『ロシア・サイバー侵略: その傾向と対策』2023/3/1
スコット・ジャスパー (著), 川村幸城 (翻訳)

 ロシア・サイバー侵略の詳細な分析と豊富な実例、そして教訓から学ぶ最新の対応策を解説してくれる本です。
 ロシアは2016年の米大統領選で偽情報を拡散し、クリントン氏を敗北に導きましたが、この時ロシアは、メッセージの拡散に協力してくれる熱狂的信者のネットワークを利用することで、アメリカ世論を効果的に分断できたそうです。政治的ライバルに関する「他人に知られては困る不名誉な材料」を戦略的に公表することは、ロシアが古くから利用している手口なのだとか。
 そして2020年にも……
「2020年11月のアメリカ大統領選挙で、モスクワはアメリカの有権者を揺さぶり、国内に不和をもたらす目的で、サイバー技術を駆使した影響力キャンペーンを実施した。」
 ……とのことですが、実はこの時は、アメリカ軍が、大統領選への介入を事前に防ぐため、ランサムウェア集団に対して初めて新しいアプローチを採用し、<トリックボット>グループへの隠密行動を開始。その遠隔サーバに侵入し、数千台の感染したコンピュータへのアクセスを一時的に遮断したそうです。……アメリカ軍は前回の教訓を活かして、対策していたんですね……。
 実は、「サイバー諜報自体は国際法上禁止されているわけではない」し、相手国のサイバー諜報を起訴することは、自国のサイバー諜報を危機に導く危険性もあるので、対応がとても難しいようです。
 さらに……
「ロシアのサイバー行動は被害が発生する前に検知されることのないよう、技術的に洗練された状態を維持している。また、違法行為に分類されることを避けるため、法的な曖昧さを巧妙に悪用し続けている。」
 ……ロシアには技術的に高度な能力があるのはもちろん、法的な曖昧さを悪用する知恵、相手に損害を与えることに躊躇しない冷酷さもあるようです。次のようなことが書いてありました。
・「悪意あるアクターは、ソフトウェアの更新プロセスでマルウェアの感染をしかける」
・「(前略)攻撃者は「偽旗作戦」を実施し、あらかじめ用意した証拠や虚偽の主張により、第3国の仕業であることをほのめかす。」
・2015年、ウクライナの電力会社で、ハッカーたちは変電所30カ所のブレーカーを遮断し、22万5000件以上の利用者の電力を停電させた。停電中にハッカーたちはネットワークの不正侵入に加え、遠隔地からの電話によるサービス拒否(DOS)攻撃を実施した。ハッカーたちは十数カ所の変電所にあるシリアル・イーサネット・コンバータに悪質なファームウェアをアップロードしてブレーカー器材を損傷させた。
   *
「訳者あとがき」には、本書の「第1部 現代ロシアのサイバー戦」の概要が、次のように書いてありました。
「(前略)ロシアは自らの力の限界を自覚していたからこそ、米欧に対する非対称軍備としてのサイバー戦を、作戦上・戦略上の柔軟性を維持できる数少ない体外政策の有力ツールとして活用してきたのである(第2章)。そして、サイバー作戦が最も効果をあげるのは武力行使未満のいわゆるグレーゾーンの段階であり、相手国指導者の意思決定への影響と相手国民の戦意喪失を狙ったハイブリッド戦(第3章)や、相手国の世論を操作し、社会的亀裂を生み出す情報心理戦型の偽情報キャンペーン(第4章)の中で、サイバー戦は中心的役割を担うようになった。こうしてロシアは少なくとも2007年以降、戦略的戦争を有利に勝ち抜くための、サイバー行動を軸とした対外政策の新しいモデルを作り上げてきた。第1部では、こうした経緯が詳細に語られている。」
 そして……
「(前略)ロシアはこれまでにもサイバー侵略を繰り返してきた。しかし、サイバースペースを取り巻く環境は、第一に、サイバー行動を規制する確立された法規範がいまだに存在しないこと、第二に、国家責任を帰属する際の条件となるアトリビューションが技術的にきわめて困難であるという事情があり、被害国や国際社会は適切な対応行動をとることができなかったのである。」
 ……実は、サイバー行動を規制する確立された法規範はなく、現状は「規範」レベルで対応しているようです。
「さまざまな組織がサイバースペースにおける国家の責任ある行動についての自発的で拘束力のない規範・ルール・原則を追求してきた理由は、サイバー領域を対象とする正式条約の適用可能性に関して広範な疑問が存在しているからである。」
 ……と書いてありましたが、例えば、広く行き渡り、簡単に利用でき、比較的安価なマルウェアをどのように管理するのか? また、条約の遵守状況をどのように検証するのか? などの問題があるので「法規範」を作るのは難しく、「規範」が条約の「良き代替手段」となっているようです。というのも……
「サイバー領域とは「攻撃ベクターと攻撃能力が継続的に発展を遂げる」領域であり、条約は「サイバー領域の急速かつ予測できない技術革新のペース」に追いつけないからである。」
 ……うーん、まさしくその通りですね。今後も「法規範」を作るのは困難なのでしょう。
 そして本書の後半では、「第3部 サイバー防衛のソリューション」、サイバー防衛をどのように行っていくかの概説が始まります。
 サイバー侵入の諸段階(侵入キルチェーン)は、次のようになっているそうです。
