ロシア・ウクライナ戦争:「サイバー戦」は対岸の火事ではない

執筆者:松原実穂子 2022年11月30日
エリア: ヨーロッパ
ロシア・ウクライナ戦争のサイバー戦を振り返る(C)Rawpixel.com/stock.adobe.com
 
ロシア・ウクライナ戦争では通常兵器による攻撃とともに重要インフラへのサイバー攻撃も行われている。今のところロシアからの攻撃は予想されていたほどの成果を出していないが、今後も予断は許さない。攻撃の影響は国境を越えて日本にも及びうる。官民によるサイバーセキュリティ強化が急務だ。

 2022年2月24日にロシアがウクライナへの軍事侵攻を開始してから9カ月が経つ。その間のサイバー戦について概観すれば、ロシアによる今までのサイバー攻撃の成功度から予想されていたほどの被害はウクライナに発生していない

 ミカ・ヨヤン米国防次官補代理(サイバー政策担当)は11月16日に米アスペン研究所がニューヨークで主催したサイバー・サミットに登壇し、「ロシアのサイバー部隊も伝統的な部隊も当初の予想を下回る成果しか上げられていないと言って差し支えないだろう」と指摘した。

 その理由を踏まえながら、ロシア・ウクライナ戦争で浮かび上がったサイバーセキュリティの課題と今後の注意点について考えたい。

ロシアの誤った見積もり

 ロシアのウクライナへのサイバー攻撃が思ったほど効果を発揮していない理由は、ロシア側とウクライナ側の事情においてそれぞれいくつか考えられるだろう。

 ロシア側の事情として第1に思いつくのが、戦争終結までにかかる期間と勝利に必要なサイバー攻撃の見積もりを間違えたことである。前述のヨヤン米国防次官補代理は、戦争がどれだけ長く続くか、その中で必要となるサイバー攻撃にどれくらいの時間をかけて準備をしなければいけないかをロシアが見誤ったからではないかと分析している。

 ウクライナ政府側も同様の考察をしていた。7月29日付の朝日新聞(電子版)の取材で、ウクライナ国家特殊通信・情報保護局のビクトル・ゾラ副局長は、「ロシア軍はミサイルなどの通常兵器による攻撃だけで、ウクライナに容易に十分なダメージを与えられると想定し」、「高度なサイバー攻撃までは必要ではないと考え、長期で本格的なサイバー攻撃は準備をしていなかったのではないか」と述べた。

 第2に、ロシアが軍事侵攻前にサイバー攻撃を小出しにし、ウクライナに警戒させてしまったことが挙げられる。ウクライナ保安庁サイバーセキュリティ部門のイリヤ・ヴィチュク部門長は、軍事侵攻前にロシアが複数の種類のサイバー攻撃を仕掛けてきたことが、ウクライナにとってサイバー攻撃対応の予行演習となったと振り返る。

 例えば、ロシアは2022年1月からウクライナに対し、ウクライナ政府機関のウェブサイトを改竄し、「最悪の事態に備えよ」と書き込んだ。その後、政府機関のウェブサイトや金融機関のサービスをダウンさせるDDoS攻撃(分散型サービス拒否、ディードス)や、システムからデータを削除して業務を停止させてしまうワイパー攻撃を行っている。

 こうしたサイバー攻撃に直面したウクライナは、今まで以上にサイバー防御を強化し、ロシアの更なる攻撃に備えていった。また、ロシアがウクライナのITネットワーク内に侵入していないか調べ、痕跡を見つけた場合はロシア側のアクセスをブロックしたのである。

 第3に、殺傷力・破壊力を重視するなら、ミサイルや爆撃などの火力を使った攻撃の方がサイバー攻撃よりも優るため、ロシアが今までよりサイバー攻撃への注力を怠った可能性もあるだろう。

 平時やグレイゾーンでは、武力攻撃未満の烈度のサイバー攻撃で相手の国力に打撃を与えた方が、関与を否定する上でも、武力による反撃を避ける上でも都合が良い。しかし、戦時においては、火力を使った方が殺傷・破壊が確実に行える。ワイパーやランサムウェア(身代金要求型ウイルス)を使うのなら、火力による攻撃とタイミングを合わせて、経済機能の一時的麻痺や相手の反撃能力の低下を目指した重要インフラ攻撃が考えられよう。

