ウクライナに対する破壊的なハッキングは、前回のサイバー戦争を彷彿とさせる

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

サイバーセキュリティの世界は数週間にわたり、ロシアによるウクライナ侵攻に伴う、あるいはその前兆となる可能性のある破壊的なハッキング攻撃に備えてきました。そして今、その第一波が到来したようです。今のところ規模は小規模ですが、今回の攻撃は、数年前にウクライナ政府と重要インフラを麻痺させたロシアによる大規模なサイバー戦争の再来を示唆する手法を用いています。

マイクロソフトのセキュリティ研究者は土曜夜、ランサムウェアを装ったデータ破壊型マルウェアがウクライナ政府機関および関連組織のコンピュータを攻撃したと発表した。被害者には、複数のウェブサイトを管理するIT企業も含まれており、金曜日早朝にハッカーが反ウクライナのメッセージで改ざんしたウェブサイトと同じだ。しかしマイクロソフトは、このワイパー型マルウェアがより多くのネットワークで発見されるにつれて、被害者数はさらに増加する可能性があると警告している。

ウクライナのサイバーセキュリティ機関（国家特別通信情報保護局、SSSCIP）の上級職員、ヴィクトル・ゾラ氏は、ランサムウェアのメッセージについて初めて耳にしたのは金曜日だったと述べている。管理者は、PCがロックされ、1万ドル相当のビットコインを要求するメッセージが表示されているのを発見したが、管理者が再起動した際にハードドライブが回復不能なほど破損していたという。ゾラ氏によると、SSSCIPはマルウェアを発見したのはほんの一握りのマシンのみだが、マイクロソフトはウクライナに対し、マルウェアが数十のシステムに感染した証拠があると警告していたという。日曜日の東部標準時午前時点で、1人が身代金を全額支払おうとした模様だ。

「これがより大規模な攻撃と関連しているかどうかを確認中です」とゾーラ氏は述べた。「これは第一段階であり、近い将来に起こりうるより深刻な事態の一部である可能性があります。だからこそ、私たちは非常に心配しているのです。」

マイクロソフトは、偽ランサムウェアに感染したPCを再起動すると、マルウェアがハードドライブ上のマスターブートレコード（MBR）情報を上書きすると警告している。MBRは、コンピュータにオペレーティングシステムの起動方法を指示する情報である。その後、ファイル破損プログラムが実行され、特定のディレクトリにある多数のファイルタイプが上書きされる。マイクロソフトのブログ記事によると、こうした破壊的な手法はランサムウェアとしては異例で、被害者が身代金を支払った場合、容易に元に戻すことはできないという。今回のキャンペーンでは、マルウェアも身代金要求メッセージも被害者ごとにカスタマイズされていないことから、ハッカーは被害者を追跡したり、身代金を支払ったユーザーのマシンのロックを解除したりする意図はなかったことが示唆される。

このマルウェアの破壊的な手法と偽のランサムウェアメッセージは、ロシアが2015年から2017年にかけてウクライナのシステムに対して行った、時に壊滅的な被害をもたらしたデータ消去型サイバー攻撃を不気味に想起させます。2015年と2016年の一連の攻撃では、後にロシア軍情報機関GRU（参謀本部情報総局）の一員と特定された「サンドワーム」と呼ばれるハッカー集団が、マイクロソフトが特定したマルウェアに類似したマルウェアを使用して、ウクライナのメディア、電力会社、鉄道システム、そして財務省や年金基金を含む政府機関内の数百台のPCを消去しました。

これらの標的型攻撃の多くは、捜査官を混乱させるために類似の偽のランサムウェアメッセージを用いていましたが、2017年6月にSandwormがNotPetyaワームをリリースしたことで頂点に達しました。NotPetyaはネットワーク内のマシンからマシンへと自動的に拡散しました。今回の攻撃と同様に、NotPetyaはマスターブートレコードとファイルタイプのリストを上書きし、銀行からキエフの病院、チェルノブイリの監視・浄化活動に至るまで、数百ものウクライナの組織を麻痺させました。数時間のうちにNotPetyaは世界中に拡散し、最終的に総額100億ドルの被害をもたらし、史上最悪のサイバー攻撃となりました。

