ウクライナ侵攻とサイバー攻撃～日本企業が行うべき対策～

ウクライナ侵攻とサイバー攻撃2022年2月24日、ロシアはウクライナの軍事施設に対する攻撃を始めたと発表し、ロシアによる軍事侵攻が始まりました。物理的な激しい戦闘が行われている中で、サイバー空間でも両国の政府や企業へのサイバー攻撃が確認されています。

実は、この両国間で確認されているサイバー攻撃と類似する攻撃が、平時の日本でも行われています。中には、機密情報の窃取や物理的なシステムの破壊を行う攻撃もあり、経営を揺るがすような悪影響を受ける場合も想定されます。

また、ウクライナ侵攻に際して、経済産業省から昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起が出ており、サイバー攻撃事案の潜在的なリスクが日本においても高まっていることが示唆されています。

今回の記事では、ウクライナ侵攻におけるサイバー攻撃の事例を元に、日本企業が晒されているサイバー攻撃との類似点を見ながら、行うべきサイバーセキュリティ対策について解説していきます。

ウクライナのセキュリティインシデント対応組織「CERT-UA（Computer Emergency Response Team of Ukraine）」の発表情報では、侵攻する直前の2022年1月からウクライナの政府機関などがサイバー攻撃を受けていたとされています。

主な攻撃として
・遠隔で大量のアクセスを発生させることで、企業や政府機関のWebサイトやサーバをダウンさせる「DDoS攻撃」
・標的組織のネットワークへ侵入することで機密情報の窃取やインフラの破壊を試みる「標的型攻撃」

が行われています。

企業や政府機関のWebサイトやサーバをダウンさせる「DDoS攻撃」

DDoS攻撃とは、Distributed Denial of Service攻撃の略称です。遠隔操作マルウェア（ボット）に感染したコンピュータやIoT機器などを踏み台にすることで、大量のアクセスを発生させます。その結果、負荷増大で耐えきれなくなった企業のWebサイトやサーバがダウンします。ウクライナ侵攻では、ウクライナ、ロシア双方がDDoS攻撃による被害を受けているとの報道も出ています。DDoS攻撃は過去日本でも確認されており、大規模なものだと、政府機関や日銀などが被害を受けています。

DDoS攻撃の目的は、サービスそのものを停止させる以外に、金銭目的の脅迫も考えられます。「金銭を支払わなければDDoS攻撃を実行する」と脅迫してくるものです。世界各地でこのような脅迫が行われており、過去には、JPCERTからも国内組織においても被害の報告が寄せられたとして注意喚起が行われています。

DDoS攻撃は基本的には「物量」による攻撃です。対策として考えるべきことは、どこまでの負荷に耐えられるようにしておくか、になります。DDoS攻撃も含め、急激な負荷上昇に耐えられるための仕組みとしてはCDN（コンテンツデリバリネットワーク）などのサービスがあります。また例えばSYNフラッド、UDPフラッドなど特定の攻撃手法に対しての技術的対策などもありますので、事前にDDoS 攻撃の影響を受ける可能性のあるシステムの特定およびリスクの評価を行った上で、許容可能な範囲の攻撃を予測し、それにあった対策を導入しておくことが必要です。

機密情報の窃取やインフラの破壊を試みる
「標的型攻撃」

（CERT-UAより引用　https://cert.gov.ua/article/18273）

標的型攻撃は、重要情報の窃取などを目的として特定の法人組織に対象を絞って継続的に行われるサイバー攻撃です。標的型攻撃の侵入方法の一例として、図2のような組織を詐称した標的型メールが挙げられます。このようなメールの添付ファイルあるいは記載リンクからのファイルダウンロード・実行により、バックドア型のマルウェアに感染に至ります。この攻撃では、感染したPCが知らぬ間に遠隔操作されることで、情報窃取被害が発生します。攻撃が秘密裏に行われることから、攻撃とその被害自体に気づくことができない場合もあります。

また、標的型攻撃は情報の窃取だけではなく、システムや端末の破壊を試みる場合もあります。実際に、CERT-UAは、複数の破壊型マルウェアを発見しており、サイトでマルウェアの詳細を公表しています。その中には高圧変電所などのエネルギー関連施設に対する攻撃も確認されており、重要インフラの関連システムを破壊する意図で送り込まれたものではないかと推察されます。

