ウクライナ「サイバー義勇兵」を支援するベラルーシ反体制派ハッカー集団

目的はルカシェンコ独裁体制の打倒(サイバー・パルチザンのロゴ=テレグラムより)
ルカシェンコ独裁体制の打倒を目指すベラルーシの反体制ハッカー集団「サイバー・パルチザン」がウクライナ戦争に「参戦」し、ベラルーシ鉄道などにサイバー攻撃を仕掛けている。その背景とは。

 

ロシアの軍用列車に遅れ

 ロシアのウクライナへの軍事侵攻の始まった2月24日、ベラルーシの反体制派ハッカー集団「サイバー・パルチザン」の広報担当者であるユリアナ・シェメトヴェッツ氏は、「ウクライナ人とベラルーシ人の共通の敵は、プーチンとクレムリンと帝国主義的政権だ」とツイッターで批判。サイバー・パルチザンは、ウクライナ軍の支援をしている志願兵たちに協力すると表明した。

 2月26日付のブルームバーグの取材に対し、この広報担当者は、ベラルーシ国内のロシア占領軍などを標的としていると語ったが、行っているサイバー攻撃の詳細については言及を避けた。

 そして翌日の2月27日、サイバー・パルチザンは、ベラルーシの鉄道のシステムに侵入し、保存データの暗号化に成功、一部の鉄道がミンスク、オルシャ、オシポヴィチで運行停止したと宣言した。

 ベラルーシ鉄道の元職員はAP通信に対し、サイバー・パルチザンのサイバー攻撃を受けた同鉄道がベラルーシ国内で90分間麻痺してしまい、オンラインでの切符販売は2月28日の夜現在も止まっていると語った。ロシア西部のスモレンスクからベラルーシに向かっていたロシアの軍用列車2本に遅れが生じたという。

 このサイバー攻撃を行った理由について、サイバー・パルチザンは、ベラルーシからウクライナ東部へのロシア軍の移動を遅らせ、ウクライナが首都防衛の態勢を整えるための時間を稼ぐためだったと主張している。

 しかし、ブルームバーグもAP通信もロイターも、サイバー攻撃が成功したとの主張が事実かどうか裏付けを取れていない。ただ少なくともロイターが確認した限り、ベラルーシ鉄道の予約サイトは3月1日の午後もダウンしていたという。

ロシア軍駐留の阻止と政治犯の釈放を要求

 サイバー・パルチザンがウクライナ情勢に関連してベラルーシの鉄道にサイバー攻撃を仕掛けたと主張するのは、今回で2回目である。

 1回目は、1月24日に行われたとされている。当時、ロシア軍が2月10日から行うベラルーシとの合同軍事演習のため、装備品と部隊をベラルーシ鉄道でウクライナ国境近くに輸送していたが、サイバー・パルチザンは、それに反対を表明。

 そして、サイバー攻撃によりベラルーシ鉄道のサーバー、データベースとワークステーションを暗号化したとツイッターとテレグラム上で宣言した。さらに復旧のための鍵と引き換えに、ベラルーシ国内におけるロシア軍駐留の阻止と、治療を必要としている50人の政治犯の釈放を要求したのである。

 しかし、ベラルーシ政府は、このサイバー攻撃についても、サイバー・パルチザンの要求についても正式なコメントを出していない。

 一方、ベラルーシ鉄道は、攻撃があったとされる1月24日、ウェブサイトに「乗客の皆様への注意喚起」を掲載し、技術的な問題が発生したため、オンライン切符販売機能に障害が出ていると発表。不便が生じていることについて謝罪した。

 しかし、サイバー攻撃については一切触れておらず、メディアからの取材要請にも答えていない。

 サイバー・パルチザンは、昨年の12月にはベラルーシ鉄道のシステムに侵入できていたという。シェメトヴェッツ氏は、カナダのデジタルメディア「ヴァイス」の取材で、「ベラルーシ鉄道の使っているコンピュータの一部はいまだにWindows XPであり、侵入が容易であった」と説明した。Windows XPのサポートは、2014年4月に終了している。

 シェメトヴェッツ氏によると、サイバー攻撃は、1月24日の午後11時から翌日の午前9時頃までの約10時間行われた。乗客の安全のため、セキュリティ関連のシステムへのサイバー攻撃は避け、ロシア軍の輸送に間接的に影響を与えるために、鉄道会社がダイヤや税関、駅の管理に使っているデータベースを暗号化または破壊したという。

 ただ、1月25日付の英「ガーディアン」紙の取材に対し、サイバー・パルチザンのメンバーの一人は、「罪のない人々が怪我をしないと確信できれば、今後は(鉄道の運行を麻痺させるような)攻撃をするかもしれない」と語っている。

