Cisco Japan Blog

2023 年以降の国家支援型攻撃

1 min read



2023 年が始まったところで、少し時間をとって、国家支援型攻撃の状況を見てみたいと思います。この数十年間で、国家が支援する攻撃者の手法や目的に劇的な変化が見られました。Moonlight Maze や Project Gunman のような従来型のスパイ活動から始まり、Operation Aurora のように知的財産の窃取を目的とした攻撃や反体制派を標的とした攻撃へと進化しています。ウクライナや中東で確認されているように、現在ではより破壊的な攻撃や不安定化を招くことを狙った攻撃に移行しており、情報戦が主戦場の 1 つとなっています。ひとつ注意しておきたいのは、攻撃者がスパイ活動を行わなくなったわけではないということです。国家が糸を引くハッキング攻撃を可能にしてきたのは常にスパイ活動であり、今後もその重要性は変わらないでしょう。

2022 年を通じて、Talos はサイバー空間でより特異な状況に直面しました。ウクライナで今も続いている戦争とそれに関連する攻撃に関わるものです。興味深いことに、ロシア政府が支援するグループだけでなく、他の国が支援するグループによって、この戦争がさまざまな形で利用されていることが確認されたのです。この 1 年で判明したことですが、Mustang Panda のようなグループが、ウクライナ戦争に関連する文書をおとりとして攻撃を仕掛けていました。この戦争が実際の戦場をはるかに超え、広範囲な影響を脅威環境に及ぼしている状況を示すものです。

今回の戦争では、サイバー活動が物理的戦争においてどの程度の役割を果たすのかを、初めて現実のものとして目の当たりにすることになりました。残念ながら、明確な答えは得られていません。サイバー活動の役割が驚くほど小さかったのか、ロシア側がウクライナ国民の能力と忍耐力を過小評価し、サイバー能力について無視を決め込んだのかがはっきりしないからです。問題は、国家支援型攻撃は将来どこに向かうのかということです。グローバル化の後退によって状況は変わりつつあり、サイバー空間における国家の活動にも変化が見られるようになっています。各国が製造業の国内回帰を進めるのに伴い、攻撃者の標的も変わっていくでしょう。スパイ目的で攻撃するだけでなく、経済的観点が重要な役割を果たすことになります。脱グローバル化に伴う経済的緊張と、ここ数十年では見られなかった高インフレ率と高金利に直面している今、国家がサイバー空間をどのように利用していくのか、初めて目撃することになるのです。

グローバル化の後退により、知的財産窃取の新時代が到来か

コロナ禍後の反グローバル化の圧力によって、今後数か月から数年の間に、サイバー空間において知的財産窃取の新時代が幕を開けるかもしれません。コロナ禍は驚くほど多くの形で世界を変えましたが、最も重要なのは、数十年続いたグローバル化の流れに終止符を打つ可能性があることです。世界中の国々がサプライチェーンのボトルネックに直面し、かんばん方式(JIT)の出荷はサプライヤーが稼働していなければ機能しないという認識が広まりました。すでに国内回帰の動きも始まっています。Apple 社が米国でチップ製造を開始すると発表したり、半導体研究に数千億ドルが投じられることになる米 CHIPS 法が成立したりする中で、企業も国家も製造業の見直しを進めています。

この変化は川下に多くの影響を及ぼしますが、最も影響を受けるのは、製造業が GDP の大部分を占める国々でしょう。また、より多くの独裁国家が製品や技術の国産化に突き進むとも見られています。こうした新機能の開発は一筋縄ではいかず、一部の製造業で必要とされる技術革新を実現するには研究開発に多額の投資を行う必要があるのが通常です。

しかし、国家が技術を獲得しようとするのであれば、別の手段があります。盗めばよいのです。より具体的に言うと、知的財産のサイバー窃盗という手段があります。これは新しい手口ではなく、実際 2012 年に米国家安全保障局のキース・アレクサンダー元長官が放った有名な言葉のとおり、サイバー窃盗は「歴史上最大の富の移転」でしたが、それ以降はわずかに落ち着きを見せています。中国と米国が攻撃作戦の縮小に同意popup_iconしたことで、防衛関連企業など高価値の標的に対して、注目を集めるほどの集中的攻撃はここしばらく発生していません。

