ロシアがウクライナへ軍事侵攻を開始してから2カ月が経つが、ウクライナやその支援国の重要インフラに対する妨害目的のサイバー攻撃は、予期されていた規模より小さい。
軍事侵攻後の重要インフラへの主なサイバー攻撃としては、ウクライナを含むヨーロッパ各地で数万件の顧客に影響が生じた2月24日の米衛星通信大手「Viasat」への攻撃と、インターネットサービスの復旧に15時間を要した3月28日のウクライナ大手通信企業「ウクルテレコム」への攻撃があるが、そもそも、ウクライナに対するサイバー攻撃の全体数自体も少ない。
3月28日にイスラエルのサイバーセキュリティ企業「チェック・ポイント」が出した侵攻開始以降1カ月間の分析報告書によると、ウクライナへのサイバー攻撃の増加率は17%にとどまる。
真相は藪の中であるものの、ロシアが重要インフラに仕掛ける業務妨害型サイバー攻撃の被害が今のところ少ない要因には、ロシア側の事情、ウクライナ側の努力、欧米諸国からの支援などが考えられる。
通信サービスがダウンしていない理由
2月28日付の米ワシントン・ポスト紙では、ロシアからのサイバー攻撃によってウクライナの通信サービスの大半が今のところダウンしていない理由として、いくつかの仮説が紹介されている。
第一の説は、軍事侵攻すればウクライナがすぐに屈服するものとロシアは見くびっており、占領後にロシアの使う通信ネットワークを維持するために、大規模なサイバー攻撃は行わなかったというものだ。
第二に、ウクライナの通信ネットワークは、ロシアがサイバー攻撃で重要な戦時情報を収集するためのインフラであるため、サイバー攻撃で使用不能にするのは避けたのではないかとの説もある。
その他に考えられるのは、戦時に爆撃で重要インフラを破壊できている際には、わざわざ隠れて、破壊力に劣るサイバー攻撃を加える必要はないかもしれないという点だ。
また、ウクライナの自助努力が功を奏している可能性もある。ウクライナは、過去のロシアのサイバー攻撃から教訓を学び、インターネット・インフラの分散化を進めてきた。しかも、ウクライナ国内ではインターネットサービス事業者間の競争が激しく、多数の事業者がひしめき合っている。そのため、たとえロシアがサイバー攻撃を仕掛けたとしても、ウクライナのインターネットサービスの大半を同時にダウンさせるのは難しくなっているだろう。
米国のサイバーセキュリティ強化支援
さらに、外国からのウクライナへの支援も大きな役割を果たしているようだ。2015年12月と2016年12月にロシアからウクライナへのサイバー攻撃で停電が発生して以来、米国政府はウクライナに対し、数百万ドル(数億円)のサイバーセキュリティ強化支援を行ってきた。
米国家安全保障局(NSA)長官兼米サイバー軍の司令官だったマイケル・ロジャース海軍大将(退役)は、英フィナンシャル・タイムズ紙の取材に対し、2015年12月の停電事件から1年後、米サイバー軍が最初のチームをウクライナに派遣して、サイバー防御態勢の強化を支援したと語っている。
また、2020年6月に米国防総省は、ウクライナへの2020年度支援として2億5000万ドル(316億円強)の供与を打ち出しているが、サイバー防御の他、ロシアからのサイバー攻撃と偽情報に対抗するための戦略コミュニケーションが支援項目として含まれていた。
こうした米ウのサイバーセキュリティ協力は、軍だけでなく、他省庁間でも行われていたようだ。
2018年11月にワシントンDCで開かれた米国・ウクライナ間の戦略的パートナーシップ委員会の第1回会合では、マイク・ポンペオ国務長官(当時)とパウロ・クリムキン外相(同)の出席のもと、共同声明には強固な協力分野としてサイバーセキュリティも挙げられていた。
米・英・NATOの支援
ロシアの脅威が高まってきた昨年秋以降は、米国だけでなく、英国をはじめヨーロッパ諸国も支援を行っている。
フィナンシャル・タイムズ紙によると、ロシアが地上戦と同時並行して実行しそうな重要インフラへのサイバー攻撃に備えるため、昨年10~11月、米陸軍サイバー部隊、米国政府の委託業者と米国の民間企業社員がウクライナを訪問した。