政治的目的のランサムウェア攻撃か

 データベースの暗号化が事実であれば、1月と2月のサイバー・パルチザンのサイバー攻撃は、ランサムウェアを用いていた可能性もある。

 金銭目的のランサムウェア攻撃は過去30年以上にわたって、数多く行われてきた。犯罪グループによる金銭目的の攻撃とはいっても、2021年5月の米コロニアル・パイプラインへのランサムウェア攻撃で明らかになったように、社会経済活動や国家安全保障に大打撃が及ぶ場合もある。

 ただ、今回、サイバー・パルチザンが本当にランサムウェアを使った攻撃をしたのであれば、オーストリアのセキュリティ企業「エムシソフト」の研究者であるブレット・キャロウが指摘するように、民間のハッカー集団が政治的な目的を達成するためにランサムウェア攻撃を使った初のケースとなる。

 イデオロギーや政治信条に突き動かされてサイバー攻撃を行う民間のハッカー集団の場合、過去に使ってきた手法は、反対する政府機関や企業のウェブサイトの改ざん、DDoS(分散型サービス拒否)攻撃によるウェブサイトやサーバーのダウンだった。

 だが、ランサムウェア攻撃の方が、社会経済活動や安全保障といったリアル世界での打撃をもたらす度合いが桁違いに大きい。たとえランサムウェアに感染するのが1社だけだったとしても、その会社の製品やサービスの提供が止まれば、サプライチェーンに連なる他の企業や工場の稼働も中断してしまう恐れがある。

 今後、他にも民間のハッカー集団がこの手法を真似し、地政学的な危機に乗じて、より「効果的な」取引材料としてランサムウェア攻撃を使うケースが懸念される。

目的はルカシェンコ独裁体制打倒

 ベラルーシのアレクサンドル・ルカシェンコ独裁体制打倒のためにサイバー・パルチザンが結成されたのは、2020年9月に遡る。その1カ月前にルカシェンコ大統領が大統領選で6選を果たし、選挙での不正を訴える反対派のデモを暴力的に鎮圧、数千人が逮捕されたのを目の当たりにしてのことだった。

 米科学技術誌「MITテクノロジー・レビュー」が2021年8月にシェメトヴェッツ氏にインタビューしたところ、「我々が求めているのは、ベラルーシのテロ政権による暴力と弾圧を止め、祖国に再び民主主義の原則と法の支配をもたらすことだ」と語っている。

「サイバー・パルチザン」と名づけたのは、第2次世界大戦中のベラルーシのナチスドイツへの抵抗運動にあやかってのことだ。政権への不満を示すために、創造力を働かせ、賢くツールを使って戦い、人々を鼓舞し、政権の犯罪を明るみに出そうとしているという。

 結成直後の2020年9月には、ベラルーシ政府の複数のウェブサイトを改ざんし、体制を揶揄した画像やメッセージを投稿して注目を集めた。また、2つの政府系メディアのウェブサイトをハッキングして、生放送中の番組を中断、その代わりに治安部隊がデモ参加者に暴力を振るっている様子が映っている動画を30分間放映している。

 だが、そうしたサイバー攻撃では事態が改善しないと見てとり、より大胆な手法を取るようになったとシェメトヴェッツ氏は語る。

 2021年の夏には、ベラルーシ内務省や警察の機密データベースに侵入し、ルカシェンコ大統領とその家族の個人情報を含む6テラバイト以上もの膨大な情報にアクセスしたという。その上、大統領の側近や情報機関の幹部らの詳細な個人情報に加え、反体制のデモ参加者が拘留され、暴力を受けているとされる施設内の防犯カメラの画像も流出させた。

ウクライナのサイバー義勇兵と協力

 当初、サイバー・パルチザンは、ベラルーシを脱出したハイテク産業出身のIT専門家約15人から構成されていた。ベラルーシの治安部隊に所属する反体制派の隊員たちからも、支援を受けていたという。サイバー・パルチザンのメンバーの名前や住んでいる場所は、安全上の理由から明らかにしていない。

 ウクライナへの軍事侵攻が開始されて以降、5人のベラルーシ人が新たに加わり、3月14日時点で35人程度にまでメンバーが増えたという。シェメトヴェッツ氏によると、3~5人の中核メンバーがサイバー攻撃を実施する。その他のメンバーは、アプリの開発者、データアナリストなどだとしている。

 シェメトヴェッツ氏は、サイバー・パルチザンが現在、ウクライナのサイバー義勇兵と協力していると認めた。

 ロシアの軍事侵攻が始まった2月24日、ウクライナ国防省は、同国で数々のサイバーセキュリティ企業を創設してきたイェゴール・アウシェフ氏の助けを借り、地下のハッカーたちやセキュリティ専門家たちに支援を呼びかけ、サイバー義勇兵を立ち上げた。

