アメリカがロシアKGB後継組織の職員3人を原子力発電所など重要インフラに対するハッキングで起訴

アメリカ司法省は2022年3月24日、各国の重要なインフラストラクチャーを標的に2012年～2018年にかけてサイバー攻撃を行ったとして、ソ連国家保安委員会(KGB)の後継組織にあたるロシア連邦保安庁(FSB)のメンバー3人を含むロシア政府職員計4人を起訴しました。サイバー攻撃の標的となったのは約135カ国にまたがるエネルギー産業施設で、その中にはアメリカ・カンザス州の原子力発電所も含まれているとのことです。

Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide | OPA | Department of Justice
https://www.justice.gov/opa/pr/four-russian-government-employees-charged-two-historical-hacking-campaigns-targeting-critical

U.S. Accuses 4 Russians of Hacking Infrastructure, Including Nuclear Plant - The New York Times
https://www.nytimes.com/2022/03/24/us/politics/russians-cyberattacks-infrastructure-nuclear-plant.html

Russian spies indicted in worldwide hacks of energy industry, including Kansas nuclear plant - POLITICO
https://www.politico.com/news/2022/03/24/russian-spies-indicted-hack-nuclear-plant-00020217

Russian officials charged in years-old energy sector hacks | AP News
https://apnews.com/article/russia-ukraine-technology-business-indictments-energy-industry-63a13bb832aa051c3661445e3b2ce608

起訴状の1つでは、FSB職員のPavel Aleksandrovich Akulov・Mikhail Mikhailovich Gavrilov・Marat Valeryevich Tyukovの3人が、2012年～2017年にかけて石油・ガス・原子力発電所を含む国際的なエネルギー関連企業や組織にハッキングを仕掛けたとされています。この3人は、セキュリティ研究者から「Dragonfly」「Berzerk Bear」といった名称で呼ばれるFSB傘下のハッカー集団の将校だとのこと。

司法省は3人が関与した攻撃を時系列的に2つのフェーズに分けており、2012年～2014年の第1フェーズでは石油・ガス企業、原子力発電所、送電企業などを標的にして、サプライチェーン攻撃を行ったとしています。このフェーズではシステムメーカーやソフトウェアプロバイダーが提供するソフトウェアアップデートの内部に「Havex」というマルウェアを仕込み、ソフトウェアをアップデートした顧客のシステム内部にバックドアを作り出したとのこと。この攻撃により、3人はアメリカおよび外国の1万7000台以上のデバイスにマルウェアをインストールしたそうです。

また、2014年～2017年の第2フェーズでは特定のエネルギー関係組織やサプライチェーンの個人を標的にして、より標的範囲を絞った攻撃を行ったと司法省は主張。第2フェーズで実行されたスピアフィッシング攻撃の標的には、多くの国にまたがる500以上の企業および3300人のユーザーだけでなく、原子力規制委員会などの政府組織も含まれていました。また、エネルギー関係組織のエンジニアが訪れるウェブサイトをホストするサーバーを侵害し、エンジニアのログイン資格情報を盗み取る水飲み場攻撃も行っていたとされています。標的となった企業の中には、アメリカ・カンザス州で原子力発電所を運営するWolf Creek Nuclear Operating Corporationも含まれていたとのこと。

3人はアメリカを含む135カ国を標的にハッキングを展開したとして、エネルギー施設の財産に損害を与えた罪、コンピューター詐欺および乱用の罪、そして電信詐欺の罪で起訴されました。また、AkulovとGavrilovについては、加重個人情報窃取の罪でも起訴されています。

別の起訴状では、ロシア国防相傘下の研究所に雇用されているコンピュータープログラマーのEvgeny Viktorovich Gladkikhも、エネルギー施設へのハッキングを行ったとして起訴されています。Gladkikhは2017年5月～9月、「TRITON」というマルウェアをサウジアラビアの石油精製プラントが保有するシュナイダーエレクトリック製の安全システムにインストールし、安全システムが作動しないようにしたとのこと。その結果、安全システムの不具合が原因となって2度の操業停止が発生し、プラントに経済的損害が生じたとされています。また、Gladkikhは2018年2月～7月に今度はアメリカの製油所を狙って同様の攻撃を試みましたが、これは失敗に終わったそうです。Gladkikhはエネルギー施設に損害を与えた罪、エネルギー施設に損害を与えようと試みた罪、コンピューター詐欺を試みた罪などで起訴されています。

今回起訴された4人はアメリカ当局によって拘留されておらず、法執行機関がその所在を追っている最中です。司法省は3月24日、4人のいずれかの「身元または居場所」につながる情報提供者に対し、最大で1000万ドル(約12億円)の懸賞金を支払うと発表しました。

司法副長官のリサ・モナコ氏は声明の中で、「ロシアの国家的ハッカーはアメリカおよび世界中の重要なインフラストラクチャーに深刻かつ持続的な脅威を与えています。本日公開された刑事訴追は過去の活動を反映したものですが、アメリカ企業が防御を固め、警戒を続けることがただちに必要であることを明確に示しています。司法省は国内外のパートナーと共に、サイバー攻撃で重要なインフラストラクチャーを脅かす国家的ハッカーの摘発と責任追及に全力を挙げています」とコメントしました。

なお、アメリカのジョー・バイデン大統領は3月21日に発表した声明で、ロシアが多数のアメリカ企業を標的にサイバー攻撃を仕掛ける可能性があると警告。特に重要なインフラストラクチャーを担う企業に対し、警戒を強化するように求めました。

米、ロシアのサイバー攻撃を警告　インフラ企業に警戒強化要請 | Reuters
https://www.reuters.com/article/ukraine-crisis-cyber-usa-idJPL3N2VO3R8