米国チームは、既にウクライナのシステム内にロシアのコンピュータウイルスが潜り込んでいないか調べたところ、鉄道システムで「ワイパー」と呼ばれるコンピュータウイルスが見つかった。ワイパーに感染すると、データがシステムから削除されてしまい、そのシステムが使用不能になってしまう。
軍事侵攻以降の10日間で、ウクライナから100万人近くの市民が鉄道を使って国外に逃れた。もしこのワイパーが事前に発見されず、侵攻後に起動されていたならば、大惨事になっていた可能性がある、とウクライナ政府関係者はフィナンシャル・タイムズ紙に語っている。
また、2021年12月20日付の米ニューヨーク・タイムズ紙は、ロシア軍部隊がウクライナ国境に集結してくる中、米国と英国が万が一の事態に備え、秘密裏にサイバー戦の専門家たちをウクライナに送ったと報じた。時期と専門家の人数は明らかにされていない。
今年1月17日には、ウクライナとNATO(北大西洋条約機構)がサイバーセキュリティ協力強化について合意した。それに先立ち、イェンス・ストルテンベルグNATO事務総長は、1月14日、NATOと加盟国のサイバーセキュリティの専門家が既にウクライナに行き、最近のサイバー攻撃に対抗するため協力していると述べている。
こうした米国政府の支援は、軍事侵攻後も続いている。ロジャース海軍大将(退役)の後任として、米NSA長官と米サイバー軍の司令官を兼任するポール・ナカソネ陸軍大将は、3月10日の上院情報特別委員会の公聴会で、2015年の停電以降、米サイバー軍がウクライナと緊密に協力してきたと証言している。
4月5日の上院軍事委員会では更に踏み込み、昨年秋にロシア軍がウクライナ国境近くに展開し始めて以降、ウクライナにサイバー軍がチームを送り、パートナーたちと肩を並べて協力して貴重な知見を得、米ウ双方の国防に役立てた、とナカソネ大将は述べた。軍事侵攻後も、サイバー軍がウクライナに遠隔の分析支援とネットワーク防御を実施しているという。
特筆すべき民間企業の貢献
もう1つ、今回の戦争で特筆すべきなのが、民間企業の貢献だ。民間企業は、ウクライナのサイバー防御だけでなく、通信インフラを守り、情報戦を続ける上でも大きな役割を果たしている。
ロシア軍による爆撃でウクライナ国内のインフラが壊滅的な被害を受ける中、ウクライナの通信会社も大打撃を受けているが、3月22日付フォーブス誌によると、平時の競合他社も、戦時においては互いに技術者を融通し合い、他社の基地局を修理し、ウクライナ国民がスムーズにサービス接続を切り替えられるように努めている。
マリウポリやハルキウのような激戦地にも通信会社の技術者たちが残っているのは、年老いた両親たちの世話などの家庭の事情だけでなく、祖国に尽くしたいとの強い思いがあるからだ。また、自分たちがウクライナの通信を守らなければ、占領者たちに偽情報を拡散されてしまうとの危機感もある。さらに、通信を確保することで、離れ離れになった家族とのつながりを維持していくのだとの気概もあるという。
外国企業からの支援も見逃せない。
その好例が、自社の衛星通信サービスを提供した米テスラ及びスペースXの最高経営責任者(CEO)のイーロン・マスク氏だろう。マスク氏は2月26日、ウクライナのミハイロ・フョードロフ副首相兼デジタル転換相からツイッター上で、スペースXのスターリンク衛星インターネットサービスの提供を依頼されると、10時間後には、スターリンクのサービスがウクライナで開始した、とツイート返信したのである。4月上旬時点で、スペースXからウクライナに寄付されたスターリンク機器は、5000基に上る。
さらに米NBCニュースによると、マイクロソフトやグーグルなどの一部の米国企業は、ウクライナのウェブサイトをサイバー攻撃から守るために無料のサービスを提供している。
マイクロソフトは、戦争開始以降3月4日までに20以上のウクライナ政府機関、IT企業、金融機関をサイバー攻撃から守る支援を行ってきた。
また、米ネットワーク機器大手シスコシステムズでは、脅威インテリジェンス調査チーム「タロス」が有志チームを結成し、ウクライナの重要な組織をサイバー攻撃から守るために脅威監視を1日24時間体制で行っている。
シスコシステムズとマイクロソフトは、ウクライナのサイバーセキュリティ企業とともに、3月28日のウクルテレコムに対するサイバー攻撃への対応も支援した。
