2022年2月24日(木)
著者:カウンター・スレット・ユニット(CTU™)リサーチチーム
最終更新日:2022年5月11日
※本記事は、https://www.secureworks.com/ で公開されている Secureworks FAQ: Russian Activity in Ukraine を翻訳したもので、 2022 年 5 月 11 日執筆時点の見解となります。
概要
2022年2月24日、ロシアがウクライナへの軍事侵攻を開始しました。その前日(2/23)には、ウクライナの行政機関や金融機関に対する分散型サービス拒否(DDoS)攻撃、ウェブサイトの改ざん、データ消去マルウェアによる攻撃が継続的に発生していました。同様の攻撃は、1月中旬(データ消去マルウェアWhisperGateなど)および2月上旬にも発生しています。
Q. セキュアワークスの顧客に対して、どのような脅威があるのか?
ロシアの軍事作戦にはサイバー作戦も含まれていると考えられます。たとえば、ウクライナの通信ネットワークや重要インフラを妨害するためのサイバー攻撃なども起こり得ます。通常、こうしたサイバー作戦は標的が絞られているため、ウクライナ国内の基幹サービスに依存している顧客以外は、影響が及ぶ可能性は低いと考えられます。
英米を始め欧州諸国は、さらなる経済制裁などの対応に踏み切ることが考えられます。その報復として、ロシア政府を後ろ盾とする攻撃グループや親ロシア派の独立系攻撃グループが、制裁に関与した西側の組織に対してサイバー攻撃で応戦する可能性もあります。
Q. 顧客側がするべきことは?
ウクライナのセキュリティ状況が急激に悪化していること、およびサイバー攻撃の拡大スピードの速さを踏まえ、当社のお客様には、ウクライナを拠点とする事業運営を社内のグローバルネットワークから論理的に分離することの検討を強く推奨します。たとえば、仕入先やビジネスパートナーのウクライナ拠点とのVPN常時接続の遮断、ネットワークのリモート共有を遮断するなどの対策が可能です。ウクライナで事業を運営されている場合は、停電や、事業活動に必要なサービスの停止などに備え、業務を継続できるよう対策を講じてください。
西側諸国の制裁や軍事対応への報復攻撃の可能性を踏まえ、皆様には以下の自衛策をお勧めします。
- ランサムウェアまたはデータ消去マルウェアによる攻撃に備え、事業継続計画および事業復旧プロセスを再確認しておくこと。
- 基本的なセキュリティ対策(インターネット上に公開されているシステムにパッチを適用し既知の脆弱性を防ぐ、ウイルス対策ソリューションの導入およびメンテナンスを行う、エンドポイント検知・対応ソリューションのデータを監視するなど)を怠らないこと。
- 米国務省またはそれに相当する各国の政府機関・外務省が公布する勧告に注意し、その内容に従うこと。
Q. セキュアワークスはどのような対策を講じているのか?顧客はどのような保護を受けられるのか?
当社のカウンター・スレット・ユニット™(CTU™)では、ロシアの攻撃グループの動向を長年追跡しており、当該グループが用いる攻撃ツールや手法に関する幅広い知識、および攻撃を検知するための対策プログラムを蓄積しています。該当する攻撃グループの詳細は当社ウェブサイトwww.secureworks.com/research/threat-profilesに公開しています。
特定の組織におけるセキュリティ統制フレームワークの具体的内容を反映した詳細なガイダンスのご提供は難しいため、そのようなレポートはご用意できません。当社CTUによる推奨策やアドバイスを今一度ご確認いただき、自社環境に合った形で適用していただけますようお願いします。当社が管理するセキュリティコントロールサービスには、CTUが導き出したインテリジェンスが各種対策プログラムや既知の脅威インディケーターという形で反映されるため、有効な対策としてご活用いただけます。また、何らかの攻撃活動が検知されたお客様には通常のエスカレーション手順に従ってアラートを送信します。
