ロシアによるウクライナ侵攻から半年が経過 – サイバー攻撃の影響を振り返る

Security Operations Sophos X-Ops ウクライナセキュリティオペレーションロシア地政学特集

** 本記事は、Six months on: Looking back at the role of cyberattacks in the Ukraine War の翻訳です。最新の情報は英語記事をご覧ください。**

2022 年 2 月 24 日にロシアがウクライナ侵攻を開始したときには、現代の侵攻においてサイバー攻撃が果たす役割は全くの未知数でした。ロシアは 2014 年にクリミアを占領して以来、ウクライナに対してサイバー攻撃を行っています。特に、ロシアはウクライナの電力網への攻撃や NotPetya ワームを世界に放った前歴があるため、ロシアがサイバー攻撃の手を強めるのは必然のように思えました。

コンピュータに対する攻撃の効果や影響を評価しようとするには、攻撃が全体像の中でどのように位置づけられるかを正確に認識することが重要です。戦渦にあると、行動の有効性について客観的に判断できないことが往々にしてあるからです。本記事では、戦争の開始から半年以上経って得たある程度の全体像を踏まえて、サイバー攻撃がこの戦争にどのような影響を与えたのかを振り返ります。

ウクライナ国家特殊通信情報保護局 (SSSCIP) によると、開戦以来、ロシアのウクライナに対するサイバー攻撃は 1,123 回に上ります。全攻撃のうち 36.9% は政府および国防関連を標的としており、そのうち悪意のあるコードが 23.7%、情報収集が 27.2% でした。

この戦争におけるサイバー攻撃は、侵攻開始のほぼ 24 時間前に始まっていました。
私が記録している戦争に関する当時のタイムラインによると、 2 月 23 日の現地時間 16 時頃に DDoS 攻撃とワイパー攻撃が始まりました。その直後からさまざまな攻撃や手法が並行して展開され、事態は混乱を極めました。

これらの攻撃を分類し、その強度、効果、目的を分析してみたいと思います。攻撃は、破壊行為、情報操作、ハクティビズム、スパイ行為の 4 つのカテゴリーにわけることが出来ます。

破壊行為

この戦争がロシアの当初の思惑と大きく外れた状況を呈しているのと同様に、さまざまな段階においてロシアのサイバー攻撃も紆余曲折を経ています。計画の変更が最も顕著なのが、マルウェア攻撃による破壊行為です。

SSSCIP によると、ロシアおよび親ロシア派の攻撃者は 2022 年 1 月から、システムのコンテンツを消去したり、操作不能にしたりすることを目的としたワイパーおよびブートセクターを変更するマルウェア攻撃を行っていました。これらの攻撃は、主にウクライナのサービスプロバイダー、重要インフラ、政府機関を標的としています。

このような攻撃は、戦争発生から 6 週間にわたって継続されましたが、その後、徐々に減少していきました。攻撃の多くは、侵攻に至るまでの 2 月 22 日から 24 日にかけて集中的に行われました。侵攻に先だって一定の影響をウクライナに与えたものの、ロシアの陸上侵攻の達成には最終的に何の効果も与えなかったと思われます。

この攻撃の数日前に、ウクライナ政府はそのオンライン機能の多くをクラウドインフラストラクチャに移行しました。この移行を担当したのは、戦闘部隊ではないサードパーティー組織です。そのためウクライナは攻撃の影響を受けることなくオンライン機能を維持し、世界との通信を維持することができました。この措置は、2008 年にグルジアがロシアから DDoS 攻撃を受けた際に、グルジア政府が政府の重要な Web サイトを第三国に移したことを彷彿とさせます。

もう 1 つの破壊行為は、ロシアが侵攻開始と同時に行った中東欧全域で使用されている Viasat 衛星通信モデムへの攻撃です。ロイター通信の Raphael Satter 氏は、ウクライナのサイバーセキュリティ担当幹部がこの攻撃によって「戦争が始まったばかりの時期に、通信は非常に甚大な被害を受けた」と述べています。この攻撃は、 NATO 加盟国にも二次的な被害を与え、ドイツでは 5,800 基以上の風力発電機の稼働が妨害されました。