米国以外にもルーマニアのサイバーセキュリティ企業「ビットディフェンダー」やスロバキアのサイバーセキュリティ企業「ESET」なども支援の輪に加わっている。
但し、民間企業が国境のないサイバー空間上で戦時中にいかに関与するかについては、影響の広がり方が予想しにくいため、慎重であるべきという意見もある。
米軍が注目するウクライナの知見
もっとも、インテリジェンスの世界は、ギブアンドテイクであり、一方向のみの供与は永続しない。
様々な政府機関や民間企業が短期間にウクライナへの支援を決め、実行してきた背景には、苦境にあっても戦い続けるウクライナへの同情、ロシアの軍事侵攻への反発、ミハイロ・フョードロフ副首相の巧みなデジタル外交の他に、ウクライナ自身が長年にわたるロシアとの戦いの中で培ってきた知見の共有による世界への貢献もあったのではないか。
実際、クリミア併合の翌2015年8月2日付の米防衛ニュースサイト「ディフェンス・ニュース」は、ウクライナ軍に対する訓練に参加した米欧州総司令官(当時)のベン・ホッジス陸軍中将を取材し、ウクライナ軍の知見から米軍が学ぶ重要性について紹介している。
ホッジス中将は、ディフェンス・ニュースにこう語っている。
「我々の兵士たちはウクライナ軍に訓練を行っているが、我々の方がウクライナ軍から多くを学んでいる。ウクライナ軍の3分の1が戦闘地域で戦った経験を持つのに対し、米軍はロシアの砲撃やロケット弾による攻撃、ロシアの大規模な電子戦、ジャミングを受けたことがない。しかし、ウクライナ軍はある。彼らが何を学んできたかを聞くのは興味深い」
中将によると、ロシアの電子戦は相当高度であり、米軍はウクライナ軍からロシアのジャミング能力とその範囲、種類、使われ方について学んでいるという。
マイケル・ロジャース前米サイバー軍司令官も、ウクライナにサイバー軍のチームを派遣したことで、ロシアのサイバー攻撃のノウハウ、コンピュータウイルス、ロシアのハッカー集団の手口を学べたと述懐している。
さらに、2021年5月27日付の米軍事最新技術ニュースサイト「C4ISRNET」は、ウクライナのサイバー戦の知見に米陸軍が注目していると報じた。
米陸軍は、サイバー戦と電子戦の能力向上のため、2018年6月に第915サイバー戦大隊の設立を決定した。ただサイバー戦も電子戦も技術の進歩に伴い、変化の激しい領域であるため、第915サイバー戦大隊では、まずは他国での状況把握やアフガニスタンやイラクに派遣された米軍の経験からの学びに注力している。その中で、ウクライナがロシアとの戦いで得た知見からも学ぼうとしているのだという。
こうしたウクライナの知見を共有する姿勢が評価されたからこそ、3月4日、エストニアの首都タリンにあるNATOサイバー防衛協力センターは、ウクライナの「貢献国」としての参加を認めると発表したのであろう。日本を含む27カ国が現在同センターに参加しているが、全会一致での決定であった。
センター長のヤーク・タリーン大佐は、「ウクライナが複数の敵から直接経験してきた貴重な知見を研究や演習、研修」に提供してくれるだろうと述べている。
NATOサイバー防衛協力センターでは、2010年以降、毎年春に大規模な国際サイバー演習「ロックド・シールズ」を開催している。今年の4月20日〜22日の演習には32カ国から2000人以上が参加し、24の防御チーム(各50人程度)に分かれて、技術的な防御能力だけでなく、法的な対応能力、メディア戦略、情報戦への対処能力について競い合う。戦時下にあるウクライナもエストニアと組んで参加する。
検知された電力会社へのワイパー攻撃
このように、これまではロシアからウクライナやその支援国に対する妨害型サイバー攻撃はそれほど多くはなかったが、今後どうなるかは予断を許さない。
ナカソネ大将は4月5日の上院軍事委員会で、ロシア軍と情報機関が軍事侵攻への支援と世界規模での偽情報作戦など様々なサイバー能力を使っており、危機はまだ終わっていないとの見方を示している。