 つまり、戦時において自らの能力を最大限に発揮するには、サイバー攻撃を火力や電子戦などその他の攻撃手段と組み合わせることが重要となる。しかし、ロシア軍では、何故かそうした組み合わせが今のところうまくいっていないと、マリア・ジャベイス米陸軍中将は、2022年8月に米南部ジョージア州オーガスタで開かれたサイバーセキュリティ会議「TechNet Augusta」で指摘した。

軍事侵攻1週間に決定した「クラウド移行」が奏功

 ロシアのサイバー攻撃が成果を出せていない要因として、ウクライナ側が最大限努力してきたことも見逃せない。

 2014年のクミリア併合、2015年12月と2016年12月のロシアからのサイバー攻撃による停電発生、2017年6月のウクライナの政府機関、銀行、メディア、キーウの国際空港、通信会社、電力会社などへの「ノットペトヤ」と呼ばれるワイパー攻撃は、ウクライナに苦い教訓を残した。そのため、ウクライナは、政府や重要インフラのサイバーセキュリティ対策を強化してきた。

 例えば、2014年のクリミア併合からの最大の教訓は、ロシアからの情報戦に屈しないための通信インフラ防御の重要性である。ウクライナでは、インターネット・インフラを分散化し、サイバー攻撃で一部がダウンしてしまったとしても、全ての通信が使えなくならないように努めてきた。

 ウクライナのサイバー防御力向上におけるキーワードは、レジリエンス(回復力)だ。全てのサイバー攻撃者からのネットワーク侵入の試みを防ぐことは不可能である。だからこそ、早期の侵入検知と対応、業務復旧が大切となる。

 クリス・イングリス米国家サイバー長官は、2022年8月にラスベガスで開催された国際サイバーセキュリティ会議「デフコン」で講演した際、ウクライナがレジリエンスのある強固な制度を作っていたことが功を奏したと賞賛した。

 業務を継続・復旧するうえでウクライナが下した非常に重要な決定は、データのクラウドへの移行だ。2月の軍事侵攻前、ウクライナの法律上、政府機関と一部の民間企業のデータのクラウド保存は不可とされていた。しかし、データの格納されているサーバーやデータセンターが破壊され、データが失われれば、業務復旧できなくなってしまう。

 このため、軍事侵攻の1週間前にウクライナ議会が急遽新たな法律を作り、クラウド移行を許可した。この移行措置を支援したのは、アマゾン、マイクロソフト、グーグルである。

 ウォロディミル・ゼレンスキー大統領は、11月にインドネシアで開かれていたG20首脳会談でビデオ演説した際、軍事侵攻のあった最初の週にロシアがウクライナの主要データセンターを破壊したと明らかにした。この破壊事件を受け、データのクラウド移行が加速したという。

ウクライナの培った類まれなる知見

 ウクライナ独自の努力を支えているのが、外国政府や企業との協力だ。2015年と2016年のロシアによるウクライナの電力インフラへのサイバー攻撃後、米国政府はウクライナの重要インフラのレジリエンス向上のため支援を開始した。アン・ニューバーガー国家安全保障担当副補佐官(サイバー・先端技術担当)によると、米サイバー軍やエネルギー省のチームを派遣し、ウクライナと緊密に連携して、サイバー攻撃の手口について情報共有をしているという。

 また、ドイツ政府は2022年11月にウクライナ支援のため10億ユーロ(約1340億円)の拠出を決めたが、それには、ロシアからのサイバー攻撃への防御対策も含まれている。

 見逃してはいけない重要なポイントは、ウクライナは支援を他国から受けるだけでなく、積極的な情報共有も行っている点だ。例えば、ウクライナ国家特殊通信・情報保護局のトップであるユリー・シチゴル准将は、9月22日付のニューズウィーク(オンライン版)の取材に対し、「ウクライナは、米国、欧州連合(EU)、日本、イスラエル、スペイン、ブラジルなど多くの国々にサイバー対話を通じて経験を常に共有している」と明らかにした。

