ロシアの「ハクティビスト」がウクライナをはるかに越えて問題を引き起こしている

リトアニアへの攻撃は6月20日に始まった。その後10日間、政府機関や企業のウェブサイトがDDoS攻撃の集中攻撃を受け、トラフィックが過負荷となり、オフラインに追い込まれた。「通常、DDoS攻撃は1つか2つの標的に集中し、膨大なトラフィックを発生させます」と、リトアニア国立サイバーセキュリティセンターのヨナス・スカルディンスカス所長代理は述べている。しかし、今回の攻撃は違った。

攻撃開始の数日前、リトアニアはロシア領カリーニングラードへの石炭と金属の国内輸送を阻止し、ロシアとの紛争におけるウクライナへの支持をさらに強化した。親ロシア派ハッカー集団「キルネット」は、8万8000人のフォロワーに向けて、Telegramチャンネルに「リトアニア、正気か？🤔」と投稿した。その後、同グループはハクティビストに対し、他の親ロシア派ハッカー集団の名前を挙げ、リトアニアのウェブサイトへの攻撃を呼びかけ、攻撃対象のリストを公開した。

スカルディンスカス氏によると、攻撃は継続的に行われ、リトアニアの日常生活のあらゆる分野に及んでいた。リトアニア政府によると、公共部門と民間部門合わせて130以上のウェブサイトが「妨害」されたり、アクセス不能になったりした。スカルディンスカス氏によると、キルネットに関連する攻撃は7月初旬以降ほぼ減少しており、政府は刑事捜査を開始したという。

これらの攻撃は、2月にウラジーミル・プーチン大統領がウクライナ戦争を開始して以来、親ロシア派の「ハクティビスト」活動の最新の波に過ぎない。ここ数ヶ月、キルネットはウクライナを支持しているものの、戦争に直接関与していない国々を標的にしており、そのリストは拡大している。ドイツ、イタリア、ルーマニア、ノルウェー、リトアニア、そしてアメリカ合衆国のウェブサイトへの攻撃はすべてキルネットとの関連が指摘されている。キルネットは10カ国に「宣戦布告」している。こうした攻撃は、ある国がウクライナへの支持を表明した後に行われることが多い。一方、別の親ロシア派ハクティビスト集団であるXakNetは、ウクライナ最大の民間エネルギー企業とウクライナ政府を標的にしたと主張している。

セキュリティ専門家は、ロシアからの攻撃が西側諸国を標的にする可能性があると繰り返し警告しているが、ボランティアのハクティビスト集団の活動は、国家による公式な支援や実施がなくても影響力を持つ可能性がある。「彼らは間違いなく悪意を持ってこれらの攻撃を行っている」と、セキュリティ企業Digital Shadowsのシニアサイバー脅威情報アナリストで、Killnetを研究しているイヴァン・リギ氏は述べている。「彼らはロシアと共謀しているのではなく、ロシアを支援しているのだ。」

キルネットはDDoSツールとして始まり、今年1月に初めて発見されたとリギ氏は語る。「彼らは、ボットネットを雇ってDDoS攻撃を仕掛けられるアプリやウェブサイトを宣伝していました」。しかし、2月末にロシアがウクライナに侵攻すると、このグループは方針転換した。リギ氏によると、キルネットとその「レギオン」グループ（参加して攻撃を仕掛けるよう呼びかけられている一般人）の活動の大部分はDDoS攻撃だが、ウェブサイトの改ざんにもこのグループが関与しているのを確認したことがある。また、グループ自身もデータ窃盗を行ったという未確認の主張をしているという。

政治的な発言や標的に関する議論を行うTelegramチャンネルは2月末に開設され、人気が急上昇。メンバー数は5月以降倍増している。「ロシア国民の間で大きな人気を集め始めました」とリギ氏は語る。リギ氏によると、同社は洗練されたプロモーションビデオを制作し、独自のグッズも販売しているという。

DDoS攻撃は高度なものではないが、「国民の間に不安感を生み、欧州の現在の政治情勢に我々が関与しているという印象を与えることは依然として可能だ」と、ノルウェーのサイバーセキュリティ機関NSMの責任者ソフィー・ニストロム氏は、6月末にノルウェーの企業がDDoS攻撃の標的となった後の声明で述べた。

ロシアは長年、ランサムウェア集団などのサイバー犯罪者の温床となってきましたが、ロシアはロシア国内の企業を標的にしない限り、これらの犯罪をほぼ無視してきました。同時に、ロシア軍のハッカーたちは長年にわたり世界的な混乱を引き起こし、ウクライナで停電を引き起こし、オリンピックをハッキングし、史上最悪のサイバー攻撃を実行しました。開戦以来、ロシアの国家支援を受けたハッカーの存在を裏付ける証拠が積み重なっていますが、ロシアは世界中でサイバー攻撃を仕掛けたことを一貫して否定しています。在米ロシア大使館はコメント要請に直ちに回答しませんでした。

