ウクライナに対するサイバー攻撃の教訓と今後の予測
クラウドベースのエンドポイント、クラウドワークロード、アイデンティティ、データ保護の業界リーダーであるCrowdStrike, Inc.(Nasdaq:CRWD、日本支社:東京都港区、以下「CrowdStrike」)は本日、ウクライナの関係機関に対してこれまでに実行された主要な破壊的な出来事について評価し、この地域において今後発生する可能性の高い攻撃形態や結果に関する予測をブログで紹介します。
少なくとも2014年以降、ウクライナの様々な機関が、ロシア政府とのつながりを持つ、あるいはロシア政府が統制している可能性の高いグループからのサイバー攻撃の脅威にさらされています。エネルギー、運輸、国家財政など、ウクライナの複数機関に損害をもたらすことにより、同国の政治的なプロセスを操作し、国内ビジネスに打撃を与えることが目的だと思われます。
これらのオペレーションは半否認可能な方法で実行され、意図されたメッセージが標的の組織に確実に伝わるように、可能性のある攻撃者への疑いを喚起するのに十分な証拠を提供する一方で、活動の起源をわかりにくくしています。CrowdStrikeは、判明しているウクライナに対する攻撃オペレーションの大半を、VOODOO BEAR(GRU:ロシア連邦軍参謀本部情報総局が管理している可能性が極めて高い攻撃者)によるものと考えています。
攻撃オペレーションの影響が、最初に標的になった組織のみに制限されることはほとんどありません。コンピューターネットワークの崩壊による直接的な二次的被害、あるいは組織が日々の業務を頼っている重要なビジネスサービスの中断による間接的な二次的被害が発生しています。これまでの活動の分析から、一見局所的な標的が、ウクライナ国外の組織に意図しない影響を及ぼしたケースがいくつか確認されています。
2022:複数のキャンペーンステージを用いたハイブリッドオペレーション
2022年1月のレポートでは、CrowdStrikeがWhisperedDebate活動クラスタとして追跡している、ウェブサイト改ざんおよび、ウクライナ政府ネットワークに対するWhisperGateワイピングオペレーションに関与する攻撃者が、引き続き国家機関を混乱させようとしていることが示されています。CrowdStrikeのインテリジェンスチームは現在、WhisperedDebateを既に命名した攻撃者(VOODOO BEARなど)と紐づけてはいません。ただし、過去のオペレーションとの高い類似性に加え、標的がウクライナに絞られていることや、活動の時期から、ロシアとつながりを持つ攻撃者や、利害関係の一致するグループによる攻撃であることが強く示唆されます。
ウクライナ政府の公式声明からは、今回のオペレーションの範囲が、VOODOO BEARの2017年のキャンペーンと比較して限定的であることが読み取れますが、これが攻撃者による意図的なものなのか、それとも彼らのオペレーションが困難だった結果であるのかは不明です。しなしながら、採用されたマルウェア配信ベクトルが手動である可能性が高いこと、政府ネットワークを標的に絞っていること、そしてITサービスプロバイダーに対する他の破壊的攻撃がおそらく初めの侵入ベクトルの証拠を隠す目的で実行されていることから、今回の限定的な影響範囲は意図的であることがうかがえます。
CrowdStrikeは、複数の政府組織がWhisperedDebateキャンペーンの標的となった直後に、それらの組織から取得したとみられるデータの配布を試みる動きをいくつか確認しています。これは、ウェブサイト改ざんのメッセージでなされた主張を裏付けるものです。これらの出来事のつながりは、このブログの執筆時点ではまだ不明瞭のままですが、ハクティビストや犯罪の動機を持つ複数のペルソナが、データ漏洩の証拠を提示しています。これは、ネットワーク侵害時のデータ取得を否定するウクライナ政府の度重なる声明に反して、個人識別情報(PII)を連続的に公開するIOキャンペーンを実行する試みを示唆しています。これらの試みは、侵害に効果的に対応する政府の能力に対する国民の信頼を損なうことを目的としている可能性があります。
このIOの使用は、CyberBerkutおよびSprutグループのペルソナがウクライナ組織の個人データを同時に公開した、以前のVOODOO BEAR TTPsを反映したものです。WhisperedDebateの活動では、公にさらされる形でのウェブサイト改ざんが導入されており、メディアに取り上げられ増幅されやすいという、このオペレーションの新たな一面を形成しています。
評価
ウクライナの組織に対するVOODOO BEARによる破壊的オペレーションが長期にわたって続いていることは、現地の人々に対する心理作戦を実行する意思を示しています。これは、国家安全保障とポピュリスト政策を背景にウクライナに影響を与えるための、ロシア政府による継続的な取り組みを表します。
これらのオペレーション、およびそのオペレーションの意図する効果は、最終的にはウクライナに関するロシア政府の全体戦略を補完するものになります。明白な外交的取り組みや軍事行動と特に関連しているようには見えませんが、代わりに、ウクライナ国内の緊張を選択的に増大し、ウクライナ政府機関に対する国民の信頼を損なわせるために使用する別個のツールとして意図されている可能性があります。これらの行動の正確な結末は不明ですが、西側諸国との親密なつながりを拒否するよう国民に強制すること、ロシアにとって都合の良い新しいリーダーシップを確立すること、あるいは、2014年のクリミア併合に似た軍事行動を準備することなどが、意図される結果として考えられます。
