ベラルーシ反体制派ハッカー集団に狙われたロシア軍「鉄道輸送」

執筆者:松原実穂子 2022年2月9日
エリア: ヨーロッパ
ツイッターで発信を行っているサイバー・パルチザン
 
ロシア軍はベラルーシとの合同軍事演習を名目に同国のウクライナ国境にも集結しているが、その鉄道輸送がサイバー攻撃の標的になった。犯行声明を出したのはベラルーシの反体制派ハッカー集団「サイバー・パルチザン」。彼らは何者なのか。

妨害されたロシア軍の鉄道輸送

 ウクライナ情勢が緊迫化する中、ロシアとベラルーシは2月10〜20日の合同軍事演習のため、ベラルーシの国有鉄道を使い、ロシア軍の装備品と部隊をウクライナ国境近くに輸送した。

 しかし、アレクサンドル・ルカシェンコ政権打倒と民主主義の獲得を目指しているベラルーシの反体制派ハッカー集団「サイバー・パルチザン」は、この輸送に反対を表明。なんとベラルーシ鉄道にランサムウェア攻撃を仕掛け、鉄道会社のサーバー、データベースとワークステーションを暗号化した、とツイッターとテレグラムで1月24日に宣言した。復旧のための鍵と引き換えに、ベラルーシ国内におけるロシア軍駐留の阻止と、治療を必要としている50人の政治犯の釈放を要求している。

 サイバー・パルチザンの広報担当によると、ランサムウェア攻撃は、1月24日の午後11時から翌日の午前9時頃までの約10時間続いたという。ロシア軍の輸送に間接的に影響を与えるため、鉄道会社がダイヤや税関、駅の管理に使っているデータベースを暗号化または破壊した。但し、乗客の安全のため、セキュリティ関連のシステムは攻撃しなかった、とツイッターでは主張している。

初の民間政治犯によるランサムウェア攻撃

 金銭目的のランサムウェア攻撃は過去30年間、数多く行われてきた。

 2021年5月の米コロニアル・パイプラインへのランサムウェア攻撃で明らかになったように、犯罪グループによる金銭目的の攻撃とはいっても、社会経済活動や国家安全保障に大打撃が及ぶ場合もある。

 その他に、ロシアなどの政府系ハッカー集団が、他国の経済や安全保障、評判に打撃を与えるためにランサムウェアを使って攻撃するケースも、ここ数年で複数件、確認されている。

 今回の攻撃について、少なくとも現時点では、ベラルーシ当局と鉄道会社からコメントが出ていない。そのためサイバー・パルチザンが本当にランサムウェア攻撃したかどうかについては、確認が難しい。

 しかし、実際に行われたとするならば、オーストリアのセキュリティ企業「エムシソフト」の研究者であるブレット・キャロウが指摘するように、民間のハッカー集団が政治的な目的を達成するためにランサムウェア攻撃を使ったのであれば、おそらく今回が初めてのケースとなる。

 今後懸念されるのは、他にも民間のハッカー集団がこの手法を真似し、政治的主張を押し通すための脅迫の材料として確信犯的にランサムウェア攻撃を仕掛けるケースも出てくることだ。

ベラルーシ出身のIT専門家が結成

 ルカシェンコ独裁体制打倒のためにサイバー・パルチザンが結成されたのは、2020年9月に遡る。その1カ月前にルカシェンコ大統領が大統領選挙で6選を果たし、選挙不正を訴える反対派のデモを暴力的に鎮圧、数千人が逮捕された。

 米科学技術誌「MITテクノロジー・レビュー」が2021年8月にサイバー・パルチザンの広報担当にインタビューしたところ、「我々が求めているのは、ベラルーシのテロ政権による暴力と弾圧を止め、祖国に再び民主主義の原則と法の支配をもたらすことだ」と語っている。

 当初、サイバー・パルチザンは、ベラルーシを脱出したハイテク産業出身のIT専門家約15人から構成されていた。ベラルーシの治安部隊の反体制派の隊員たちからも、支援を受けていたという。名前や住んでいる場所は、安全上の理由から明らかにしていない。現在は、20〜30人に増えているようだ。

 結成直後の2020年9月には、ベラルーシ政府の複数のウェブサイトを改ざんし、体制を揶揄した画像やメッセージを投稿して注目を集めた。また2020年秋、2つの政府系メディアのウェブサイトをハッキングして、生放送中の番組を中断、その代わりに治安部隊がデモ参加者に暴力を振るっている様子が映っている動画を30分間放映している。