国家が支援する攻撃者の活動の場は大幅に拡大しています。かつてはリソースの豊富な一握りの国だけでしたが、今では多くの国々が、国策を後押しする攻撃能力に目を向けるようになっており、他国も同様の道をたどる可能性が高いと思われます。歴史が示しているように、知的財産を手に入れる最も手っ取り早い方法は、自分で開発せずに盗むことです。また、身代金要求や恐喝行為を行っている犯罪組織が、被害者の知的財産にますます関心を持つようになる可能性もあります。技術や製造分野で重要な基盤作りを目指す国家にとって、知的財産は身代金要求の何倍もの価値があると考えられるからです。

グローバル化の後退が加速するにつれ、破壊的攻撃が増加

過去 10 年間で、国家が支援する攻撃者が破壊的な攻撃を行うことが増えてきました。たとえば NotPetyaOlympicDestroyerWhisperGateCaddyWiper などですが、歴史的に見て、これらの攻撃はロシアによる侵攻に大きく関連するものでした。ただし、他のグループが破壊的な攻撃を仕掛けた事例も確認されています。最も顕著なのは、Saudi Aramco 社などが標的となった Shamoon 関連の攻撃です。破壊的マルウェアの使用は、今後数か月から数年の間に増加すると見込まれています。地域を不安定にさせたり、重要なサービスに影響を与えたりするのに、ワイパーが有効な手段であることを攻撃者は学んでいます。このことは、Colonial Pipeline 社に対する攻撃で最も明確に示されました。企業のシステムに対するランサムウェア攻撃によってパイプラインが停止されたのです。この攻撃によって、重要インフラを停止させるために直接攻撃を仕掛ける必要がないことが実証されました。サイバー攻撃への対抗手段がほとんど、またはまったく取られていないことから、重要インフラが狙われないことはほぼ考えられません。

重要インフラは常に危険と隣り合わせですが、実はすでに何回か損害を受けています。ロシアがウクライナの電力システムを複数回攻撃したことで送電が停止され、何度か停電が発生しました。しかし、ロシアの攻撃はすべて、2014 年のロシアによるクリミア侵攻で始まったウクライナとの戦争に関連している可能性があるというのが私の見解です。現在の紛争を見ると、地域紛争では、爆弾を使って重要インフラに物理攻撃を行う方がはるかに効率的であり、より持続的な損害を与えられるように思われます。これは、敵がもっと遠くにいる場合は当てはまらないかもしれません。攻撃のコストが高くつき、より困難になるからです。デジタル攻撃しか行わない場合、その唯一の理由は、施設の機能を維持したいと考えているからでしょう。ただし、Stuxnet の事件が示しているとおり、サイバー攻撃が破壊を招かないという保証はありません。

今日、国家が支援する攻撃者は報復を恐れ、直接攻撃せずに重要インフラを停止させる方法を探っています。Colonial Pipline 社への攻撃により、その方法が明らかになりました。必要としていたノウハウが得られたからには、今後も同様の攻撃が行われる可能性が高いと見ています。重要インフラが標的にされるのを防ぐ唯一の方法はサイバー空間における交戦ルールを確立することですが、重大な損害をもたらすサイバー事件が起きない限り、すぐに実現することはないでしょう。というのも、少なくとも当面の間は、主力グループは戦時に備えて攻撃能力を放棄するはずがないからです。攻撃グループが敵方の不安定化を試みる場所は、重要インフラだけではありません。パンフレット投下や偽造の時代から、情報戦は拡大の一途をたどっています。ソーシャルメディアの出現により、情報は強力かつ想定外の方法で使用される可能性があります。

国家支援型の活動で今後も大きな役割を果たす情報兵器

今日、情報は信じられないほど速く伝達されます。人々の注目を集めるニュースが山火事のように世界中に広がり、数時間のうちに何倍にも拡大するのです。ここで問題が発生します。その情報が真実なのかどうか、どうやって判断すればよいのでしょうか?世界には選挙で選ばれた指導者もそうでない指導者もいますが、真偽の境界は指導者たちによって幾度となく曖昧にされてきました。こうして、国家が支援するグループが不和を引き起こす材料として情報を利用する土壌が生まれたのです。デマ情報は、2016 年の米大統領選で確認され、フランスの選挙関連のハッキングでも再び確認されました。コロナ禍の時代にも数え切れないほど確認されています。誤った情報や虚偽の情報は今や、大きな変化をもたらすために用いることのできる強力な手段となっています。これまでは、そのレベルで変化を起こすには物理的な関与が必要だと考えられていましたが、情報を悪用する能力のある人間は、情報が武器になることに気づいています。