4月、米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ当局は、XakNetやKillnetなどの親ロシア派グループが引き起こす可能性のある被害について警告を発した。Killnetの背後に誰がいるのか、またこのグループがロシア政府の支援を受けているかどうかは不明だが、悪名高いロシアのハクティビストグループがクレムリンと関連しているという指摘もある。6月末、ブルームバーグが最初に報じたように、米国のサイバーセキュリティ企業Mandiantは、ロシアの情報機関員が盗んだ情報をXakNetに渡したと発表している。ウクライナ当局はまた、同国最大の民間エネルギー企業DTEKへの攻撃をXakNetの仕業だと断定している。（このグループは、3万6000人の登録者を抱えるTelegramチャンネルに、DTEKについて複数回投稿している。）

「ロシアによるウクライナ侵攻を背景に、多くのグループが出現しました」と、マンディアントのシニアアナリスト、アルデン・ワルストロム氏は述べている。「XakNetとKillnetはどちらも出所に疑問符が付きます」。ワルストロム氏は、ハクティビズムの主張には「健全な懐疑心」を持って臨むべきだと述べ、ロシアの情報機関はサイバー活動に「特定のグループを利用する確固たる歴史」を持っていると指摘する。先週、IBMは、ランサムウェア攻撃グループ「Conti」のような複数の小規模グループで構成され、ロシア政府ともつながりを持つサイバー犯罪グループ「Trickbot」がウクライナを標的としていることを初めて確認した。IBMはこの動きを、グループの行動における「大きな変化」と表現している。

XakNetは、ロシア政府からの指示を受けていないと主張している。Mandiantの調査結果に対するTelegramの投稿で、XakNetはクレムリンの立場を「全面的に」支持し、自らの活動が違法であることを認めている。また、「現時点では」ロシアのFSB（連邦保安庁）には協力していないが、「要請があれば喜んでデータを提供する」と述べた。

ロシアのハッカーグループ同士の間にも何らかの繋がりがある可能性もある。ワルストロム氏によると、複数の事例で、彼らはTelegramチャンネルで他のグループの活動についてクロスポストしているという。例えば、Killnetがリトアニアを標的にするよう呼びかけた際、XakNet、ロシアのランサムウェアグループ、その他の親ロシア派ハッカーグループに支援を求めるメッセージを投稿した。

「XakNetとKillnetはロシアのメディアでかなりの数のインタビューを受けており、少なくともこの活動の一部には二重の要素が含まれている可能性を考慮する必要がある」とワルストロムは言う。「彼らはウクライナ国内、あるいはさらに遠く離れた国外でロシアの利益を推進しているが、その一方で、ロシアのメディアでは、ロシア政府の決定を支持する愛国的なボランティア集団として大々的に宣伝されているのだ。」

Killnetはコメント要請に対し、XakNetとは「もはや友好関係ではない」と回答した。「我々の敵はあなた方の政府だ」と同グループは主張する。「だが、我々は一般の人々にとって危険ではない」

DDoS攻撃はウクライナでも顕著です。ウクライナ当局はボランティアIT軍を結成し、世界中の人々がロシアの標的への攻撃に協力しています。このIT軍は、ロシア政府機関、食品配達サービス、銀行のウェブサイトを少なくとも一時的にダウンさせたと主張しています。先月、プーチン大統領の演説の一つは、IT軍の攻撃により1時間延期されました。ロシアへの攻撃は、アノニマスなど、ウクライナ国外のハクティビスト集団からも行われています。

結局のところ、ロシアとウクライナの戦争が続く中、親ロシア派サイバー集団の活動はロシアの目的と一致し続けている。「モスクワは、ロシアを拠点とするハクティビスト集団との関係を意図的に曖昧にしてきた」と、米国に拠点を置くシンクタンク、戦略国際問題研究所（CSIS）の国際安全保障プログラム副所長、エミリー・ハーディング氏は述べている。「モスクワの治安当局はこれらの活動家を把握しており、必要に応じて何らかの形で協力を強いるだろう」

ハーディング氏によると、アナリストたちはロシアがウクライナを支援する国々に対して「否認可能なツール」とグループを用いて反撃すると繰り返し予測してきたという。DDoS攻撃は高度ではないかもしれないが、この動きに貢献している。そして、いわゆるハクティビスト集団による攻撃がより高度になれば、より大きな被害をもたらしたり、紛争のエスカレーションのリスクを高めたりする可能性が高まる。「誤算のリスクは現実的です」とハーディング氏は言う。「エスカレーションを起こさずにサイバー作戦の限界を真に試した者は、まだ誰もいません。」