 その後も度々サイバー攻撃を行なってきた。

 2021年の夏には、ベラルーシ内務省や警察の機密データベースに侵入し、ルカシェンコ大統領とその家族の個人情報を含む6テラバイト以上もの膨大な情報にアクセスしたという。その上、大統領の側近や情報機関の幹部らの詳細な個人情報に加え、反体制のデモ参加者が拘留され、暴力を受けているとされる施設内の防犯カメラの画像も流出させた。

政府とベラルーシ鉄道は肯定も否定もせず

 先述の通り、ベラルーシ鉄道や政府は今のところ、サイバー・パルチザンが行ったとされる攻撃について否定も肯定もしていない。

 攻撃があったとされる1月24日、ベラルーシ鉄道はウェブサイトに「乗客の皆様への注意喚起」と題した文書を出して、技術的な問題が発生したため、オンライン切符販売機能に障害が出ていると発表。不便が生じていることについて謝罪した。しかし、サイバー攻撃については一切触れておらず、メディアからの取材要請にも答えていない。

 本当にサイバー攻撃をしたのかどうかマスコミに問い質されたサイバー・パルチザンは1月26日、今回の攻撃で取得したというベラルーシ鉄道のIT関連内部資料のスクリーンショットをいくつかツイッター上で公開した。だが、この情報だけではランサムウェアを使った攻撃だったかは不明である。 

 2019年に創設された国際的なサイバーセキュリティ研究者たちによるプロジェクト「キュレーテッド・インテリジェンス」のメンバーの1人がサイバー・パルチザンに連絡し、ベラルーシ鉄道への攻撃について検証するため、使ったコンピュータウイルスのサンプルが欲しいと頼んだが、サイバー・パルチザンは要請を断っており、輸送にどのような悪影響を及ぼす攻撃手法が用いられたのかも分からない。

 尚、サイバー・パルチザンは1月25日付の笑顔の絵文字付きツイートで、「ベラルーシ鉄道へのサイバー攻撃の最中に撮ったスクリーンショットを見ると、従業員がどうやら海賊版のソフトウェアを頻繁に使っているようだ。ハッキングされたのと関連しているのだろうか」と、鉄道会社のITとセキュリティ体制を皮肉っている。

ロシア軍の輸送への影響は?

 では、目的のロシア軍の輸送への影響は出たのだろうか。

 米ニューヨーク在住でサイバー・パルチザンの広報担当を務めているユリアナ・シェメトヴェッツは「AP通信」の取材に対し、サイバー攻撃で影響を受けた貨物列車の多くは民用だったと認めた。「ロシアの部隊の輸送にも間接的に影響が出るよう祈っているが、今のところ確かなことは分からない」。

 シェメトヴェッツによると、サイバー・パルチザンには「乗客に悪影響をもたらす意図はなかった」ため、オンライン切符販売機能の回復に向けた作業に取り組んだとのことであるが、報道によると2日経っても復旧しなかったようだ。

 さらにシェメトヴェッツは米メディアサイト「ギズモード」のメールでのインタビューで、サイバー攻撃があまりうまくいかなかったと認めている。

「オンライン切符購入システムにはまだ影響が出ており、列車に遅れが生じ、列車のダイヤが乱れたのもわかっている。一番の目標はまだ達成されていないが、政権がどのように反応するのか見極める時間が必要であるため、成果については、もうしばらくしてから改めて評価したい」

ベラルーシ鉄道の元社員の証言

 ただ、米国議会から出資を受けている報道機関「自由欧州放送」が1月29日にインタビューを報じた、ベラルーシ鉄道の元社員の男性のコメントは興味深い。

 この男性は、政治信条を理由にベラルーシ鉄道から2021年4月に解雇された。その元社員は、今回のサイバー攻撃によって、給与支払いから積荷目録やダイヤに至るまで自動システムが打撃を受け、鉄道会社側が手作業に切り替えなければならなくなったため、鉄道側にとって「かなりの痛手」になったと主張している。

 しかも電子記録が全て破壊されてしまったため、税務署など他の政府機関からデータを取り寄せなければ、復旧できない記録もあるかもしれないという。元社員は、当局がサイバー攻撃による被害について、さも大したことがないかのように扱おうとしていると批判した。