実際、4月12日、ウクライナのコンピューター緊急対応チーム(CERT‐UA)は、ロシアの連邦軍参謀本部情報総局(GRU)系のハッカー集団「Sandworm」によるウクライナ電力会社へのワイパー攻撃を検知したと発表した。ワイパー攻撃とはデータの破壊を目的としたマルウェアを仕掛けるタイプの攻撃だ。ウクライナと民間企業の素早い対応により停電は発生しなかったが、最悪の場合、200万人が停電被害に遭うところであったとウクライナ政府は見ている。
米ウォール・ストリート・ジャーナル紙は、今までよりも活発なサイバー攻撃を伴う新たな戦争の段階に入る可能性が出てきたと分析した。
注意が必要なのが、交戦中は技術者を現場に派遣して手動操作でシステム復旧するのが困難であるという点だ。
例えば2015年12月、ロシアによるサイバー攻撃によって、ウクライナで22万5000世帯もの顧客が停電被害に遭った際には、技術者が変電所に赴き、手動操作で電力供給を復旧した。しかしこれは平時だったからこそできたことだとも言える。
米MITテクノロジー・レビュー誌が指摘するように、ロシア軍の戦車や兵士が近くにいる可能性がある今、サイバー攻撃を受けた変電所などの施設に復旧要員をトラックで送るのは、容易ではない。ウクライナ国内で電力や通信の大部分が失われれば、国外から遠隔でサイバーセキュリティを支援することも難しくなる。
また、ブルームバーグは、ウクライナのとある国営重要インフラ企業のサイバーセキュリティ部門長の話として、社員たちが戦時下のストレスのあまりパスワードを忘れがちになり、覚えやすいが強度の弱いパスワードを使っていると伝えた。ストレスがあまりに高まれば、通常よりもミスが増え、なりすましメールをクリックしてしまいがちになろう。
狙われている液化天然ガスプラント
また、ウクライナの支援国に対するロシアのサイバー攻撃にも留意が必要だ。ロシアが経済制裁への報復としてサイバー攻撃を仕掛ける可能性や、制裁を回避して外貨を稼ぐための手段としてランサムウェア攻撃を含むサイバー犯罪を行う可能性も指摘されている。
4月13日には、米エネルギー省、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)、国家安全保障局(NSA)、米連邦捜査局(FBI)が合同で注意喚起し、高度なハッカー集団が産業用制御システムを乗っ取れる新たなコンピュータウイルスを作っていると指摘した。特にエネルギー業種を含む重要インフラ企業に対して対策強化を呼び掛けている。どの国のハッカー集団であるかは、現時点で明らかにしてない。
このコンピュータウイルスを解析した米セキュリティ企業「ドラゴス」は、おそらく液化天然ガス(LNG)のプラントが狙われているのではないかとしている。米国などが産出するLNGは、ロシアからのエネルギー依存度を減らすために重要な役割を担う資源だ。
このコンピュータウイルスは、実際のサイバー攻撃に破壊目的で使われる前に発見できたため、ドラゴスは、今後の攻撃に備える貴重な機会が得られたとしている。
ジェン・イースタリーCISA長官は、4月17日に放映された米CBSニュースの報道番組「60ミニッツ」で、「他の業種よりも懸念している業種があるか?」と司会者に問われ、「エネルギー業種を狙うのがロシアの戦略の一部と理解している。ただ、米国と同盟国が科している厳しい制裁への報復攻撃として、金融もあり得る」と答えた。
英情報機関のサー・ジェレミー・フレミング政府通信本部(GCHQ)長官は3月30日の講演で、ロシアのハッカーたちが軍事侵攻に反対している国々へのサイバー攻撃を模索している兆候をつかんでいると述べており、日本も引き続き注意が必要だ。
4月20日には、米英豪加、ニュージーランドが合同で声明を出し、ロシアへの経済制裁やウクライナへの物資支援への報復として、ウクライナ国内外の重要インフラにロシアの政府系ハッカー集団やサイバー犯罪集団から業務妨害型などのサイバー攻撃が行われる可能性があると警告している。CISAは、ロシアの各ハッカー集団のサイバー攻撃の手口に関する詳細を公開した。
国際的な官民連携でサイバー攻撃の兆候を監視し、迅速にインテリジェンスを双方向で共有していくことが重要となる。
----------
松原実穂子(まつばら・みほこ)
NTT チーフ・サイバーセキュリティ・ストラテジスト
早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。
