今後も発生する可能性が高いウクライナへのサイバー攻撃

今後発生する可能性の高いウクライナに対するサイバー攻撃とは？

CrowdStrikeは、ウクライナの関係機関に対してこれまでに実行された主要な破壊的な出来事について評価し、この地域において今後発生する可能性の高い攻撃形態や結果に関する予測レポートを公開した。

少なくとも 2014 年以降、ウクライナの様々な機関が、ロシア政府とのつながりを持つ、あるいはロシア政府が統制している可能性の高いグループからのサイバー攻撃の脅威にさらされている。

エネルギー、運輸、国家財政など、ウクライナの複数機関に損害をもたらすことにより、同国の政治的なプロセスを操作し、国内ビジネスに打撃を与えることが目的だと思われる。

これらのオペレーションは半否認可能な方法で実行され、意図されたメッセージが標的の組織に確実に伝わるように、可能性のある攻撃者への疑いを喚起するのに十分な証拠を提供する一方で、活動の起源をわかりにくくしている。

CrowdStrikeは、判明しているウクライナに対する攻撃オペレーションの大半を、VOODOO BEAR（GRU：ロシア連邦軍参謀本部情報総局が管理している可能性が極めて高い攻撃者）によるものと考えているという。

攻撃オペレーションの影響が、最初に標的になった組織のみに制限されることはほとんどない。コンピューターネットワークの崩壊による直接的な二次的被害、あるいは組織が日々の業務を頼っている重要なビジネスサービスの中断による間接的な二次的被害が発生している。

これまでの活動の分析から、一見局所的な標的が、ウクライナ国外の組織に意図しない影響を及ぼしたケースがいくつか確認されている。

2022：複数のキャンペーンステージを用いたハイブリッドオペレーション

2022 年 1 月のレポートでは、CrowdStrike が WhisperedDebate 活動クラスタとして追跡している、ウェブサイト改ざんおよび、ウクライナ政府ネットワークに対する WhisperGate ワイピングオペレーションに関与する攻撃者が、引き続き国家機関を混乱させようとしていることが示されているという。

CrowdStrike のインテリジェンスチームは現在、WhisperedDebate を既に命名した攻撃者（VOODOO BEAR など）と紐づけてはいない。

ただし、過去のオペレーションとの高い類似性に加え、標的がウクライナに絞られていることや、活動の時期から、ロシアとつながりを持つ攻撃者や、利害関係の一致するグループによる攻撃であることが強く示唆される。

ウクライナ政府の公式声明からは、今回のオペレーションの範囲が、VOODOO BEAR の 2017 年のキャンペーンと比較して限定的であることが読み取れるが、これが攻撃者による意図的なものなのか、それとも彼らのオペレーションが困難だった結果であるのかは不明。

しかしながら、採用されたマルウェア配信ベクトルが手動である可能性が高いこと、政府ネットワークを標的に絞っていること、そして IT サービスプロバイダーに対する他の破壊的攻撃がおそらく初めの侵入ベクトルの証拠を隠す目的で実行されていることから、今回の限定的な影響範囲は意図的であることがうかがえる。

CrowdStrike は、複数の政府組織が WhisperedDebate キャンペーンの標的となった直後に、それらの組織から取得したとみられるデータの配布を試みる動きをいくつか確認している。

これは、ウェブサイト改ざんのメッセージでなされた主張を裏付けるもの。これらの出来事のつながりは、このブログの執筆時点ではまだ不明瞭のままだが、ハクティビストや犯罪の動機を持つ複数のペルソナが、データ漏洩の証拠を提示している。

これは、ネットワーク侵害時のデータ取得を否定するウクライナ政府の度重なる声明に反して、個人識別情報（PII）を連続的に公開する IO キャンペーンを実行する試みを示唆している。

これらの試みは、侵害に効果的に対応する政府の能力に対する国民の信頼を損なうことを目的としている可能性がある。

この IO の使用は、CyberBerkut および Sprut グループのペルソナがウクライナ組織の個人データを同時に公開した、以前の VOODOO BEAR TTPs を反映したもの。

WhisperedDebate の活動では、公にさらされる形でのウェブサイト改ざんが導入されており、メディアに取り上げられ増幅されやすいという、このオペレーションの新たな一面を形成している。

評価

ウクライナの組織に対する VOODOO BEAR による破壊的オペレーションが長期にわたって続いていることは、現地の人々に対する心理作戦を実行する意思を示しているという。