衛星通信モデムへの攻撃は、この戦争で行われた攻撃の中で最も大きな影響を与えたといえるでしょう。多くの専門家がロシアは当初 72 時間で戦争を終結させる計画であったと推測しており、もし侵攻が計画通りに進んでいたとしたら軍事通信の中断は初期の戦況に大きな影響を与えた可能性があります。幸いにも、ウクライナの指揮官は体勢を立て直し、代替通信手段を確立して混乱を最小限に抑えることができました。長期的には、ロシアの方がウクライナよりもはるかに指揮系統のコミュニケーションに苦労していることがうかがえます。

マイクロソフトや ESET といったハイテク企業、そして米国の情報機関の支援もあってか、ウクライナは破壊的な攻撃の阻止に目覚ましい成果を上げています。

Industroyer2 と呼ばれる重要インフラを標的とした最も高度なマルウェアの 1 つが、ウクライナのエネルギー供給会社のネットワーク上で発見され、無力化されました。Industroyer2 は、 Windows 、 Linux 、 Solaris を標的とした従来のワイパーと、電力網の制御と監視に使用される運用技術 (OT) を標的とした ICS 特有のマルウェアが組み合わされたものでした。

マイクロソフトが最近発表した報告書では、ロシアの多くのサイバー攻撃が、ドニプロ、キエフ、ヴィニツィア空港に加えられた軍事攻撃と連携していた可能性が指摘されています。しかし、サイバー攻撃がロシアの戦局の明らかな進展に寄与したことを示す証拠はまだありません。

これまでのところ、破壊的なサイバー作戦は、この戦争における戦闘局面においてもほとんど影響を及ぼしていないと思われます。幾度となく報道されたこれらのサイバー攻撃は、多くの人々に精神的な苦痛を与え、サイバーセキュリティプロバイダーに労働を強いましたが、この戦争の大勢に明白な影響を与えることはありませんでした。

ディスインフォメーション/情報戦

ディスインフォメーション ( 偽情報 ) を流すことで政治的成果を得るのは、ロシアの常套手段です。ロシアは当初、ウクライナに侵攻して傀儡政権を樹立し、短期間で勝利する作戦を立てていたと思われます。

この計画では、当初は 2 つの勢力圏、事態が長引いた場合には 3 つの勢力圏でディスインフォメーションが鍵を握るとされていました。最も重要な標的はウクライナ国民で、当初の計画ではロシアを解放者であると信じ込ませ、最終的にはロシアにとって都合のよい指導者を受け入れるようウクライナ国民に仕向けようとしていました。ロシアは SMS や既存のソーシャルメディアネットワークを使った影響力行使を何度も試みたようですが、愛国心が高まっているウクライナでは、そのような作戦は功を奏する一方、 2 番目に重要な標的であるロシア国内においては、より多くの成功を収めています。

ロシアは、外国メディアや独立系メディアの活動をほぼ禁止し、ソーシャルメディアへのアクセスをブロックした上で、ウクライナ侵攻を「戦争」と呼ぶことを法律で禁止しました。

プロパガンダが機能していることを示す調査結果が出ていたり、ロシア国民が公に表明できる意見は「特別軍事作戦」に対する支持だけだったりすることから、ディスインフォメーションは国民に一定の影響を与えているといえるでしょう。

戦争が長引く中で、他国をもディスインフォメーションの第 3 の標的にしています。インド、エジプト、インドネシアなどの非同盟国家において情報操作を行えば、国連投票でロシアへの反対票を減らし、支持票を増やすことが出来るからです。

米国によるウクライナでの生物兵器開発、非ナチ化政策、ウクライナ軍の大量虐殺疑惑などを主張し、西側メディアによる戦争描写の公平性に疑念を抱かせるような記事を仕掛けることもあります。このような活動を行っているのは、不正アクセスやマルウェアによる攻撃を担当している組織ではなく、多くはディスインフォメーションの工作を以前から行っている組織あると思われます。