図3　CERT-UAが被害を公表している破壊型マルウェア「BootPatch」の感染画面

図3の「BootPatch」の感染画面では、OSが起動せずにランサムウェアに似せた脅迫画面が表示されていますが、OS自体はすでに破壊されているため金銭を支払ったとしてもシステムは元に戻りません。標的型攻撃では、このように本来の目的を隠蔽するために金銭目的のように見せかけるような手法も取り入れられています。そのため、実際に攻撃を受けた場合には、表面的な情報だけで攻撃者の目的を判断するのではなく、攻撃の真の目的を推察し、対処や対策を検討することが重要です。

トレンドマイクロのリサーチでは、現在の平時の日本においても、標的型攻撃が観測されています。また、日本の組織が過去に狙われた事例として、宇宙航空研究開発機構（JAXA）などの組織における機密情報が狙われたと警視庁などの政府機関が2021年に発表しています。

近年、標的型攻撃の侵入方法として、VPN（Virtual Private Network）などの外部ネットワークとの接点となる機器やプロトコルの脆弱性や意図せず公開していたサービスが狙われた事例が日本でも目立っています。これらのシステムを利用している企業へは、VPNなどのネットワーク機器の脆弱性対策や、本来露出すべきでないサービスが意図せず外部へ公開状態になっていないかなどの基本的な対策の確認を行うことが求められます。

日本企業のサイバーセキュリティ対策に
活かすべきポイントは？ウクライナ情勢などをめぐって、すでに経済産業省などの省庁からは「現下の情勢を踏まえたサイバーセキュリティ対策の強化について」という注意喚起が行われています。このような脅威の高まりが示唆される中で、日本企業はサイバーセキュリティ対策をどのように考えていく必要があるのでしょうか。ここからは、今回のウクライナ侵攻におけるサイバー空間の脅威を鑑みて、日本企業のサイバーセキュリティ対策に活かすべきポイントを解説します。

侵入を前提とした対策ウクライナ侵攻において、CERT-UAの公表からは、マルウェアの組織内ネットワークへの侵入は許しているものの大規模な被害には至っておらず、早期に発見・ブロックできていることがうかがえます。昨今、このような侵入を前提とし、被害に繋がらないためや迅速に復旧（レジリエンス）するための対策の重要性が高まっています。標的型攻撃は巧妙化、複雑化が進んでおり、侵入を完全に防ぎきることが難しくなっているためです。

こうした状況下では、入口の対策だけではなく、出口・内部対策による「多層防御」による侵入を前提とした対策が必要になります。この対策ができていれば、万が一、侵入を許したとしても、脅威を早期に検知することができます。これにより、マルウェアによる情報窃取や破壊を未然に阻止することも可能になります。

具体的には、エンドポイント検知・対応 (EDR)やクロスレイヤーの脅威検知・対応（XDR）といったソリューションによって脅威を可視化することで、不審な活動の調査を迅速かつ効率的に実施することができます。

トレンドマイクロが提供するEDR・XDR

「サプライチェーンセキュリティ」の強化

その他、ウクライナ侵攻に関連するサイバー攻撃ではこのような攻撃手法は確認していませんが、標的型攻撃で用いられる攻撃手法の1つとしてサプライチェーンを経由した攻撃が挙げられます。トレンドマイクロでも、海外拠点への侵入から国内拠点への水平移動によって侵入を試みる攻撃を日本でも観測しています。さらには、委託先企業がサイバー攻撃などを受けることによって、取引先から委託された情報が漏洩してしまうケースや工場の生産が停止したケースも近年日本で多発しています。これらの攻撃は、自社のセキュリティレベルがどれだけ高くても、防ぐことは難しいため、サプライチェーン全体でセキュリティレベルの向上が必要になります。

特に有事の際は、市民生活にかかわる重要インフラや基幹システムが狙われることになります。そのため、インフラにおけるサプライチェーンのセキュリティレベルの向上は、国防や安全保障という意味合いでも大変重要になってくるかと思われます。

まとめ企業のサイバーセキュリティを考えていくにあたり、社会情勢や地政学的な要素がサイバー空間上のリスク、ひいては経営リスクにも繋がっていると認識して対策を講じていく必要が出てきています。その上で、自社が抱えるリスクの大きさをできるだけ早期に的確に把握し、リスクへの対応を適時行うといったことの繰り返しが非常に重要になってきます。

ウクライナ侵攻におけるサイバー空間の脅威を他山の石として、対策に役立てていくとともに、必要に応じて関係機関やセキュリティ組織と連携しながら、体制づくりを検討していくとよいでしょう。