 シチゴル局長は、戦禍にあるウクライナが情報共有を続ける理由について、力を合わせれば、より安価かつ効果的にサイバー防衛できるからだ、と述べている。しかも、世界は、「半年以上に及ぶ全面サイバー戦争と8年以上に及ぶサイバー攻撃と戦う中でウクライナが培った類まれなる知見を必要としている」とまで言い切ったのだ。

 同局のビクトル・ゾラ副局長も主要国際会議に対面参加し、この戦争からウクライナが学んだ教訓を世界に向けて発信し続けてきた。8月に米国で開催されたデフコン会議や10月にシンガポール政府が主催したインド太平洋最大級のサイバーセキュリティ会議「シンガポール国際サイバー週間」などに登壇しているが、戦時下のウクライナから海外に行くには片道2日間かかる。それでも尚、ゾラ副局長は、シンガポールの会議で「オープンで透明な」情報共有の大切さを世界に向けて訴えた。ウクライナに向けられているサイバー攻撃の矛先が、いつ他の国に向けられるか分からない。受けているサイバー攻撃の手口をウクライナが他国に共有すれば、その情報をもとに他国はサイバー防御を改善し、被害を最小化できるからだという。

 筆者は、「シンガポール国際サイバー週間」で、ゾラ副局長が登壇したデジタルインフラ防御に関するパネル討議で司会を務めていた。ミサイル攻撃が続くキーウからやって来たにもかかわらず、支援を訴えるのではなく、ウクライナの世界貢献の意思を伝える毅然とした同氏に隣の席で耳を傾けながら、心から敬服した。

戦時のサイバーセキュリティの課題

 戦時という非常事態においては、平時よりもサイバーセキュリティの確保が一層困難になる。

 第1に、サイバーセキュリティの担当者がストレスに起因するうっかりミスを多発する可能性がある。例えば、電力やエネルギーなどの重要インフラは、社会経済活動や国防上不可欠だが、それを支える従業員たちは戦争中、絶え間ない恐怖にさらされる。

 戦争開始から2カ月が経過した2022年4月22日付ブルームバーグの報道によると、とあるウクライナの重要インフラ企業の従業員たちは、ストレスのあまりパスワードを覚えていられなくなってしまい、覚えやすいものの脆弱なパスワードを選ぶようになったという。

 第2に、戦時の場合、重要インフラ施設は敵軍からのサイバー攻撃や火力による攻撃にさらされる恐れがあり、電力網が麻痺すれば、国のデジタルインフラの維持自体が困難になる。しかも、いつ砲撃を受けるか分からないため、システム復旧のために代替機器や専門チームを現地に迅速に送ることすらなかなかできない。

 第3に、敵軍に占領され、物理的に施設を接収されてしまうと、ITネットワークを乗っ取られ、そこからサイバー攻撃を仕掛けられることもあり得る。

 実際、ロシア軍はウクライナで占領する際、ウクライナ最大の国営石油・天然ガス企業「ナフトガス」の複数のデータセンターを占拠し、ロシア軍の機器を繋げてしまった。その上で、ナフトガスの社内ネットワークからサイバー攻撃を仕掛け始めたのである。

 当初、ナフトガス側は、何故サイバーセキュリティ対策をいくら取っても、ワイパーが繰り返し見つかるのか理解できなかった。だが、ようやく占領地域にある同社のシステムからサイバー攻撃を受けていることに気づいた。

 ナフトガスは最終的に、ロシア軍に町が占領されてしまい、退避する際には、上司に連絡し、その地域のネットワークアクセスを遮断できるよう従業員に指示を出したという。米サイバーセキュリティ企業「レコーデッドフューチャー」のオウンドメディア「ザ・レコード」が報じた。

 第4に、サイバーセキュリティ人材も戦火に巻き込まれて、危害が加えられてしまう危険性がある。10月10日のキーウへのロシアによる大規模なミサイル攻撃の際、自家用車で通勤途中の警察官が殺害されている。ユリー・ザスコカ(41)は、キーウ国家警察の重要インフラ防御部門の長として、サイバー犯罪の捜査に当たっていた。