Q. ウクライナやロシアから自社のネットワークに流入する通信内容への警戒レベルを引き上げてもらうことは可能か?
はい。セキュアワークスではウクライナ情勢を踏まえ、すべてのお客様に対して警戒態勢を強化して監視しています。疑わしいイベントが発生したお客様には、現行のエスカレーションプロセスに従ってアラートを送信します。なお、サイバー攻撃は攻撃者のいる地域とは別の地域から実行されることも多いため、トラフィック発生国別の制限(ジオブロッキング)は防御対策として効果的ではありません。ただしCTUリサーチチームでは今後とも、脅威インディケータが判明する都度、当社のセキュリティコントロールサービスに適用していきます。
Q. オーストラリアなど、ウクライナ以外の国でDDoS攻撃が発生したとの報道があるが、今回の情勢と関連しているのか?
西側諸国による軍事対応や経済制裁への報復攻撃が発生する可能性もあります。当社では、「ロシアは西側諸国とのサイバー攻撃の応酬を望んでおらず、あくまでも西側諸国やNATOの介入を極力回避しながらウクライナ国内で軍事目的を達成することが狙いだろう」と考えています。それでも、ロシア政府とは別に単独で活動する親ロシア派の攻撃グループが、DDoS攻撃などの壊滅的なサイバー攻撃を仕掛けてくる可能性はあります。各組織、とくに西側諸国による制裁実施に関与する組織の皆様は、厳戒態勢を怠らないようにしてください。
Q. ロシアと関係ない攻撃グループが今般の情勢を利用し、便乗攻撃を仕掛けてくることは考えられるか?
その可能性はあります。現在発生している脅威のなかでも、侵入型ランサムウェア攻撃は多くの組織にとって依然、最も警戒すべき対象と考えられます。政府を後ろ盾とする攻撃グループに標的とされている組織は、今後も継続して標的となる恐れがあります。今回の情勢をフィッシングや他のソーシャルエンジニアリング手法に使用する攻撃グループも出てくるかもしれません。これらは多くの組織にとって引き続き重点的に対策が必要な脅威であり、組織横断的な厳戒態勢を維持することが必要です。しかしながら、ウクライナ情勢にあまり振り回されすぎないようにすることも重要です。
Q. 対策プログラムは、どのようなセキュリティコントロールサービスに反映されるのか?
当社のカウンター・スレット・ユニット(CTU)では、今般の情勢に特化した脅威への対策プログラムを40種類以上開発しました。このほか、従来型の様々な脅威を検知・防御するための対策プログラムも豊富に取り揃えています。これらの対策プログラムは、当社の脅威対策プラットフォーム(CTP)およびTaegis™プラットフォームの検知機能全体に反映されています。具体的には、エンドポイント向けのRedCloak™、TaegisおよびCTP、ネットワークベースのシグネチャー(iSensorなど)をはじめとするセキュリティコントロールサービスに、新たな対策プログラムが取り込まれています。
Q. シグネチャーの実装にはどの程度の期間がかかるのか?
当社では引き続き監視を強化し、新たな脅威を特定次第、対策プログラムとして提供できるようCTU一同尽力しています。お客様やパートナー各社と密に連携し、ネットワーク防御に役立つと思われるすべての情報を取り入れ、導き出された洞察をCTPやTaegisの対策プログラムという形で展開していきます。開発に必要な期間は、今般の情勢特有の様々な変動要素によって左右されます。たとえば、特定の脅威に関し現在持ち合わせている情報の網羅性、情報の精査・裏付けにかかる時間、プラットフォーム別に検知機能を作成するための期間などによって、開発リードタイムが異なります。こうした開発作業は時間を要するものですが、正確な検知機能をいち早く実装できるよう、CTU一同全力で取り組んでいます。
Q. セキュリティコントロールサービスはすべての顧客に開放するのか、または一部顧客限定なのか?
当社の目標は、保護対策をできる限り広範囲に浸透させることです。したがって、対策プログラムは可能な限り多くのお客様やパートナーの環境に開放しています。つまり、今般の情勢を受けて開発されたあらゆる対策プログラムは、可能な限りすべてのお客様環境に適用済みです。
Q. ロシアとウクライナのIPアドレスをすべてファイアウォールで制限するという手段(ジオブロッキング)は効果的か?
特定の国や地域から発信されるトラフィックを受信する必要がない組織にとって、当該国や地域のIPアドレスをすべてブロックしても害はないでしょう。また、ネットワーク上の「ノイズ」を軽減できる可能性もあります。ただし、これだけでは効果的な防御策とは言えません。最初は効果があったとしても、比較的簡単に迂回されてしまいます。
攻撃者は通常、世界各地に散在するインフラを使います。その理由は、攻撃元を特定しづらくするため、正規のトラフィックにまぎれ込ませるため、高速で信頼性の高いインターネットインフラを活用するため、など様々です。実際、標的型攻撃のほぼすべてが、攻撃者の拠点とは異なる国のネットワークトラフィックを経由しています。より厳格な防御策として、ブロック型よりも、許可リスト型の対策(承認を受けた既知のインターネットリソースによるトラフィックのみを許可する)の検討をお勧めします。
