ロシアによる侵攻以降にウクライナに対して実行された200件超のサイバー攻撃はわずか6人による犯行だったとMicrosoftが報告

ロシアによるウクライナへの侵攻が本格的にスタートした2022年2月24日前後から、ウクライナへのサイバー攻撃が複数報告されており、サイバー攻撃を行う攻撃者とロシアの関係が指摘され続けています。そんな中、Microsoftがロシアによるウクライナへのサイバー攻撃に関するレポートを公開しました。

The hybrid war in Ukraine - Microsoft On the Issues
https://blogs.microsoft.com/on-the-issues/2022/04/27/hybrid-war-ukraine-russia-cyberattacks/

Microsoft says Russia hit Ukraine with hundreds of cyberattacks
https://www.bleepingcomputer.com/news/security/microsoft-says-russia-hit-ukraine-with-hundreds-of-cyberattacks/

Microsoftによると、ロシアによるウクライナ侵攻が始まる直前から、少なくとも6人のロシア政府関係者が、ウクライナに対して237件以上のサイバー攻撃を繰り返してきたそうです。このサイバー攻撃には進行中の破壊工作や民間の福祉施設を脅かすような攻撃も含まれます。

Microsoftが挙げた「237件のサイバー攻撃」には、広範なスパイ活動や諜報活動も含まれており、Microsoftは「これらの攻撃はウクライナの状況を悪化させただけでなく、民間人が依存する信頼できる情報源や重要な生活サービスへのアクセスを妨害することにもつながりました。これらの攻撃はウクライナ政府の指導力に対する信頼を揺るがすためと推測できます」と記しました。これに加えて、ウクライナだけでなくNATO加盟国への「限定的なスパイ活動や偽情報活動」も検出されているそうです。

Microsoftによると、ウクライナ侵攻以降のロシアによるサイバー攻撃は、民間人にとって重要なサービスや機関を重点的に狙った軍事作戦と強く相関しており、軍事作戦と完全にタイミングを合わせて行われたものもあったそうです。その一例として挙げられているのが、2022年3月1日にロシアの攻撃者が大手放送会社に対して仕掛けたサイバー攻撃です。このサイバー攻撃が実行されたのと同日、ロシア軍は「ウクライナの偽情報を発信する施設を破壊する」と発表し、キーウにあるテレビ塔に対してミサイル攻撃を仕掛けました。また、ロシア軍がチェルノブイリ原子力発電所を制圧してから数週間後の3月13日に、別の攻撃者がウクライナの原子力安全組織のサーバーからデータを盗み出しました。

Microsoftが検出したサイバー攻撃のうち物理的な破壊攻撃と関連しているものは40件近くあり、これらの攻撃は数百のシステムを標的に実行されています。この物理的な破壊攻撃と関連したサイバー攻撃のうち32％は国・地域・都市レベルでウクライナ政府関連の組織を直接標的としており、40％以上はウクライナ政府・軍隊・経済・民間人に悪影響を与える可能性のある重要なインフラストラクチャーに関連する組織を狙ったものであったそうです。

これらの攻撃に関与する攻撃者は、「フィッシングやパッチが適用されていない脆弱性などを利用して、ITサービスプロバイダーを侵害する」などの手法でターゲットとなる組織のIT設備への侵入を試みる模様。また、これらの攻撃者は攻撃を検出されることを避けるために、使用するマルウェアに変更を加えることがままあるそうです。

さらに、ロシアの攻撃者は2021年3月頃からウクライナへのサイバー攻撃の準備を進めており、ウクライナのシステムへの足掛かりを得るためにウクライナ国内の組織やウクライナの同盟国に属する組織に対するサイバー攻撃を頻繁に実行してきたとMicrosoftは報告しています。また、ロシアがウクライナへの侵攻を始めたタイミングで、ロシアの攻撃者はウクライナの軍事的パートナーなどに対しても、サイバー攻撃を実行してきた形跡を見つけたとMicrosoft。

他にも、2021年半ばまでにロシアの攻撃者はウクライナだけでなくNATO加盟国へのアクセスを確保するために、ウクライナおよび海外のサプライチェーンベンダーを標的にサイバー攻撃を繰り返していたことも確認されています。2022年初頭にロシアがウクライナの国境沿いに軍備を展開した際、攻撃者はウクライナの組織に対してワイパー型マルウェアによるサイバー攻撃を実施。ワイパー型マルウェアによるサイバー攻撃はロシア軍による攻撃と密接に関与しており、ロシアによるウクライナ侵攻以降に複数回検出されていますが、Microsoftは「我々が検出したサイバー攻撃はウクライナを標的として実行されたサイバー攻撃のほんの一部にすぎない可能性があります」と指摘しており、これまで検出されていないサイバー攻撃の存在を示唆しています。

データを完全破壊するワイパー型マルウェア「CaddyWiper」がウクライナで見つかる、ロシアによる侵攻直前からこれで3つ目 - GIGAZINE

Microsoftによると、同社のセキュリティチームはウクライナの政府関係者や政府機関、民間企業のサイバーセキュリティスタッフと緊密に連携し、ウクライナに対して行われてきたサイバー攻撃の特定・対処に尽力してきたそうです。2022年1月にはMicrosoft内でサイバー攻撃に関する調査を担当するMicrosoft Threat Intelligence Centerが、ウクライナのネットワーク上でワイパー型ネットワークを検出し、ウクライナ政府に警告および調査結果をまとめたレポートを提出しています。その後、Microsoftはウクライナの主要なインターネット関連企業と協力し、同国上で使える安全な通信回線を確立することに尽力。これにより、ウクライナ政府・企業・組織がサイバー攻撃から身を守りながらインターネットを利用できる環境を構築することに成功しています。

Microsoftは「これまでのロシアの攻撃者の動向を考えると、ロシアとウクライナの戦争が激化するにつれ、ウクライナへのサイバー攻撃はよりエスカレートしていくと考えられます。ロシア政府関連の攻撃者は、ウクライナへの軍事支援を強化する国や、ロシア政府に対してより懲罰的な措置を講じることを決めた国への報復を担っている可能性があります」と指摘し、今後はウクライナだけでなくウクライナを支援する国々へのサイバー攻撃が過激化する可能性を示唆しています。

なお、ロシアによるウクライナへのサイバー攻撃に対処してきたのはMicrosoftだけではありません。アメリカ政府主導の極秘チームがロシアによるウクライナ侵攻のはるか前から、ウクライナのサイバーセキュリティを保護するための作戦を遂行しており、これにより100万人以上のウクライナ市民を助けることができたと報じられています。

ロシアの侵略前からウクライナのサイバー防衛のための極秘ミッションをアメリカが進めていたことが明らかに、すでに100万人の命を救ったとも - GIGAZINE