ウクライナ侵攻開始から1年間のサイバー攻撃を振り返る

トレンドマイクロでは世界各地で発生するサイバー攻撃について常にリサーチを行っています。ウクライナ侵攻では2022年2月24日の物理的な開戦に先駆け、2022年1月頃からサイバー上での戦いが激化しました。トレンドマイクロでは従来からロシアによる関与が指摘されるAPT（標的型攻撃）のIntrusion Set（標的型攻撃グループ）の活動についてリサーチをしてきましたが、2022年1月以降、ウクライナでの緊張の高まりおよび軍事侵攻に関連し得るサイバーの動向について特に注視してリサーチを続けています。本投稿ではそのリサーチ結果をまとめ、日本企業が得るべき学びについて述べます。

ウクライナ侵攻に関連するサイバー情勢概況

トレンドマイクロでは、ウクライナ侵攻に関連するとみられるサイバー上での活動を以下のように分類しリサーチを行っています。
•Sabotage：インフラ設備等の稼働を、ワイパー等を用いて妨害する攻撃
•Espionage：外交・軍事情報等を秘密裏に窃取する攻撃
•Influence Operation：SNSやメディアを通して操作された情報を流布し世論に影響を与える活動
•ハクティビストによる活動：サイバー上のコミュニティによる敵対国へのDDoS攻撃や情報窃取・暴露攻撃
ウクライナに対するサイバー攻撃は過去から激しく実施されているものの、2022年1月に入ってからより激化しました。ウクライナ国内の攻撃対象としては、政府機関や軍、メディア、インフラ等幅広い組織への攻撃がCERT-UA等より報告されています。ウクライナ以外の各国に対しても侵攻に関連するとみられるサイバー攻撃が発生しており、各国の侵攻に関連した動向をつかむ目的を持っている可能性があります。日本に対するウクライナ侵攻に関連するとみられるAPTについては、Microsoft社は日本も侵攻に関連するCyber Espionageのターゲットに含まれると指摘しています。
また、ロシア・ウクライナそれぞれを支援するハクティビスト（社会的・政治的な主張を目的としたサイバー攻撃を行う者・集団）によるDDoS攻撃や情報窃取・暴露攻撃も活発に行われています。ロシア系のハクティビストの一部は日本の組織へのDDoS攻撃を実施したことを主張しました。

侵攻開始以降のIntrusion Set（標的型攻撃グループ）による攻撃の主なタイムライン

Period	Description
2022.01（初旬）	Intrusion Set：Turla / Target：ウクライナ（参照）ウクライナのANDROMEDAマルウェアの被害者に対してKOPILUWAKおよびQUIETCANARYが配信された。コマンド＆コントロール（C&C）サーバは一旦登録が切れたものを再登録して利用。Espionageであるとみられる。
2022.01（中旬）	Intrusion Set：APT29 / Target：各国の外交機関（参照）外交機関を標的とし「BEATDROP」を用いたフィッシングキャンペーンが開始。ウクライナ侵攻に際する各国の反応を見積もる目的があった可能性。以後手法を微変更しながら継続。
2022.01.13	Intrusion Set：DEV-0586 (詳細不明) / Target：ウクライナ政府機関（参照）ウクライナ政府機関の多くのWebサイトがサイバー攻撃を受け、コンテンツの改ざんやマルウェアによるシステム破壊の被害を受けた。国民に動揺を与えることが目的であった可能性がある。
2022.02.23	Intrusion Set：Sandworm / Target：ウクライナ（参照） HermeticWiperと呼ばれるワイパーが発見された。同ワイパーの拡散用のHermeticWizardや、IsaacWiper、HermeticRansomといった破壊型マルウェアも同時期に発見された。
2022.02.24	Intrusion Set：Sandworm / Target：ウクライナ（参照） 2022年2月24日にウクライナにてViasat KA-SATモデムのワイプ被害が発生し、それには「AcidRain」と呼ばれるELF MISPワイパーが用いられとみられ、Sandwormに帰属する可能性がある。
2022.04~05	Intrusion Set：Sandworm / Target：ウクライナの電力会社（参照） Industroyer2とCaddyWiperがウクライナの高圧変電所に対して用いられたが、CERT-UAやMicrosoft社、ESET社の対応、および攻撃側の不備により停電には至らなかった。
2022.04	Intrusion Set：APT29 / Target：ポルトガル・オーストリア外務省等（参照）標的型メールを起点とし、Google Drive等をコマンド＆コントロール（C&C）サーバに悪用するバックドアへの感染に至らせる攻撃が発生。ウクライナ侵攻に対するEU各国の出方を偵察していたと推察できる。
2022.06	Intrusion Set：APT28 / Target：ウクライナ（参照） Follinaを用いてIMAP Stealerに感染させた。同国組織から各種認証情報を窃取し、さらなる侵害への利用や、機密情報窃取、またその暴露を実施するための作戦であったと考えられる。
2022.10.11	Intrusion Set：Sandworm / Target：ウクライナおよびポーランドの運輸および物流関連業界（参照）新種のランサムウェア「Prestige」を用いた攻撃が発生。ウクライナ軍への武器や燃料、食料等の物資補給路を縮小させ、戦況を好転させることを目的として実施したと推測できる。
2023.01.17	Intrusion Set：Sandworm / Target：ウクライナの国営報道機関「Ukrinform」（参照） TelegramチャネルでUkrinformを侵害したとする情報が公開された。同組織ではCaddyWiper等が発見された。ウクライナ国民や軍隊の士気低下を招く目的を持ったものであるとみられる。0.6