米国の情報機関は、戦争開始までこのようなする上で重要な役割を担っており、ロシアによる偽情報の流布を少なからず防いできました。現在では、米国の情報機関に代わりベリングキャットのような民間の調査報道機関が、オープンソースのインテリジェンスを活用してソーシャルメディア上の主張を検証することで同様の役割を担っています。

偽情報は影響を与えているものの、破壊行為と同様、戦況に直接的な影響は全く及ぼしていません。市民はロシア軍を解放者として受け入れておらず、ウクライナ軍は降伏していません。米国と欧州は依然としてウクライナを支援しており、ロシア国民の間では戦争に警戒心が高まってきていますが、大規模な反政府活動には発展していません。また、つい先日ウクライナ軍がロシアの支配下にあった地域を奪還したことで、ウクライナ軍がハリコフ近郊の一部の市民から解放者として歓迎されていることも注目に値します。

ハクティビズム

侵攻当初は、ロシアとウクライナ両国の非常に熟練した有名ハッカーが、大量のサイバー攻撃を用いてそれぞれの側を支援することになるだろうと予想されていました。

Conti や Lockbit など一部の有名なサイバー犯罪集団は、すぐにどちらの国を支援するか宣言をしましたが、その他の多くのサイバー犯罪集団は戦争を意に介さずにサイバー犯罪活動を続けると宣言しました。しかし、ウクライナ侵攻開始からの 6 週間ほどは、ランサムウェアの攻撃数が著しく減少していることが確認されています。5 月初旬頃から通常の攻撃量に戻ったことから、攻撃者も一般市民と同じように攻撃のためのサプライチェーンに支障をきたしていたことがうかがえます。

最も悪名高いグループの 1 つである Conti は、リークサイトで欧米に対する脅迫文を発表しましたが、それがきっかけでウクライナの研究者からその正体や攻撃方法がリークされ、最終的に活動停止に至りました。

一方、戦争初期には、両国のハクティビストが活発化しました。ロシアまたはウクライナのサーバーであることが確実に識別され脆弱性のあるサービスは Web 改ざん、 DDoS 攻撃、その他の軽微なハッキングの標的にされました。しかし、攻撃は長くは続かず、影響は短期間で収まると考えられています。調査によれば、攻撃者はこれらの活動に飽き、別の標的に興味が移ったようです。

ハクティビズムは現在でも存在していますが、戦況に重大な影響を及ぼしてはいないというのが現状です。
例えば、最近、攻撃者がロシア版のタクシー配車アプリであるヤンデックスをハッキングし、モスクワの中心部にすべてのタクシーを集中させて交通渋滞を引き起こしたというような程度に収まっています。

スパイ行為

最後は、定量化が最も困難なカテゴリーであるスパイ行為です。スパイ行為は意図的に隠蔽されており、その影響を評価するのは非常に困難です。この戦争でスパイ行為がどれだけ行われたかを推定する主な方法は、発見された回数を調べ、成功しなかった回数を考慮して、試みがどれだけ成功したかを推定するしかありません。

破壊的な攻撃とは異なり、スパイ行為は秘密裏に行われ、またその帰属を特定するのは困難です。ウクライナだけでなく、敵対するすべての存在が対象になります。偽情報と同様に、このカテゴリーでは米国や NATO の同盟国を地上戦に巻き込む可能性のある他の攻撃よりも、ウクライナの支持者を標的とした活動がはるかに多く見られます。

ウクライナ以外への攻撃という分類には慎重な検討が必要です。ロシアが以前から米国、欧州連合、 NATO の加盟国を標的としてマルウェア、フィッシング攻撃、データ窃盗を行っていることは周知の事実ですが、明らかにウクライナ侵攻をきっかけとしているという証拠がある攻撃も存在します。

