行っていることがみてとれると語った。これより、対策として、そうした予兆をいち早く検知して排除する必要性があるという。

また、「レッドチーム」と呼ばれる、標的組織を攻撃するという視点から、自社のセキュリティ体制や対策の有効性を確認していく組織・実行体制を整 備することや、攻撃につながる可能性がある箇所を点検することも重要となる。

そして、、ウクライナ侵攻とほぼ同時期からハクティビストのTelegramチャンネルが開設され始めていることを踏まえ、新井氏はハクティビストの動向にも目を配っておく必要があると指摘した。

「セキュリティ対策を持続的にやることで、さまざまな脅威に対抗することができる。政府がハクティビストを取り込んでおり、ハクティビストは新しい脅威と考えられる。今、ハクティビストの脅威を認識する段階にきている」（新井氏）