注目トピック

ウクライナ侵攻に関連し得るサイバー攻撃について、注目すべきトピックを抜粋して紹介します。
•Sabotage
SandwormによるIndustroyer2 / CaddyWiperを用いた電力網への攻撃：2022年4月8日に停電を引き起こす目的でIndustroyer2やCaddyWiperなどのマルウェアがウクライナの高圧変電所に対して用いられましたが、CERT-UAやMicrosoft社、ESET社の対応等により停電には至らなかったと報告されています。Industroyer2は2016年12月にウクライナの一部地域で停電を引き起こした際に用いられたマルウェアであるIndustroyerと類似していることから後継であることが指摘されています。

Industroyer（左）およびIndustroyer2（右）のログ出力ルーティン
類似点の一例：ログ出力時の文字列が類似していることが確認できている（トレンドマイクロのリサーチより）

Sandwormによるランサムウェア「Prestige」を用いたウクライナおよびポーランドへの攻撃：2022年10月14日、Microsoft社は同社のブログ投稿にて、ウクライナおよびポーランドの運輸および物流関連業界をターゲットにした、既存のランサムウェアグループのいずれにも関連しない新種のランサムウェア「Prestige」を用いた攻撃について報告しました。

トレンドマイクロでもPrestigeを解析し、Microsoft社の指摘通り、既存のものとは結び付かない新種のランサムウェアであると判断しました。一方、マルウェア内で使われている手法（例：上図で示すランサムノート表示の方法）から、「ランサムウェアを開発し慣れている主体が作成した」という印象を持ちました。したがって、Sandwormが既存のランサムウェアに何等かの形で関与する人物を雇い入れたか、あるいは組織外の人物や他の組織に新たなランサムウェアの開発を外注したことなどが推測できます。

SandwormによるWiperを用いたウクライナの国営報道機関への活動：2023年1月17日、Telegramチャネル「CyberArmyofRussia_Reborn」に、ウクライナの国営報道機関「Ukrinform」の情報通信システムを侵害したとする情報が公開されました。CERT-UAが調査を行い、1月27日時点で5種類のマルウェアや攻撃者が持ち込んだツールが発見され、これらのプログラムを配信する目的で、組織内のユーザやコンピュータを一元的に管理するためのグループポリシーオブジェクト（GPO）が用いられたことが判明しています。用いられたツールの一部は先述のIndustroyer2の攻撃の際に用いられたものと重複しているため、Sandwormの関与が指摘されています。