ソーシャルメディアの興味深いところは、各ユーザーの体験が、ほぼその人だけのものであるということです。つまり、ユーザーが得る情報は、そのユーザーの人生、たとえば住んでいる場所や職業、所属している社会集団などによって左右されます。この特徴ゆえに、特定のグループに的を絞って、誤った情報や虚偽の情報を流せるというわけです。これまでにも、選挙妨害目的で、特定の層や集団を狙ってデマ情報が流されるのを目撃してきました。

ほとんどの国家にとってデマの拡散は非常に魅力的な手段です。実行しやすく、それほどコストもかからず、もっともらしい態度で否定するのも簡単だからです。最悪のケースを想定してみます。誰が攻撃しているかが明らかになった場合、攻撃者は現在の攻撃を終了して新しい会社か組織を立ち上げ、次の攻撃を開始するでしょう。今度は以前の失敗から得た教訓を武器にうまく立ち回るはずです。国家を対象としたソーシャルメディアでの活動が、誤まった情報や虚偽の情報で終わることはほとんどありません。

モバイルスパイウェア市場の成長に伴い、引き続き市民が標的に

過去 5 年間で、モバイルスパイウェア市場は爆発的に成長しました。この分野で最も有名なのは NSO Group ですが、新しいスタートアップも続々と市場に参入しており、いずれも同レベルのゼロデイサポートと反復的なインメモリアクセスを保証しています。世界中の犯罪者やテロリストを摘発するための究極のスパイツールとして販売されていますが、反体制派や活動家、ジャーナリストに対して使用されることもよくあります。電子メールに各種ドキュメント、プライベートなやり取りに至るまで、現在ではすべての人の情報がデバイスに記録されています。何百万ドルも費やすことができれば、デバイスに保存されている情報に簡単にアクセスできるのです。つまり、誰かがあなたの情報に十分な価値があると判断した場合、お金さえ払えばあなたの情報を手に入れられるということです。これは多くの人にとって丸裸の状態にあることを意味します。残念なことに、権力者に歯向かう人々や、彼らの支援を行う少数派の人々には、非常に大きなリスクが伴います。はっきり言って、一般の人はおろか企業でさえ真似できるようなことではありませんが、世界中の諜報機関にとっては造作もないことです。

世界の多くの国では、国内におけるスパイ行為や過度な情報収集を防ぐルールが設けられ、保護対策が実施されています。問題は、スパイ行為を取り締まる一般的なルールを回避する手段と意志を持つ国が多いことです。各国政府はモバイルスパイウェア企業への対抗措置を講じるようになっていますが、1 社を潰したところで別の企業が現れるでしょう。スパイウェアの標的にされる少数派の人々のための簡単な解決策はありませんが、テクノロジー企業popup_iconは対策に動き出しています。

グローバル化の後退により、国家支援型の活動が活発化する見込み

コロナ禍後の今、世界は脱グローバル化にシフトしつつあります。金利が爆発的に上昇し、借り入れがはるかに困難になりました。国家が支援するグループは、私たちと同じように金銭的な圧迫を受けるでしょう。金銭的な面でも、政治的に見ても、サイバー攻撃は安上がりです。戦場に立つ必要はほとんどなく、地球の反対側から攻撃を開始できます。発見される恐れのある物理的資産は一切必要としません。さらに、サイバー攻撃は否定するのがはるかに簡単で、政治的な波紋を引き起こすこともほとんどありません。限られたリソースをスパイ活動に費やそうとする意欲はなくならないでしょう。ですが、サイバー攻撃以外の攻撃 1 回か、5 ~ 6 回のサイバー攻撃かを天秤にかけた場合、サイバー攻撃の方が価値が高いということになります。借り入れコストの上昇に対抗するために世界中で予算が引き締められる中、価値を最大限に高めることがますます重要となるはずです。さらに、脱グローバル化の進行に伴い、国家が支援するグループが今後標的にする非政府機関が増えたと考えられます。

 

本稿は 2023 年 01 月 24 日に Talos Grouppopup_icon のブログに投稿された「State Sponsored Attacks in 2023 and Beyondpopup_icon」の抄訳です。

 

 

 

コメントを書く