ロシアによるウクライナ侵攻から1年経つが、戦争は今も続いている。そして、その中で起きている変化が、世界中のサイバーセキュリティーの未来に影響を及ぼす可能性がある。Googleの専門家によると、この戦争によって、特に東欧のサイバー犯罪のエコシステムが一変しており、ランサムウェア攻撃のあり方を大きく変えている。
提供:Getty Images
Googleの脅威分析グループ(TAG)、Mandiant(Google Cloud傘下のサイバーセキュリティー企業)、Google Trust & Safetyがまとめた報告書によると、「ランサムウェアは依然として収益性が高い。しかし、金銭目的の犯罪者も地政学的な動向の影響を受けている」という。
報告書では、「東欧では、金銭的な動機を持つ攻撃者と、国家支援の攻撃者の境界が曖昧になりつつある。攻撃者は、現地の地政学的利益と足並みを揃えてターゲットを変えており、国家を後ろ盾とする攻撃者も、これまで金銭目的の攻撃者に関連付けられていた戦術やサービスを使うようになっている」と指摘した。
協力関係の変化に伴い、ロシアを標的とすることをタブーとする傾向は弱まっている。一方、ランサムウェアエコシステムにおける「専門化」が進み、犯罪者の特定が一層困難になっているようだ。
さらに報告書は、通常はランサムウェア攻撃の標的となりやすい、重要インフラへの攻撃が急増していないのは、意外なことだとしている。
政治的な分裂
報告書によると、戦争によって東欧のサイバー犯罪者のネットワークで分裂が生じているといる。政治的忠誠を宣言したグループもあれば、地政学的な動きに沿って活動しているグループもあり、一部のランサムウェアグループは活動を停止した。
例えば、ランサムウェアグループ「Conti」は開戦当初、ロシア支持を表明し、同国に対して行動を起こした国の重要インフラを攻撃すると脅していた。しかし、流出したグループの内部チャットとソースコードによると、そうした姿勢がグループ内の分裂を招いたようだ。そのため、Contiは脅した通りに攻撃を増やすのではなく、活動停止に追い込まれた。
また戦争は、ロシアを標的とするサイバー犯罪者を増長させることになった。
「ランサムウェアの作成者は2022年2月以前まで、国名のハードコーディングやシステム言語のチェックなど、独立国家共同体をターゲットとしない手法を用いていた」と報告書は説明する。「しかし、ウクライナ侵攻後、ハクティビスト集団『NB65』は、リークされたContiのソースコードを使って、ロシアの組織を標的にした。NB65は、『#OpRussia』キャンペーンを行ったハクティビスト集団Anonymousとの関連を主張しており、このキャンペーンでは、ロシア中央銀行など、ロシア組織に対する複数のハッキングやリーク作戦が遂行された」
さらに、ウクライナや他の国のボランティアからなる集団「ウクライナIT軍」が、同国の防衛とロシアのインフラやウェブサイトへの攻撃のために、ウクライナ国防省と協力しているという。
戦術の変化
戦争により、ランサムウェアグループが用いる戦術も変化している。まず、これまで通常は、金銭目的のハッカーに関連付けられていた戦術を、国家支援の攻撃者がランサムウェアキャンペーンで使うようになった。また、その逆も然りだ。
報告書によると、ランサムウェア攻撃者は「攻撃チェーン」の一部を専門とするようになり、他の「ビジネスパートナー」と連携する傾向が強まっている。
さらに攻撃者は、新しい配信チャネルや非従来型のファイル形式など、斬新な手法を試すようになった。金銭目的の攻撃者も、ほかの犯罪者が成功している手法を進んで借用しているため、攻撃の背後にいる者を特定するのが困難になっているという。
実現しなかった報復
Googleの報告書では、「紛争初期の宣言や、2021年にみられた攻撃の第1波から予測されたように」、戦争中に重要インフラに対する攻撃が増加しなかった理由について考察している。
同社の仮説の1つに、2021年の米石油パイプライン大手Colonial Pipelineが攻撃された際の、米国の対応がある。ランサムウェア「REvil」に関与していたロシアの犯罪者が逮捕されたため、それが抑止力になったのではないかとみている。
さらに、対ロシア制裁が、西側組織の身代金支払いの意欲を削いだ可能性があると推測している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。