Telegramチャネル「CyberArmyofRussia_Reborn」への投稿内容

トレンドマイクロの分析では、ウクライナ国営メディアからの情報公開を阻害し、ウクライナ国民や軍隊の士気低下を招く目的を持った攻撃であるとみられます。また、「CyberArmyofRussia_Reborn」にSandworm自身が関与するか、少なくともSandwormと何らかの関係があるということになります。ロシア本拠とされるハクティビストやランサムウェアグループのほとんどは、犯罪者やロシアに愛国心を持つ市民により構成され、独自に違法な活動を行いつつロシア国家に常に何かしらの貢献を行い、時には直接的にロシア政府に協力することで、彼らの活動を黙認されているものとみられます。今回の投稿はそのような協力関係の中でなされたか、あるいはSandwormのThreat Actorの中に個人的に「CyberArmyofRussia_Reborn」に関与する人物がいた可能性があると推測しています。
ここまでに述べたようなSabotageに分類されるサイバー攻撃は、ウクライナの重要インフラや政府機関等のサービス提供を阻害することで市民生活や民意に影響を与えることや、ウクライナ軍への武器や燃料・食料等の物資補給路を縮小させ、戦況を好転させることを目的として実施したと推測されます。つまり、ミサイルの一種としてサイバー攻撃を用いていると言えます。一方、サイバー攻撃はミサイル攻撃と比較し、実際に相手に影響を与える確度が低いとも言え、以下のような意図を持ってSabotageに分類されるサイバー攻撃を実施していると推測します。
•苦戦を強いられ予算的にも厳しい状況にある中でのコストパフォーマンスを重視したオペレーション
•サイバー部隊が存在感をアピールするために実施したオペレーション
•軍事的な要所や補給路等への物理的なミサイル攻撃等と並行して実施されたマルチドメインオペレーション
•物理的な施設は残しつつ、可用性を奪って継戦能力に影響を与える意図を持ったオペレーション

•Espionage
NOBELIUMによるEnvyScoutを起点としたキャンペーン：SolarWinds社の製品を介したサプライチェーン攻撃を実施したIntrusion Set「NOBELIUM」は2021年2月頃から標的型メールを起点とした、広範囲をターゲットとする攻撃を継続しています。この攻撃では、標的型メールに記載されたリンク先、あるいはメールに添付されたHTMLコンテンツが「EnvyScout」と呼ばれるマルウェアであり、ここからISO（イメージファイル）がドロップされ、それをユーザがマウントし内包されるマルウェア本体を誤って実行することで感染に至ります。当該キャンペーンでは外交関連がメインターゲットとなってきており、2022年1月からは新たなキャンペーンが報告され、現在も継続しているものとみられます。2022年1月以降のキャンペーンにおいても標的は一貫して外交関連機関です。最終的に実行されるマルウェアは、Trello、Slack、DropBox、Notionなど正規なウェブサービスをC＆Cサーバ（Command and Control Server）として悪用し、ネットワーク管理者の目から活動を隠匿しようとします。

トレンドマイクロの観測において、当該事案に限らず最近はISOやVHDなどイメージファイルを感染フローの一部として利用する事例が増えています。
先述の通り、当該キャンペーンは2022年1月頃から2023年3月現在に至るまで、一貫して各国の外交機関をメインターゲットに据えて継続しているものとみられます。2022年1月というのは、ウクライナとロシアとの間での緊張が高まっており、またウクライナでロシアからであるとみられるサイバー攻撃が急増し始めた時期でした。時期や被害組織、関与が疑われる攻撃主体を鑑みると、ウクライナ侵攻への反応を見積もる目的で、各国の外交機関へサイバー攻撃を行っている可能性があります。

Gamaredonによる攻撃：このIntrusion Setは活動が観測され始めてからこれまで、殆ど一貫してウクライナの政府機関に対して集中的にサイバー攻撃を仕掛けてきたことで知られています。攻撃手法の洗練度は高くないものの、攻撃の目立ち度合いでは群を抜いています。Gamaredonは現在も複数の攻撃手法を併用してウクライナを攻撃し続けています。

