Cisco Japan Blog
Share

ウクライナで進行中のサイバー攻撃に関する現在のエグゼクティブガイダンス


2022年3月1日


注:Talos 社は、追加の報道や情報が得られ次第、この記事を更新しています。

 

2022年3月1日更新:

Cisco Talosは、この地域の活動に関する私たちの現在の懸念を概説する新しいブログを発表しました。

なお、ウクライナで進行中の活動に関連するすべてのIndicators of Compromise(IOC)は、それぞれWhisperKillHermeticWiperのブログに掲載されています。

2022年2月26日更新:

ウクライナにおける悪意のある活動を分析するための継続的な作業の一環として、私たちは、国家による支援を受けているサイバー犯罪者と従来のサイバー犯罪者の両方を含む複数のアクターグループを追跡しています。この作業の一環として、私たちは、これらのグループに関連するマルウェアのサンプルを定期的に確認しています。これらのグループのうち、興味深いのは、その能力と精巧さが多岐に渡っていることです。これらのサンプルを処理する中で、特に懸念されるものがありました。それは、マシンの言語設定が、ウクライナ語だけでなく、独立国家共同体のメンバーによって使用されている複数の言語のいずれかである場合、マルウェアの実行を阻止する制御を示すものでした。これは、次の2つのうちどちらかを意味すると考えています。まず、私たちが確認したサンプルの数から考えて、おそらく最も可能性が高いのは、攻撃者がこれらの制御を見逃し、このマルウェアが展開されたときに正しく動作しないことに驚いてしまったということでしょう。第二に、これはウクライナ国外への展開を意図したサンプルである可能性があります。現時点では、この2つの可能性のうちどちらが事実であるかを判断する方法はありませんが、私たちは、より広いコミュニティのために、表示されている言語以外の国に対する脅威のレベルが高まる可能性があることを強調しているのです。

ウクライナ、そして世界に対するサイバー脅威の活動は、長い間、私たちの仕事の中心でした。私たちは、パートナーやお客様にサポートを提供するために、Talos 全体の包括的な取り組みを実施することで、ウクライナ・ロシア情勢を引き続き監視しています。この活動には、調査結果やマルウェア分析に基づく新しいシスコ保護機能の発行、調査の構成要素を正式化するための内部危機管理システムの制定、国内外の情報機関パートナーとの情報共有が含まれます。

 

ガイダンス

我々の現在のガイダンスは、ウクライナとつながりのあるグローバルな組織は、潜在的な巻き添え被害から身を守るために、それらのつながりから分離し監視する方法を慎重に検討すべきであるという米国サイバーセキュリティおよびインフラセキュリティ局(CISA)の勧告を引き続き支持するものです。

CISA は、組織が自らを保護するために講じることができる追加の措置popup_iconを発表しました。特に重要なインフラストラクチャや政府機関に属する組織は、CISA の勧告を確認し、ログを有効にして慎重に調査し、パッチを当て、危機管理計画を策定し、可能であれば多要素認証を導入することをお勧めします。また、ロシアが以前、重要インフラ機能を停止させるために米国企業に対して行った対外影響工作に対する保護について、CISA のガイダンスpopup_iconに従うことをお勧めします。

重要なことは、現在の状況にかかわらず、私たちの基本的な指針は変わらないということです。技術的負債、サイバーセキュリティ衛生の不備、時代遅れのシステムやソフトウェアは、組織に壊滅的な影響を与えるでしょう。一方、ネットワークの細分化、可視化、資産目録、優先的なパッチ適用、防御の変更を積極的に推進する情報プログラムなどが、攻撃をうまく切り抜けるカギとなります。

 

我々が今見ているもの

Talos は、フェイク情報、改ざん、DDoS、ワイパーマルウェアpopup_icon、BGP 操作の可能性など、ウクライナを標的とするさまざまな脅威を観測しています。WhisperGate に関する以前の情報については、こちらpopup_iconをご覧ください。

 

追加の DDOS、BGP ハイジャックおよびマルウェア

緊張が高まる中、ウクライナの企業に対する分散型サービス妨害(DDoS)攻撃が継続して確認されています。この攻撃は、ウクライナのサービスを妨害し、国民の間に不和をもたらすための継続的な取り組みである。

2月15日には、国防省や大手国営銀行2行など、ウクライナの高官をターゲットとした DDoS 攻撃が行われました。これらの銀行は数時間にわたってサービスを停止させられました。この攻撃はターゲットに決定的な影響を与えませんでしたが、緊張が高まる中、ウクライナ国民に警鐘を鳴らすことに成功しました。これらの攻撃は、ウクライナ、英国、米国によってロシアによるものと判断popup_iconされました。彼らは、破壊的な DDoS 攻撃のオーケストレーションに以前から関連していた Mirai ボットネットの亜種を活用していたようです。