画像に含まれるもの: 窓

麻痺した港湾。麻痺した企業。機能停止した政府機関。史上最悪のサイバー攻撃の内幕。

過去の攻撃に少しでも類似するマルウェアの出現は、世界のサイバーセキュリティコミュニティの警戒感を一層高めている。彼らは既に、この地域の緊張を鑑みて、データ破壊的な攻撃の激化を警告していた。例えば、セキュリティ企業Mandiantは金曜日、ロシアが過去に実行したような破壊的な攻撃の可能性に備え、ITシステムを強化するための詳細なガイドを公開した。「ランサムウェアと思われる破壊的な攻撃について、お客様に特に警告を発してきました」と、Mandiantの脅威インテリジェンスを率いるジョン・ハルトクイスト氏は述べている。

マイクロソフトは、今回発見した新たなマルウェアについて、既知のハッカーグループによる犯行の証拠はないと慎重に主張してきた。しかし、ハルトクイスト氏は、このマルウェアがサンドワームが使用する破壊的なワイパーと類似していることに気づかずにはいられないと述べている。GRU（ロシア連邦軍参謀本部情報総局）は、ロシアのいわゆる「近海」、旧ソ連諸国において、長年にわたり破壊活動や混乱を引き起こしてきた歴史を持つ。特にサンドワームは、ウクライナとロシア間の緊張や紛争が激化する局面で、破壊的なハッキングを強化してきた歴史を持つ。「今回の危機において、GRUが最も積極的な攻撃者になると予想しています」とハルトクイスト氏は言う。「この問題は彼らの得意分野なのです。」

現時点では、この最新の破壊的マルウェアとサンドワーム、GRU、さらにはロシアとの関連性は、いまだ確証が得られていません。マイクロソフトが新たなマルウェアの詳細を公表する以前、ウクライナ政府は、ゴーストライターと呼ばれるグループがウクライナ政府ウェブサイト15件をハッキングし、ポーランド語由来のように見える反ウクライナのメッセージで改ざんしたと非難していました。マンディアントとGoogleのセキュリティ研究者は過去にゴーストライターをベラルーシの諜報機関と関連付けていましたが、マンディアントはゴーストライターがGRUと緊密に連携している可能性も示唆しています。

ウクライナ国家安全保障・国防会議のセルヒー・デメジュク副議長はロイター通信に対し、この改ざん攻撃に関連して発見された破壊的なマルウェアは、APT29（別名Cozy Bear）が使用したマルウェアと「特性が非常に類似している」と述べた。しかし、この別のハッカー集団は、破壊活動ではなくステルススパイ活動を任務とするロシアの対外情報機関SVRの一部であると考えられている。（SSSCIPのゾーラ氏は、デメジュク氏の調査結果を確認できなかったと述べている。）「サイトの改ざんは、水面下で行われていたより破壊的な行為を隠蔽するためのものであり、その影響は近い将来、私たちが実感することになるだろう」とデメジュク氏はロイター通信に記した。

新たなワイパーマルウェアの背後にいるハッカーたちが何をしようとしているのかは、今のところ明らかではない。ハルトキスト氏は、ハッカーたちの具体的な標的を知らなければ、その意図を推測するのは難しいと述べている。しかし、同氏は、その目的は、ウクライナとの戦争を背景にロシアが行った過去のサイバー攻撃とほぼ同様である可能性が高いと主張している。つまり、大混乱を引き起こし、ウクライナ政府を困惑させ、重要な局面でその決意を弱めることにある。

「強い政府を装おうとするなら、システムがオフラインになり、インターネットへのアクセスが途絶えるのは、決して良い印象を与えません」とハルトキスト氏は言う。「破壊的な攻撃は混乱を引き起こします。権威を揺るがし、制度を腐らせます。」これらの小規模なサイバー攻撃が、ロシアがウクライナで新たな戦争を始めようとしていることを示しているかどうかはさておき、前回のサイバー戦争の最初の一撃と不快なほど似ているように見える。

WIREDのその他の素晴らしい記事