Gamaredonはウクライナを集中的に攻撃するIntrusion Setですが、稀に日本などウクライナ以外の国で観測される場合もあります。また、洗練度は他のIntrusion Setに劣るとみられるものの、ウクライナにおける活発度が一番高いIntrusion Setの一つです。そのため、今後もトレンドマイクロではGamaredonの動向にも注視していきます。

•ハクティビストによる活動概況
2023年2月末で、ウクライナ侵攻開始から1年が経過しました。トレンドマイクロでは、ハクティビストが現在でも活発に活動していることを確認しています。ハクティビストの中にはロシアへの支持を表明しているグループも存在しており、流動的であるものの40以上のハクティビストを確認しています。多くのハクティビストは、メッセージアプリ「Telegram」を使用して、犯行声明の発表や情報の共有を行っています。

ロシア語を使用する主要なハクティビストとそのTelegramチャンネル

グループ名	チャンネル開設日	サブスクライバー数（2023/2/20時点）
NoName057(16)	2022/3/11	28,216
Anonymous Russia	2022/7/10	10,928
KillNet	2022/2/27	91,811
People’s Cyber Army	2022/4/1	6,542
Phoenix	2022/1/5	1,459

ハクティビストの攻撃手段として、よく使われているのがWebサイトに対するDDoS攻撃です。主な標的国にはウクライナに加えて、欧米を中心としたロシアの「非友好国」が挙げられます。標的となる組織の分野は幅広く、政府機関だけでなく、交通機関、金融機関、通信サービス会社といった民間企業も含まれています。中には、日本の組織への攻撃を実施したと主張しているハクティビストもいます。例えばKillNetは2022年9月、一部の政府系Webサイトや国内の動画サービス、旅行会社、SNS、交通インフラ企業などに対してDDoS攻撃を実施した旨をTelegramで発表しています。2023年に入っても、NoName057(16)というハクティビストが、日本国内の金融企業や交通インフラ企業などを標的にしてDDoS攻撃を実施したことを発表しています。

対策

ウクライナ侵攻に関連するとみられるハクティビストの活動やAPTは侵攻開始前から現在に至るまで確認され続けています。このような不安定な国際情勢が続く中で、日本の組織も、サイバー攻撃を受ける可能性が十分あることを認識しておく必要があります。今回のウクライナ侵攻において、日本は当事国ではありませんが、ハクティビストによる日本の企業や政府機関への攻撃はすでに確認できており、APTも一部報告されています。今後の状況によっては日本への攻撃が増える可能性もあります。

ウクライナ侵攻におけるサイバー攻撃を振り返って、日本の組織のセキュリティに活かすべきポイントは大きく2つあります。1つ目は「侵入を前提とした対策」です。これは、まさに当事国であるウクライナで取り組まれていることです。CERT-UAが報告している事例では、マルウェアが組織内に侵入はしているものの大きな被害は確認されておらず、被害を最小限に留めているケースもあります。日本の組織もこれに習い、組織にマルウェアが侵入してきたときに、如何に被害を最小限にできるかを意識することが重要です。そのためには、組織のレジリエンス（回復力・適応力）が鍵になります。万が一、自社が被害に遭ったときに適切な対応を取れるようになっているのか、定期的にレジリエンスにフォーカスした体制整備の状況を把握しておくことが必要になっています。

2つ目の「サプライチェーンセキュリティの強化」は、自社だけの取り組みでは終わりません。APTではサプライチェーンの弱点を狙う攻撃が一般化してきています。事実、日本でも機密情報窃取を試みるサイバー攻撃の中で海外拠点への侵入から国内拠点への水平移動などが平時から観測しています。自社が攻撃を受けている可能性もしくは受ける可能性がある情報を得た場合は、自社の取引先や関連会社などのサプライチェーンを棚卸した上で、サプライチェーン全体で対策に抜け漏れがないかなどを改めて確認することを推奨します。

本記事は、トレンドマイクロ　サイバーセキュリティ・イノベーション研究所　スレット・インテリジェンス・センターのリサーチ情報を元にしています。
スレット・インテリジェンス・センターの取り組みはこちら
ウクライナ侵攻開始当初のリサーチはこちら