 また、ウクライナ国家特殊通信・情報保護局の重要インフラ担当者4人も、10月のウクライナ東部ルハンスクとドニプロへのミサイル攻撃で命を落としている。

高まるウクライナ支援組織への攻撃リスク

 今のところロシアからのウクライナに対する妨害型のサイバー攻撃が、予想に比して被害をあまり出していないとは言え、今後の攻撃については予断を許さない。ビクトル・ゾラ副局長は、2022年8月時点でロシアが10種類以上のワイパーを戦争中に使ってきたとしており、ワイパーが今後も最大の課題だと警戒している。

 さらに、ランサムウェアを使った業務妨害にも注意が必要だ。

 実際、ロシア連邦軍参謀本部情報総局(GRU)のハッカー集団「サンドワーム」は、9月下旬からポーランドとウクライナの輸送と物流産業に新種のランサムウェアを使った攻撃を開始し、規模は不明であるが被害をもたらした。このランサムウェアを発見したマイクロソフトは、ウクライナへ人道・軍事支援を供給している組織へのリスクが高まっていると警鐘を鳴らしている。

 また、ウクライナ政府は 11月11日、ロシアのハッカー集団「From Russia with Love(ロシアから愛を込めて)」がウクライナの複数の組織に対し、新種のランサムウェアで攻撃していると発表した。しかし、このハッカー集団は身代金を要求していないため、実質的には金銭目的ではないワイパー攻撃と言える。

 一方、ロシアのサイバースパイ活動にも留意が必要だ。フィンランド情報機関の安全保障情報庁(SUPO)は、9月29日に「国家安全保障概観2022」を出し、ロシアが欧米諸国に従来頼っていたハイテク技術が制裁により輸入できなくなってしまったため、ハイテク産業を立ち上げる必要があり、ロシアによる経済スパイ活動の脅威が高まっている、と指摘した。

 経済スパイ活動の手段としては、スパイによるインテリジェンス収集活動とサイバー攻撃の2種類がある。だが、ウクライナへの軍事侵攻後、多くのロシア人外交官が西側諸国から追放されたため、外交官の身分を隠れ蓑にしてのインテリジェンス収集が難しくなっているとSUPOは分析している。よって、冬にかけて諜報活動のためにサイバー攻撃を再び使う可能性が非常に高いという。

官民の対策強化が必要

 日本を含め、ウクライナに人道・軍事支援をしている国々は、今後も一層のサイバー脅威の動向の注視と官民のサイバーセキュリティ対策の強化が求められる。

 軍事作戦の一環として行われる妨害型のサイバー攻撃がたとえ特定の組織や業種を狙って行われたとしても、国境のないインターネットを伝って、他業種や他国にまでドミノ式に感染被害や業務停止が広がる可能性が十分ある。2021年5月の米コロニアル・パイプラインへのランサムウェア攻撃でも、全米数千箇所のガソリンスタンドの燃料不足、アメリカン航空の航路の変更が発生し、安全保障上・経済安全保障上の危機となった。

 つまり、サイバーセキュリティは、安全保障・経済安全保障の一翼を担う。サイバー攻撃の対応にあたっては、日々のサイバー攻撃被害に対処する技術者だけでなく、国際安全保障や経済、語学、法律、インテリジェンスなど多様な分野の専門家の参加が不可欠である。

 また、エネルギーや電力など、社会経済活動と安全保障を支える重要インフラは、平時にもある自然災害やシステム障害に加えて、有事においては、火力による攻撃と烈度の高い妨害型のサイバー攻撃に晒される中で業務を継続しなければならない。その際、官民は如何に連絡と連携を取るのであろうか。

 コロニアル・パイプライン事件やノットペトヤ事件からも教訓を学ぶ必要がある。ランサムウェアやワイパーによるサイバー攻撃の被害がドミノ式に他業種や複数の国に広がって安全保障上の危機が発生した場合、被害最小化のために如何に防衛省・自衛隊を含め官民が情報共有をし、どのような役割分担をするのかについても、平時から整理が求められよう。さらに、そうした危機対応計画が実効性のあるものになっているかを確かめるには、定期的な合同演習も求められる。

 

松原実穂子(まつばら・みほこ)

NTT チーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。


 
フォーサイト最新記事のお知らせを受け取れます。
執筆者プロフィール
松原実穂子(まつばらみほこ) NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。近著に『ウクライナのサイバー戦争』(新潮新書)
  • 24時間
  • 1週間
  • f
back to top