ウクライナへの侵攻が始まって1週間、最初の戦車が国境を越えてから、あるいはそれ以前から、紛争に関連するサイバー攻撃が続いているようです。
以前、私たちは、ウクライナ侵攻に関連して、標的となっている組織の不安を取り除くための簡単なFAQ を発表しました。しかし、この1週間で、侵攻に関連するサイバー脅威について、いくつかの注目すべき進展がありましたので、その中から最も重要なものをいくつか紹介します。
ウクライナはハクティビストを募集している
週末、ウクライナ副首相兼ウクライナ・デジタル変革大臣であるMykhailo Fedorov(ミハイロ・フェドロフ)は、ウクライナIT軍を創設し、ロシアとの戦うためにウクライナに参加する「サイバー専門家」に門戸を開きました。
We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.
— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022
”IT軍を設立します。デジタルの才能が必要です。すべての運用タスクはここで与えられます。https://t.me/itarmyofurraine。すべての人のためのタスクがあります。私たちは、サイバー前線で戦い続けます。最初のタスクは、サイバー専門家のためのチャネル上にあります。(上記ツイートの日本語訳)”
エフセキュアのチーフリサーチオフィサーであるMikko Hypponen (ミッコ・ヒッポネン)は、「今回のように政府が武力紛争中に外国のハッカーに協力を要請するのは、歴史上初めてのことです」と述べています。
その後、メディア報道(このArs Technicaの記事など)では、ウクライナIT軍の標的の多くがオフラインになっている点が指摘されています。
また、ウクライナを支援しているハッカーは、こうしたサイバー自警団だけではありません。先週末、ハクティビスト集団「Anonymous」が、ウクライナを支援するために紛争に参入すると発表しました。
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #Ukraine
— Anonymous (@YourAnonOne) February 24, 2022
”アノニマス集団がロシア政府に対して公式にサイバー戦争を仕掛けています。#Anonymous #Ukraine (上記ツイートの日本語訳)”
ランサムウェアグループ「CONTI」がロシアを支援
一方、ロイターやTechCrunchによると、悪名高いランサムウェア集団CONTIは、ロシアの侵攻を支持する声明を発表しました。CONTIはブログの投稿で、ロシアの重要なインフラを攻撃する者に対しては、その能力を行使すると脅迫しています。
ただ、グループ内の一部は、ロシアを支持することに不満を持っており、報復としてCONTIのデータを流出させたようです。
Conti ransomware group previously put out a message siding with the Russian government.
Today a Conti member has begun leaking data with the message "Fuck the Russian government, Glory to Ukraine!"
You can download the leaked Conti data here: https://t.co/BDzHQU5mgw pic.twitter.com/AL7BXnihza
— vx-underground (@vxunderground) February 27, 2022
“ランサムウェアグループのCONTIは、以前、ロシア政府に味方するメッセージを出していました。
今日、CONTIのメンバーが、”ロシア政府なんてクソくらえ!ウクライナに栄光あれ!”というメッセージとともにデータの流出を開始しました。流出したContiのデータはこちらからダウンロードできます: https://share.vx-underground.org/Conti/(上記ツイートの日本語訳)”
ワイパー、ワーム、その他のマルウェア
ロシアの侵攻を支援するために、ウクライナでは複数の異なるタイプのマルウェアが展開されています。ESETの調査では、データを破壊するマルウェア「HermeticWiper」と「IsaacWiper」のファミリーが確認されています。また、HermeticWiperの拡散に使用されたネットワークワームとしてHermeticWizardが特定され、HermeticRansomと呼ばれるランサムウェアの限定的な使用も確認されています。