Q. 今回の危機に関連する脅威インディケーターはどこで確認できるか?
当社では、独自のリサーチおよび外部機関からの報告をもとに今般の情勢に関する脅威を検証し、インディケーターとして一覧化しています。最新版リストは、https://github.com/secureworks/ukraine-crisis/blob/master/ukraine-crisis-iocs.tsvに公開しています。しかし、今後発生するサイバー活動では、これまで確認されていない新たなツールやインフラが使われる可能性が非常に高いため、ご注意ください。インディケーターレベルだけでなく、ふるまいレベルまで特定できるセンサーを搭載したエンドポイント監視・侵入検知システムなどのセキュリティ対策を整備することが重要です。これにより、インディケーターリストだけに頼らず、より効果的かつ永続的な形で組織を守ることができます。
Q. セキュアワークスでは、これまで確認された状況にもとづいて脅威ハンティングを実施しているのか?
当社では、お客様からご提供いただいたデータに対し、2月23日に確認されたデータ消去マルウェアを用いた攻撃をはじめとした、当社のインテリジェンスに基づく既知の脅威をさかのぼって調査しました。当該脅威を検知可能な対策プログラムが開発されるまでは、こうした遡及的調査を継続する予定です。今後とも新たなインテリジェンスを収集するたびに、このような形で脅威インディケーターを調査し、新たな対策プログラムに落とし込んでいきます。
Q. ウクライナ以外の国や地域の組織にとって、報復攻撃のリスクはどの程度あるのか?
西側諸国による制裁や、親ウクライナ派の攻撃グループによるロシアの法人/団体へのサイバー攻撃によって、西側諸国の組織への報復攻撃が発生する恐れがあります。たとえば、ランサムウェア攻撃グループのGOLD ULRICK(RaaS型スキームに使われるランサムウェアContiの運営元)などは、「ロシアを守るために」持てる能力すべてを行使する、と宣言しています。もちろん現実的には、こうした金銭目的の犯罪集団はすでにあらゆる手を使ってロシア以外の組織を恐喝し、金銭の搾取を試みています。つまり脅威自体はこれまでと変わりません。組織の自衛策としては、今後とも警戒を怠らないこと、事業継続計画を再確認すること、および基本的なセキュリティ対策(パッチ適用、多要素認証、エンドポイント検知・対応)を徹底することが重要です。
Q. ロシアで事業展開している顧客に対しては、どのような影響が想定されるか?
いくつかの要素が関係します。1つ目は、米国やEUなどが実施した経済制裁により、ロシアで事業展開する組織に影響が及んでいるという点です。組織におかれましては、制裁の内容を十分確認し、自社にとっての影響有無を判断されることをお勧めします。また、現地のサービス提供パートナーの対応方針は、これまで公表されている/今後発表される制裁内容次第で見直される可能性があります。パートナー各社がリリースする最新情報や発表内容も注視してください。
2つ目は、ロシアが独自の対抗措置を発動する、またはロシアに物理的な拠点をもつ組織やロシア市場向けに販売活動を行っている組織に影響が及ぶような法案可決を試みる可能性が高いという点です。法改正案として、ロシアから撤退する企業の資産押収などが検討される可能性があります。ロシア国内に従業員を擁する皆様は、「ウクライナにおけるロシアの活動」に関してロシア政府と異なる見解を表明した場合に刑事訴追を受ける恐れがあることに充分留意してください。
3つ目は、ロシアはこの数年、ITサプライチェーンやインターネットインフラよりも、情報統制を重視してきたという点です。2019年に施行されたインターネット主権法などは、その一例です。ロシア国外のインフラや外部プロバイダーへの依存度を最小限に抑え、インターネット環境におけるロシア国民の活動を制限するこの動きは、今般の情勢によってさらに強化される可能性が高いでしょう。先ほどと同様に、データ主権を目論むロシア政府の動向が、どのような影響を及ぼすのかは不明です。しかし、サービス提供やサプライヤー選定に関するロシア国内の規制などにより、ロシアで事業活動する組織にも影響が及ぶことは十分あり得るでしょう。
ロシアでの事業活動を継続される予定の皆様は、ロシア政府による制裁対抗措置や法律施行を踏まえ、従業員の安全確保、資産の保全、現在利用しているサービスの継続的調達ができるよう、最低限の対策として事業継続計画および各種バックアッププラン(代替オプション)を検討しておいてください。