2022 年 3 月、グーグルの脅威分析グループ (TAG) は、米国に拠点を置く非政府組織 (NGO) やシンクタンク、バルカン諸国の軍隊、ウクライナの防衛請負業者を標的としたロシアとベラルーシのフィッシング攻撃を指摘する報告書を発表しました。また、プルーフポイント社は、難民支援に取り組む EU の職員が、以前ロシア情報機関によって侵害されたとされるウクライナのメールアカウントから発信されたフィッシング攻撃の標的にされたという調査結果を発表しています。

もちろん、ロシアも情報収集や情報漏洩の被害を受けていないわけではありません。戦略国際問題研究所の James Andrew Louis 氏は、「侵攻の初期にはロシアの通信技術は十分に配備されておらず、機能不全に陥っていた」と指摘しています。

同氏は、「さらに、相手の通信システムに依存した攻撃は逆に悪用される可能性があり、ロシア軍の上級将校の死傷率が高かったのは、ロシアの通信システムが脆弱であったために位置を特定されたことが一因と推測される」と述べています。

ロシアによるウクライナを標的とした攻撃は最新の脆弱性を悪用するなど、とどまるところを知りません。
例えば 2022 年 7 月、ロシアを拠点とする攻撃者は、Follinaと名付けられた Microsoft Office の新たな脆弱性を悪用し、重要な報道機関に向けて悪意のある文書が多く送信されました。

結論

ウクライナでの戦争は、今後も長きに渡って語られ、戦時下におけるサイバーセキュリティとサイバー攻撃が果たす役割について多くの学びを与えることになるはずです。もしロシアがより用意周到にサイバー攻撃を準備していれば、はるかに影響力のある方法でサイバー攻撃による影響力を駆使することができたはずです。

戦争の初期段階では、ロシアのウクライナに対する攻撃の焦点はウクライナの不安定化、破壊、混乱に当てられていたようです。ウクライナ国民の強い意志の力で戦争が長期化したのを受けて、当初の攻撃目的の重要性は低下し、諜報活動や偽情報に焦点が移行していきました。

これから冬を迎える欧州のエネルギー供給の大部分をロシアが支配していることからも、事態の推移を予測するのは困難です。ロシアは情報操作を強め、欧州の指導者たちに制裁を緩和するよう圧力をかけるかもしれません。小規模な事例がこれまでも確認されているように、犯罪グループによるヨーロッパのエネルギー供給会社への攻撃が増加する恐れもあります。

戦争は未だ終結しておらず、サイバー攻撃の役割は新たな、そして予期せぬ形で進化していくかもしれません。しかし、サイバー攻撃が戦争において決定的な役割を果たすことはないと思われます。少なくともこの戦争においては、サイバー攻撃は他の攻撃方法と組み合わせて使われる手段のひとつにすぎません。とはいえ、戦争の他の側面と同様、強力な防御はしばしば最大の攻撃であることに違いないでしょう。

著者について

Chester Wisniewski

Chester Wisniewski is Director, Global Field CTO at next-generation security leader Sophos. With more than 25 years of security experience, his interest in security and privacy first peaked while learning to hack from bulletin board text files in the 1980s, and has since been a lifelong pursuit.

Chester works with Sophos X-Ops researchers around the world to understand the latest trends, research and criminal behaviors. This perspective helps advance the industry's understanding of evolving threats, attacker behaviors and effective security defenses. Having worked in product management and sales engineering roles earlier in his career, this knowledge enables him to help organizations design enterprise-scale defense strategies and consult on security planning with some of the largest global brands.

Based in Vancouver, Chester regularly speaks at industry events, including RSA Conference, Virus Bulletin, Security BSides (Vancouver, London, Wales, Perth, Austin, Detroit, Los Angeles, Boston, and Calgary) and others. He’s widely recognized as one of the industry’s top security researchers and is regularly consulted by press, appearing on BBC News, ABC, NBC, Bloomberg, Washington Post, CBC, NPR, and more.

When not busy fighting cybercrime, Chester spends his free time cooking, cycling, and mentoring new entrants to the security field through his volunteer work with InfoSec BC. Chester is available on Mastodon (securitycafe.ca/@chetwisniewski).

For press inquiries, email chesterw [AT] sophos [.] com.