組織のためのガイダンス
エフセキュアは、現在の情報に基づき、組織に対する主な脅威を次のように評価しています。
ランサムウェア
組織が直面するランサムウェアの脅威は、依然として絶えることがありません。しかし、現在、一部の組織は、ロシアを支援する活動を行うグループから標的にされるリスクが高まっています。影響を受ける組織には、ロシアに対する経済制裁を実施している国で活動する企業、政府機関、NGO、ウクライナへの公的支援を行っている組織、ロシアへの経済支援の撤回を発表している組織などがあります。
破壊的ハクティビズム
ウクライナ、ロシア双方の組織に対するDDoS(Denial of Service)攻撃が広く報じられています。被害を受けたのは、重要国家インフラ(CNI)や、金融、電気通信、軍事サプライチェーン、報道機関などに関わる組織です。報告によると、攻撃者は、アクセスした被害者のファイルを削除したり、システムを破壊することを目的とした攻撃だけにとどまらないことがうかがえます。このような攻撃は今後も続くと思われます。組織は、対策を立てる際に、これまでに観測された攻撃とDDoSベクターを考慮する必要があります。
データ搾取ハクティビズム
双方の国を支持するそれぞれの組織に対して行われた攻撃が広く報道されています。CONTIはロシアへの支持を表明しています(上記参照)。他の脅威アクター(サイバー空間に脅威をもたらす攻撃主体)も、これらの攻撃をエスカレートさせながら、追随する可能性があります。そうなると、より多くの脅威アクターが関与し、幅広い被害者が潜在的な無差別攻撃の影響を受けることになると思われます。このような攻撃は、データが盗まれたり流出したりすることで、混乱を招くだけでなく、標的となった組織とデータが流出した個人の双方に被害を与える可能性があります。
インサイダー脅威
ロシアとウクライナの紛争は、強い感情的・政治的反応を引き起こしています。このような環境では、従業員が自らの雇用主に対して悪意のある行為を行うことで、「味方」を支援するような状況になる可能性があります。このような行為の一例としては、ロシアのスーパーヨットの事例が既に報告されています。さらに、外国のエージェントは、緊張の高まりと積極的な敵対行動の背景から、より広範囲の組織に対して、個人によるインサイダー行動を誘発する可能性があります。このリスクは、主にCNIや政治的につながりのある組織にも影響を与えますが、潜在的な巻き添えターゲットとしてより広い組織にもリスクがあります。ロシア、ウクライナで事業を展開している組織、またはいずれかの国で事業を展開しているサービス組織は、インサイダーの脅威によるリスクを考慮する必要があります。
国家が支援する脅威
ワイパー型マルウェアは、エフセキュアの評価では国家支援型である可能性が高く、今回の紛争ですでに重要な役割を担っています。同様の攻撃や、国家が支援するスパイ活動の脅威は、可能性が高いとは言えないまでも、存在する可能性があります。進行中の紛争を混乱させ、一方に有利な情報を収集することは、国家を後ろ盾とする脅威アクターの目的である可能性が高いのです。エフセキュアは、この種の作戦はウクライナと NATO の CNI 組織に対してである可能性が高く、その他にも、これらの国のCNI以外の組織である可能性が高いと評価しています。しかし、大多数の組織にとって、国家を後ろ盾とする脅威は、本投稿で述べた他のリスクよりも可能性が低いため、組織がこれらの作戦の関連する標的基準に明らかに適合しない限り、過度に注目するべきではありません。伝統的な CNI 以外にも、国家を後ろ盾とするアクターが実施する偽情報キャンペーンの一環として、報道機関が標的にされることがあります。
侵略に関連する脅威の数が増えていますが、全体的な指針はほとんど変わっていません。世界のほとんどの組織は、これらの脅威のいずれからも狙われるケースは多くないと思われます。しかし、組織は状況に応じて外部からの露出度とリスクを評価し判断する必要があります。
エフセキュアのセキュリティコンサルタントであるntti Laatikainen(アンティ・ラーティカイネン) は、LinkedInにおいて、組織がこれらの脅威に対する露出度を評価する方法をいくつか提案しています。現在影響を受けている組織、または脅威が関連していると感じている組織は、https://www.cisa.gov/uscert/ncas/alerts/aa22-057aで有用な軽減措置のアドバイス(特に破壊的なマルウェアを含む攻撃に対する)を見つけることができます。
カテゴリ