イメージ:写真AC

ロシアとウクライナの間の現在の危機は、サイバー攻撃のリスクを高めている。そして、私たちが見直すべきサイバーセキュリティのポイントは?本稿執筆時点での状況を踏まえて解説していく。

現時点では、当初想定されていたようなロシアからのサイバー攻撃は確認されていないものの、予断を許さない状況であることには変わりないため、各国政府機関から企業や組織に対してサイバー攻撃への注意喚起やアドバイザリーが提供されている。

日本においても3月1日、経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンターの7省庁合同で、「サイバーセキュリティ対策の強化について(注意喚起)」*1と題された注意喚起が公表された。

ここでは平時におけるリスク低減、インシデントの早期発見、そしてインシデント発生時の適切な対処や回復について以下の7つのアドバイスが提供されている。

1.リスク低減のための措置

・パスワードが単純でないかの確認、アクセス権限の確認、多要素認証の利用、不要なアカウントの削除等により、本人認証を強化する。
・IoT 機器を含む情報資産の保有状況を把握する。特に VPN 装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ (最新のファームウェアや更新プログラム等)を迅速に適用する。
・メールの添付ファイルを不用意に開かない、URL を不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。

2.インシデントの早期検知

・サーバ等における各種ログを確認する。
・通信の監視・分析やアクセスコントロールを再点検する。

3.インシデント発生時の適切な対処・回復

・データ消失等に備えて、データのバックアップの実施および復旧手順を確認する。
・インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。

今一度、現状の再点検の意も含めて、ご確認されたい。

周辺国にも波及

さて、ウクライナの状況は変化しており、本稿が公開される頃には執筆時点の想定と大幅に異なるような状況も考えられる。そこで今回は、上記で紹介した注意喚起が公表された時点で、どのようなサイバー攻撃が行われていたのかを振り返ってみたい。

2月23日、ウクライナでの衝突が始まる数時間前、ウクライナのある組織(非公表)に対してシステムのMBRを破壊するディスク・ワイピング・マルウェア(Trojan.Killdisk)というマルウェアを用いたサイバー攻撃が行われた。MBRというのはシステムが起動するために必要な箇所であり、これを破壊されるとシステムそのものの起動ができなくなる。

この件を調査した大手セキュリティ企業によると、実は既に昨年12月23日の時点で不正侵入されており、1月16日には不正操作するために用いるWebシェルが標的となったシステムにインストールされていたことが確認されている。このマルウェアはワームと呼ばれるもののように自動的に展開していくのではなく、手動でアクティブ化されることで発動する。すなわち、昨年12月に仕込んでおいたマルウェアはすぐにアクティブ化せず、このタイミングまで虎視眈々と待ち続けていたということだ。

さて、ラップトップにソフトウェアをインストールされる際、「このソフトウェアは信用できます」とか「信用できません」といった警告が表示されたことはないだろうか? これはプログラムの安全性を証明するためのデジタル署名が有る場合(信用できます)と、無い場合(信用できません)によるものである。

そして、今回用いられたこのマルウェアは、このデジタル署名を用いることで安全なプログラムのように見せかけていた。さらに、このデジタル署名を記録していた証明書は、キプロスで登記されているアートとケーキを扱う会社の社名となっていた。そのため、証明書を発行するためにフロント企業を使ったか、既に閉鎖されている企業の情報を流用した可能性が考えられる。

また、別のセキュリティ企業の調査によると、同様のマルウェアは23日時点でウクライナ国内だけでも数百台の端末から発見されている。そして同様の被害は、1月頃からウクライナ政府に対するサイバー攻撃で用いられていたことが確認されている。

また、サイバー攻撃はウクライナ国内に限らず、ラトビアとリトアニアにあるウクライナ政府の請負業者と、ウクライナ系金融機関などもウクライナでの衝突開始早々に被害を受けている。

このサイバー攻撃では、システムの破壊と同時にランサムウェアも用いることで被害者の注意を逸らし、金銭目的の犯罪者による犯行を装うことで攻撃者の意図や追跡を困難にしている。