 元社員によると、ルカシェンコ政権の下で行われた政治的粛清のため、多くの優秀な社員が解雇されてしまい、IT部門には今回の攻撃に対処できるような社員が残されていない。ベラルーシ鉄道はサイバー攻撃にかなり脆弱になっており、今回のサイバー攻撃の前にも、過去半年の間に2回ものサイバー攻撃被害が起きているという。

民間ハッカー集団が政治性を帯びて行く危険性も

 前述の通り、国家を背景とするハッカー集団が他国の国力と威信を傷つけるために、混乱や妨害目的でランサムウェア攻撃を仕掛けた事例は、ここ数年で複数ある。

 例えば、2017年6月、ロシア軍参謀本部情報総局が仕掛けた「ノットペトヤ」と呼ばれるランサムウェア攻撃により、ウクライナや米国、アジア、ヨーロッパ諸国など60カ国以上が被害を受ける事件があった。とりわけ被害が大きかったのはウクライナであり、銀行やエネルギー企業、原子力発電所、空港、鉄道などの業務が妨害された。全世界の被害総額は、100億ドル(約1兆1526億円)以上に達すると見られる。

 また、2021年5月には、H&Mなど複数のイスラエル国内の企業がイランからのランサムウェア攻撃を受け、顧客の情報を流出させるとの脅迫を受けている。この攻撃も、身代金目的ではなく、サイバー立国として知られるイスラエルの評判を貶めるためだったと考えられている。

 一方、イデオロギーや政治信条に突き動かされてサイバー攻撃を行う民間のハッカー集団の場合、過去に使ってきた手法は、反対する政府機関や企業のウェブサイトの改ざんや、分散型サービス拒否(DDoS)攻撃で組織のウェブサイトやサーバーをダウンさせてしまうことだった。

 しかし、ウェブサイトの改ざんやDDoS攻撃と異なり、ランサムウェア攻撃の場合、リアル世界で社会経済活動や安全保障に大打撃をもたらす度合いが桁違いとなる。

 サイバー・パルチザンのメンバーは、英紙「ガーディアン」のインタビューに対し、今回の攻撃では、信号システムや緊急停止システムの機能を停止して鉄道の運行を麻痺させるような強硬手段を取らなかったものの、「罪のない人々が怪我をしないと確信できれば、今後はそうした攻撃をするかもしれない」と示唆している。

 つまり、今回のサイバー・パルチザンの攻撃がランサムウェアを使ったものではなかったとしても、将来、より甚大な被害をもたらすランサムウェア攻撃に本当に訴える可能性は大いにある。

 そのため、サイバー・パルチザンの今回の発表に触発され、イデオロギーや政治的主張に基づく脅迫において、地政学的な危機に乗じ、より「効果的な」取引材料としてランサムウェア攻撃を使う民間のハッカー集団が、今後出てきたとしても不思議ではないだろう。

日本も対応計画を練る必要がある

 日本に対し、イデオロギーや政治信条に基づく要求を通すために民間のハッカー集団がサイバー攻撃を行う頻度は、これまでそれほど高くはなかった。とはいえ、次のような事件は関係者の間でよく知られる。

 著作物の違法ダウンロードに刑事罰を導入する著作権法改正案が国会で可決されたことに反対する国際ハッカー集団「アノニマス」は、2012年6月、日本の複数の政府機関に対し、ウェブサイトの改ざんやDDoS攻撃を仕掛けている。

 さらに同年9月、尖閣諸島の国有化の直後、中国の愛国主義的ハッカー集団「紅客連盟」が、日本の政府機関へのサイバー攻撃をネット上で呼びかけた。結果、複数の日本の政府機関や病院などのウェブサイトが改ざんされ、尖閣諸島と見られる島の上に中国の国旗がはためく画像と、「尖閣諸島は中国のもの。日本も中国のもの」とのメッセージが投稿されてしまった。

 こうした事態が今後再び起きないとも限らない。また、海外に拠点を置く日本企業が、ウクライナ情勢のように地政学的な緊張関係の高まりのもと仕掛けられるサイバー攻撃の余波に、巻き込まれる可能性もある。だからこそ、日本政府も企業も、こうした新たなシナリオを念頭に置いて、サイバー攻撃対応計画を練る必要があろう。

 

----------

松原実穂子(まつばら・みほこ)

NTT チーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

 

----------

 

フォーサイト最新記事のお知らせを受け取れます。
執筆者プロフィール
松原実穂子 NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。
  • 24時間
  • 1週間
  • f
back to top