これは、国家安全保障とポピュリスト政策を背景にウクライナに影響を与えるための、ロシア政府による継続的な取り組みを表す。

これらのオペレーション、およびそのオペレーションの意図する効果は、最終的にはウクライナに関するロシア政府の全体戦略を補完するものになる。

明白な外交的取り組みや軍事行動と特に関連しているようには見えないが、代わりに、ウクライナ国内の緊張を選択的に増大し、ウクライナ政府機関に対する国民の信頼を損なわせるために使用する別個のツールとして意図されている可能性がある。

これらの行動の正確な結末は不明だが、西側諸国との親密なつながりを拒否するよう国民に強制すること、ロシアにとって都合の良い新しいリーダーシップを確立すること、あるいは、2014 年のクリミア併合に似た軍事行動を準備することなどが、意図される結果として考えられる。

CrowdStrike は、ウクライナに対する今後の攻撃オペレーションは、ランサムウェアを装った破壊的ワイピング攻撃の形態をとる可能性が高いと予見している。

この評価は、技術的 TTPs に連続的な進展が見られること、および、この種類のオペレーションでは目的の破壊的効果を達成し、意図を明確に伝達するとともに、攻撃の直接的責任を回避できるという認識に基づき行なわれたもので、信頼度は中。

将来的には、ハイブリッドオペレーションの一環として、ネットワーク侵害で盗まれた PII などの機密情報をロンダリングして公開し、ウェブサイト改ざん活動を通じてメディアの関心を誘発する IO キャンペーンの同時使用も発生する可能性がある。

この数年で使用されておらず、標的組織への影響が持続することのまずない DoS 攻撃が、今後のキャンペーンで見られる可能性は低いと思われる。

DoS は、ワイピング攻撃などの他の攻撃アクションと組み合わせて使用される、あるいは、ハクティビストコミュニティ内における信頼強化のために使用される可能性が高くなっている。

NotPetya の拡散などのこれまでの出来事の観察に基づくと、ウクライナに対する破壊的攻撃の影響は広範になる可能性が高く、ウクライナ国外を拠点とする組織にも影響が及ぶ可能性がある。

特に、ウクライナ国内で子会社を運営する会社や、ウクライナの組織と相互接続されたネットワーク資産を有する会社が、二次的被害を受ける可能性がある。

おそらくNotPetya の意図しない重大なフォールアウトを原因として、制約のないマルウェア伝播の範囲を制限しようとする後続のオペレーションが発生したことを示唆する証拠もあるが、この評価の信頼度は中。

破壊的攻撃による直接的な影響以外では、ウクライナの物流ネットワークに依存する組織も、ウクライナの輸送機関の一部を標的とする今後の破壊的攻撃の影響を受ける可能性がある。

米国やヨーロッパ諸国など、ウクライナのロシアに対する立場を支持する国に拠点を置く組織などの、ウクライナ国外の組織を意図的に標的とする破壊的攻撃の可能性を否定することはできない。

これには、国際的な緊張関係を著しく助長するリスクや、他国の政府による直接的な報復措置を含む制裁措置のリスクが存在するため、そのようなことが起こる可能性は低いと評価されているが、ウクライナ国内で運営する国際企業が偶然にも標的となった場合、ロシアとつながりを持つ攻撃者にこれを利用され、事業運営や投資の停止が促され、現地経済の不安定化につながるおそれがある。

CrowdStrike Intelligence による信頼度評価

・高信頼度：複数のソースからの高品質な情報を基に判断されている。判断の裏付けとなるソース情報の質と量に対する高い信頼度は、評価が絶対的に正確であることや、事実情報であることを示すものではない。判断に誤りがある可能性はわずかながら存在する。

・中信頼度：確かな筋からの妥当な情報を基に判断がされているが、量や裏付けが不十分であり、高信頼度の保証ができない。この信頼度レベルは、さらなる情報が利用可能になるまで、あるいは情報の裏付けがされるまでに、判断に誤りが含まれる可能性が少なからずあることを示す。

・低信頼度：ソースの信ぴょう性が不明である状況、情報の断片化や裏付け不足が著しく、確度の高い分析的推測を行なえない状況、ソースの信頼性がテストされていない状況で判断がされている。情報の裏付けのため、あるいは既知のインテリジェンスのギャップを埋めるために、さらなる情報が必要。

関連情報：https://www.crowdstrike.jp/

構成／DIME編集部