Q. FoxBladeは、ウクライナで展開されている新種のデータ消去マルウェアなのか?
FoxBladeとは、MicrosoftのMicrosoft Defender Anti-virusにおける検知名であり、2022年2月28日付の同社ブログで言及されています。当社CTUリサーチチームは、FoxBladeのシグネチャーでデータ消去マルウェア「HermeticWiper」が検知されることを確認しました。Microsoftはすでに認識済みかもしれませんが、Microsoftが提供するFoxBladeのシグネチャーを使うと、HermeticWiperに関連する別のコンポーネントも検知できる可能性があると言えます。ただし、当社CTUリサーチチームでは、FoxBladeはHermeticWiperと全く異なるデータ消去マルウェアであるという確証は得られていません。
Q. 「ハクティビズム」の台頭により、セキュアワークスの顧客にどのような影響が及ぶと思われるか?
ロシアによるウクライナへの軍事侵攻後、複数の攻撃グループがウクライナ支持を表明しており、ロシア国内の組織やロシアと関連の深い組織に対する攻撃を開始したとされています。一方、ロシア支持を表明し、ロシアに影響を及ぼす措置が講じられた場合は報復も辞さない、という姿勢のグループもあります。政治的目的を持つハクティビストグループは破壊的な脅威をもたらす可能性が高いため、本FAQの前段にある「顧客側がするべきことは?」に対する回答を参照のうえ、対策を講じることをお勧めします。
Q. ウクライナ紛争によって、近隣のEU諸国にどのような影響が及ぶと思われるか?
ウクライナ紛争に関連するサイバー活動の影響を受けた標的の多くは、ウクライナおよびロシア国内の組織でした。2022年1月中旬以降、様々な政府機関や民間企業が破壊的なサイバー攻撃を受けています。こうした攻撃作戦の多くはロシア国家を後ろ盾とする攻撃グループによるものであり、ウクライナでの軍事作戦とタイミングを合わせるべくロシア軍と連携を取っている可能性もあります。ウクライナ近隣諸国の組織に悪影響が及んだ事例としては、データ消去マルウェアによる攻撃が少なくとも1件確認されています。
当該攻撃は、ロシア軍によるウクライナ地上侵攻の前夜である2022年2月24日に衛星通信事業者のVIASAT社に対して実行され、同社がウクライナ全域およびEU加盟国内で運用する何万個ものKA-SAT(衛星通信モデム)が運用不能状態になりました。このなかにはドイツで稼働する5千基以上の風力発電タービンの監視・制御を担うKA-SATデバイスも含まれていました。
2022年5月10日、EUおよびその加盟国は米・英政府と共に、VIASAT社への攻撃および、1月14日に発生したデータ消去マルウェアWhisperGateによる攻撃に対する非難声明を発表しました。いずれも、ロシア連邦軍参謀本部情報総局(GRU)による攻撃であることがほぼ確実視されています。当社CTUでは、これを裏付ける直接的な証拠を充分持ち合わせていませんが、GRUの傘下にはIRON VIKING(別名IRIDIUM、ELECTRUM、Sandworm、VOODOO BEAR)、IRON TWILIGHT(別名STRONTIUM、APT28、FANCY BEAR)をはじめとする複数の部隊があるため、このような作戦を遂行する能力および権限を有しているものと推定されます。
ウクライナ戦争の長期化で、物理的な軍事作戦を補完する、または標的国の基幹インフラ機能妨害を目的としたサイバー活動のさらなる増加が予想されます。いずれも、近隣諸国への波及的影響(企図されたとおり、または予想外の影響)が及ぶ可能性があります。ウクライナ、ロシアおよびそれらの近隣諸国で事業展開する、または当該地域に取引先をもつ皆様は、自社の事業継続計画や災害復旧計画を定期的に見直し、有事への備えおよび回復力を万全な状態にしておきましょう。
- タグ:
- ブログ