最近でも、2月23日に DDoS 攻撃popup_iconによってネットワークの混乱が生じ、ウクライナの外務省、国防省、内務省、国立銀行などの著名な政府機関に影響が及んだことが確認されており、ロシアが今後もこの種の攻撃に依存する可能性が高いことが示されています。

DDoS 攻撃と同時期に、ウクライナの CERT(CERT-UA)は、ウクライナの銀行に対して BGP ハイジャック攻撃があったと発表しています。この攻撃により、銀行に到達するはずのトラフィックが一時的に別の宛先に迂回させられる可能性がありました。BGP(Border Gateway Protocol)は、インターネット上の主要なトラフィックルーティングの仕組みです。

CISA は、2月23日に「Cyclops Blink」と呼ばれるマルウェアの概要に関するレポートを発表しましたが、これは Talos が数年前に発見したマルウェア「VPNFilter」popup_iconの代替フレームワークと思われるものです。Cyclops Blink とウクライナでの活動を結びつける新たな情報は得られていませんが、近い将来、これに関する分析も提供する予定です。

 

LOOKING FORWARD

以下の分析は、ウクライナおよび東欧における当社の長期的な活動に基づいています。この分析は、防御側がネットワークとユーザーを保護するための準備をすることを目的として、公表時に最善の努力で事実関係を述べたものです。標的となっている組織は、重要インフラや政府と直接結びついているわけではなく、さらなる攻撃に使用される悪意のあるコンテンツの足場や中継地として使用されるパートナー/信頼できる組織である可能性があることを念頭に置いてください。

それぞれの領域で異なる目的と、敵対者が両ターゲットの能力をどのように認識しているかに基づいて、西側諸国と同盟国が標的とされる可能性と、現在ウクライナで発生している紛争のレベルには違いがあることを強調することが重要です。

西側諸国では、対ロシア制裁に対する国民の支持を低下させ、制裁に伴うコストを課す、または強調することを目的としたサイバー作戦が考えられます。こうした作戦は、影響が大きいが比較的復旧が容易な重要インフラを標的とした形で行われる可能性が高いと考えられます。例えば、コロニアル・パイプラインのランサムウェア事件popup_iconで学んだ教訓として、敵対者が企業の主要システムを無効化する一方で、運用技術(OT)システムを完全に無傷のままにしておけば、過度に不安定化することはないものの、停電を引き起こすことは可能であることが挙げられます。

一方、ウクライナに対するサイバー攻撃は、破壊的なマルウェア攻撃、DDoS 攻撃、BGP 操作など、公共秩序やウクライナ国民の日常生活を混乱させることを目的とした行為にまでエスカレートしています。

敵対者は過去の行動と一致したテクニックを使用することが予想されますが、技術的な指標は新しく、帰属させることが困難です。私たちは、これらの攻撃者アクターが標的とする環境において目的を達成するために、複雑なシステムの要素を悪用する可能性が高いと評価しています。過去の例としては、2017年にウクライナの税務ソフトウェアを使用して NotPetyapopup_iconマルウェアを配布したことや、最近では SolarWindspopup_iconを悪用して優先度の高いターゲットにアクセスすることが挙げられます。

また、どのような攻撃であっても、帰属を妨害する要素がある可能性が高く、効果を増幅するためのフェイク情報キャンペーンが並行して行われている可能性があることを理解しておくことが重要です。例えば、銀行のウェブサイトが DDoS 攻撃によって停止する一方で、ATM の停止に関する誤った噂がソーシャルメディア上で拡張され、標的の国での不快感を最大限に高めるというようなことがあり得ます。

このような一連の懸念事項を見るとき、組織はターゲットではなく、ツールであることを理解する必要があります。敵対者は、停電がもたらす社会的影響を最大化するような選択をするでしょう。それは、被害を受けた組織を困惑させるためではなく、政府に圧力をかけるためです。

現時点では、自社と顧客を保護するために、サイバーセキュリティの衛生管理とパッチ適用を優先してください。フィッシング攻撃やBusiness Email Compromise (BEC) popup_iconに注意するよう、組織と従業員を教育すること。ネットワークのセグメンテーション、ゼロ・トラスト・フレームワーク、多要素認証は、あらゆる攻撃の影響を制限するツールとなり得ます。

 

この記事は、Cisco Talos Intelligence Group – Comprehensive Threat Intelligence である Mitch Neff によるブログ「Current executive guidance for ongoing cyberattacks in Ukrainepopup_icon」(2022/2/24)の抄訳です。

 

Tags:
コメントを書く