1)偵察:ターゲットを調査、識別、選定するためeメールアドレス、社会的関係、特定技術(システム、アプリケーション、サービスなど)に関する有益な情報を収集
2)兵器化:攻撃ベクターの識別――例えば、遠隔アクセス型のトロイの木馬とエクスプロイトを結合し、運搬可能なペイロード(兵器化されたドキュメントなど)またはカスタマイズ化したツールを作成
3)搬送:ターゲット環境への兵器の送信――例えば、eメールやUSBスティック、モバイル機器を経由
4)エクスプロイテーション:アプリケーションやオペレーティング・システムの脆弱性あるいはオペレーティング・システム機能を利用し、侵入コードを起動・実行
5)インストール:持続性を維持するため、アセットにバックドアとして機能するマルウェアを設置
6)遠隔操作:攻撃者がターゲット・システムを遠隔操作するため、遠隔操作サーバにビーコン信号を発信
7)目標達成のための実行:侵入者は、ターゲット環境の中で目的を達成――例えば、破壊、操作、情報窃取
   *
 また『CIS管理対策』の中で提示されている効果的なサイバー防御態勢の5つの重要理念は次の通りです。(注:CIS=インターネット・セキュリティ・センター)
1)攻撃から防御法を学ぶ:現実世界に生起した攻撃を阻止した実績をもつ実践的防御法を活用
2)優先順位の設定:最も危険なサイバー脅威アクターに対し、最もリスクを軽減できる管理対策に優先的に資源を投入
3)効果の測定と基準の設定:セキュリティ対策の有効性を測定する共通基準を設定
4)継続的な診断と対策:現行のセキュリティ対策の有効性を検証し、次なる対策の優先順位を設定
5)自動化:防御を自動化し、信頼性の高い継続的なアドヒアランスとメトリクスの測定を実現
   *
 ……なんと「ランサム・アプリケーションの多くは1分以内に暗号化プロセスを終える」ようで、そのあまりの速さに人間の力だけでは太刀打ちできないので、自動化の仕組みが必要なのです。
 そして、今後は「情報システムのレジリエンス」を高めることが重要なようです。この情報システムのレジリエンスとは、「攻撃を受け、(防衛力が)低下または弱体化した状態に陥っても運用を継続し、相手の攻撃が成功した後でも、基本的機能を発揮する運用を速やかに回復することができる情報システムの能力」だそうです。
 具体的な対応策としては、RMF(リスク管理枠組み)や、サイバーセキュリティ・フレームワークなどがあるようで、その一部を紹介すると次の通りです。
・「重要インフラを対象としたサイバーセキュリティを改善するためのNIST枠組み」(以下「サイバーセキュリティ・フレームワーク」と表記)は、選択する管理対策を識別・調節し、システムとの整合を図るとともに、RMF関連業務の実効性を向上させるために活用される。」
・「「サイバーセキュリティ・フレームワーク」は、サイバーセキュリティ活動、望ましい結果、重要インフラ部門に共通する有益な参照基準に関するコアセットから構成されている。その中核には、識別、保護、検知、対応、復元という5つの同時並行的な機能がある。」
・「リスク管理のための「サイバーセキュリティ・フレームワーク」は、優先順位に基づくセキュリティ管理対策とプライバシー管理対策の選定・実装・評価を可能にするのに対し、多層防御戦略はさまざまなリスク対策をどのように配分し、配列するかに関する指針として有効である。「多層防御」という用語は、「人、テクノロジー、運営能力を融合し、複数の層にさまざまな障害を設置するとともに、組織の任務を確立するための情報セキュリティ戦略」を意味する。」
   *
 ……本書を読むと、ロシアのサイバー侵略能力の高さを痛感させられ、恐ろしく感じる一方で、その防御コストの高さに迷いも感じてしまいます。
 さて2022年、ロシアがウクライナに侵攻しました。この時、実はロシアはウクライナを10日間で制圧し、同年8月には全土を併合する計画だったようですが……
「この侵攻を阻止したのが、国防軍の高い士気と国民の結束に支えられたウクライナの強靭な抵抗であった。ロシア軍は攻撃に必要な兵站の準備や作戦調整を行う暇もなく、ひたすら電撃的な奇襲効果(クリミア侵攻を彷彿させる)を狙った結果、逆に甚大な損害を被ったのであった。ウクライナ国内に張り巡らされていたロシアによる政治工作網もウクライナ保安庁(SBU)の防諜活動によって早々と解体させられた模様である。そして何よりも、国家間の初の大規模なサイバー戦と言われる今回の紛争において、開戦初期に見られたロシアによる空前の規模のサイバー攻撃も、NATOやIT企業の支援を受けたウクライナの効果的なセキュリティ防御に阻まれている。」
 ……ウクライナは2022年より前にも、ロシアから数回大規模なサイバー攻撃を受けてきたので、今回はその経験を活かして、なんとか対応しているようです。日本もこの「攻撃から防御法を学び」、今現在も発生していると思われるサイバー攻撃への「防御→回復」技術を向上させていって欲しいと願っています。
『ロシア・サイバー侵略: その傾向と対策』……アメリカ・サイバー戦の第一人者のジャスパーさんが貴重な情報を教えてくれる本で、とても参考になりました。ITに関わる仕事をしている方は、ぜひ読んでみてください☆
   *    *    *
 なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>