CrowdStrikeは、ウクライナに対する今後の攻撃オペレーションは、ランサムウェアを装った破壊的ワイピング攻撃の形態をとる可能性が高いと予見しています。この評価は、技術的TTPsに連続的な進展が見られること、および、この種類のオペレーションでは目的の破壊的効果を達成し、意図を明確に伝達するとともに、攻撃の直接的責任を回避できるという認識に基づき行われたもので、信頼度は中です。
将来的には、ハイブリッドオペレーションの一環として、ネットワーク侵害で盗まれたPIIなどの機密情報をロンダリングして公開し、ウェブサイト改ざん活動を通じてメディアの関心を誘発するIOキャンペーンの同時使用も発生する可能性があります。この数年で使用されておらず、標的組織への影響が持続することのまずないDoS攻撃が、今後のキャンペーンで見られる可能性は低いと思われます。DoSは、ワイピング攻撃などの他の攻撃アクションと組み合わせて使用される、あるいは、ハクティビストコミュニティ内における信頼強化のために使用される可能性が高くなっています。
NotPetyaの拡散などのこれまでの出来事の観察に基づくと、ウクライナに対する破壊的攻撃の影響は広範になる可能性が高く、ウクライナ国外を拠点とする組織にも影響が及ぶ可能性があります。特に、ウクライナ国内で子会社を運営する会社や、ウクライナの組織と相互接続されたネットワーク資産を有する会社が、二次的被害を受ける可能性があります。おそらくNotPetyaの意図しない重大なフォールアウトを原因として、制約のないマルウェア伝播の範囲を制限しようとする後続のオペレーションが発生したことを示唆する証拠もありますが、この評価の信頼度は中です。破壊的攻撃による直接的な影響以外では、ウクライナの物流ネットワークに依存する組織も、ウクライナの輸送機関の一部を標的とする今後の破壊的攻撃の影響を受ける可能性があります。
米国やヨーロッパ諸国など、ウクライナのロシアに対する立場を支持する国に拠点を置く組織などの、ウクライナ国外の組織を意図的に標的とする破壊的攻撃の可能性を否定することはできません。これには、国際的な緊張関係を著しく助長するリスクや、他国の政府による直接的な報復措置を含む制裁措置のリスクが存在するため、そのようなことが起こる可能性は低いと評価されていますが、ウクライナ国内で運営する国際企業が偶然にも標的となった場合、ロシアとつながりを持つ攻撃者にこれを利用され、事業運営や投資の停止が促され、現地経済の不安定化につながるおそれがあります。
CrowdStrike Intelligenceによる信頼度評価
高信頼度:複数のソースからの高品質な情報を基に判断されています。判断の裏付けとなるソース情報の質と量に対する高い信頼度は、評価が絶対的に正確であることや、事実情報であることを示すものではありません。判断に誤りがある可能性はわずかながら存在します。
中信頼度:確かな筋からの妥当な情報を基に判断がなされていますが、量や裏付けが不十分であり、高信頼度の保証ができません。この信頼度レベルは、さらなる情報が利用可能になるまで、あるいは情報の裏付けがなされるまでに、判断に誤りが含まれる可能性が少なからずあることを示します。
低信頼度:ソースの信ぴょう性が不明である状況、情報の断片化や裏付け不足が著しく、確度の高い分析的推測を行えない状況、ソースの信頼性がテストされていない状況で判断がなされています。情報の裏付けのため、あるいは既知のインテリジェンスのギャップを埋めるために、さらなる情報が必要です。
※この資料は、米国時間2022年1月28日に発表されたCrowdStrikeのインテリジェンスチームによるブログの一部抄訳です。全文はこちらをご覧ください。
CrowdStrikeについて
CrowdStrike Holdings Inc.(Nasdaq:CRWD)は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業におけるリスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security CloudとワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンス、複雑さの低減、短期間での価値提供を実現します。
CrowdStrike: We Stop Breaches
詳細はこちら: https://www.crowdstrike.jp/
ソーシャルメディア: Blog | Twitter
無料トライアル: https://www.crowdstrike.com/free-trial-guide/
© 2022 CrowdStrike, Inc. All rights reserved. CrowdStrike、Falconのロゴ、CrowdStrike Falcon、CrowdStrike Threat Graphは、CrowdStrike, Inc.が所有するマークであり、米国および各国の特許商標局に登録されています。CrowdStrikeは、その他の商標とサービスマークを所有し、第三者の製品やサービスを識別する目的で各社のブランド名を使用する場合があります。