2022年2月のウクライナ侵攻開始の前後には、ロシアによるサイバー偵察の進展が観測され、情報通信の機能破壊と影響工作、軍事行動拡大のための重要インフラ侵害が試みられていた。その被害者の多くは、ウクライナの民間企業と国民だった。ここから日本の民間企業は、近い将来発生すると言われる日本周辺の有事に重ね、現実の事態を想定した「脅威に適合した対策の整備」を行う必要がある。ここではロシアによるサイバー攻撃の実情と、そこから得られた教訓について具体的に紹介していく。

※本コンテンツは、2022年8月2日に開催されたJBpress/JDIR主催「第1回サイバーセキュリティフォーラムDay2」の基調講演「ウクライナ情勢から得られた、国家間の緊張の高まりと衝突から起こる、民間企業へのサイバー攻撃の実状」の内容を採録したものです。

ウクライナ侵攻前、潜在的なサイバー攻撃が段階的に活性化

 2021年4月から、ロシアが「世界中の企業や政府を標的にしたサイバー侵入」を行っていたことについてはMicrosoftが詳細なレポートを発表している。そこで使用された攻撃ツール、マルウェアが2020年に米国で発生したソーラーウィンズ社への攻撃時のものに非常に近く、また窃取されたデータの多くがロシアの利益につながっていた。

 サイバーディフェンス研究所 専務理事/上級分析官の名和利男氏は、この攻撃グループについて、「一流のOPSEC(作戦セキュリティ)と高度なトレードクラフト(秘密裏に相手に気付かれないようにやり取りを行うためのツール)を持っていた」と明かす。その上で、彼らの行動特性と能力についての分析を紹介し、「OPSECやトレードクラフトは軍事用語ですが、企業の情報セキュリティの世界でも、このような言葉を使わざるを得ない状況まで、脅威が進展しているのです」と述べた。

 さらに2021年10月からは、ロシアがウクライナに対するサイバー偵察を強化し、政府や軍、NGO、司法、法執行機関、非営利にまたがる組織が標的とされ、そこには重要な民間企業も含まれていた。また、その手口は想定以上に進化しており、アンチウイルスによる検知回避を優先したものとみられた。ここから得られた教訓は、「もはや従来のサイバーセキュリティ対策では検知困難であり、守る側は既存の『想定脅威』を引き上げて、それに適応したセキュリティコントロールを実装および維持する必要がある」ということだった。