 彼らはウクライナの重要インフラの防御と、ウクライナ軍がロシア軍に対して行うサイバースパイ活動の支援を行い、アウシェフ氏はサイバー攻撃チームを率いている。

 シェメトヴェッツ氏によると、アウシェフ氏のチーム設立を知ったサイバー・パルチザンが、ベラルーシ鉄道へのサイバー攻撃を行うことにしたのだという。

 但し、サイバー・パルチザンは、ウクライナに対し、サイバー攻撃に役立つ情報の共有はしているものの、ウクライナのIT軍によるサイバー攻撃には参加していないという。ベラルーシとベラルーシ国内にいるロシア軍だけへの攻撃に注力し、ロシア国内のロシアのインフラへの攻撃は行っていないと主張している。

 ロシアのウクライナへの軍事侵攻後、様々な国籍の数多くの人々が支援したいとサイバー・パルチザンに連絡を取ってきたそうだ。ただ、サイバー・パルチザンでは、そうした人々の身元を確認することができないため、より多くの外国人の支援を必要としているウクライナ側に連絡を取るようにしてもらっているとのことである。

 米月刊ビジネス誌「ファスト・カンパニー」は、シェメトヴェッツ氏に対し、体制派に関するリークが対ロシアの情報戦でどれだけ役に立っているのか尋ねている。同氏は、リークしたデータがロシアやベラルーシへの制裁に役立つかもしれないが、独裁国家で本当に効果を発揮するかどうかは、市民がその情報を使って何ができるか次第だ、と答えた。

 同氏は、サイバー攻撃が戦争で果たす役割の大きさを過大評価してはいない。「全ては地上戦で決まると思う。どれだけ(サイバー技術が)発展しても、実戦は地上で行われるし、実際の変革は地上で行われる。結局それが一番大事なのだ」とファスト・カンパニー誌に吐露している。

 将来、ベラルーシに法の支配と民主主義が戻ってくることがあれば、サイバー・パルチザンのメンバーは、ベラルーシのIT分野で再び仕事をし、祖国のITインフラを立て直したいと願っているという。

大義と戦争のために許されることとは

 とはいえ、サイバー・パルチザンのベラルーシ鉄道への攻撃が市民生活に多少なりとも影響を与えたことは確かだ。

 シェメトヴェッツ氏はAP通信の取材に対し、1月のサイバー攻撃があまりうまくいかなかったと認めており、影響を受けた貨物列車の多くは民用だったと回答している。また、2月のサイバー攻撃でも、オンライン切符販売がしばらく中断している。

 それについてシェメトヴェッツ氏は、ブルームバーグの3月4日付の記事でこう答えている。

「サイバー・パルチザンは、ベラルーシの人々からの支持を失わないよう、一般市民の生活に影響を出さないよう努めている。しかし、今は戦時であり、強大な敵であるロシアと戦っている。ロシアは、ウクライナだけでなく、他のヨーロッパ諸国をも攻撃する能力を持っている国だ。確かに危険ではあるが、ロシアとベラルーシの人々からは『不便だが、ウクライナの人々が爆撃され、死んでいるのだから』とのフィードバックを受けている。大義のために多少の不便は我慢してくれるようだ」

 尚、軍事侵攻をきっかけに様々なハッカー集団が「参戦」し、政府のコントロールが効かないサイバー攻撃の応酬による事態の激化についても、懸念する声が上がっている。

 ファスト・カンパニー誌がシェメトヴェッツ氏に見解を尋ねたところ、そうしたリスクがあることは認めた。

「ウクライナのIT軍が何かをし、ロシア人ハッカーたちが対応すれば、より混沌とした状況になってしまうかもしれない。だが、これは戦争なのだ。現実世界にせよ、サイバー空間にせよ常に犠牲者はいるものだ」

 最近、サイバー・パルチザンは、テレグラムの専用チャンネル上で、「大規模な攻撃を1カ月に1回ではなく、1週間に数回行うため」メンバー数を10倍に増やすと発表したという。ただ、それだけ人数を急拡大すれば、どのような標的に対してどういったサイバー攻撃を行うのか抑制が働きにくくなる恐れもある。

 また、ロシアやベラルーシ側からの反撃のサイバー攻撃の余波がサプライチェーンを通じて他国に飛び火する可能性もあり、今後も注視が必要だ。

----------

松原実穂子(まつばら・みほこ)

NTT チーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

 

 
フォーサイト最新記事のお知らせを受け取れます。
執筆者プロフィール
松原実穂子(まつばらみほこ) NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。近著に『ウクライナのサイバー戦争』(新潮新書)
  • 24時間
  • 1週間
  • f
back to top