ウクライナの防衛: サイバー戦争の初期の教訓

ロシアが初期の巡航ミサイル攻撃でウクライナ政府のデータセンターを標的としたことに驚きはありませんが、他のオンプレミスのサーバーも同様に、従来型の兵器による攻撃に対しては脆弱でした。ロシアはその破壊的な "ワイパー" 攻撃でも、オンプレミスのコンピューター ネットワークを標的としていました。しかし、ウクライナ政府はデジタル インフラストラクチャをパブリック クラウドに移し、欧州各地のデータセンターでホストするというすばやい行動を取ることによって、国内の民間および軍のオペレーション維持に成功しています。

これには、テクノロジ業界全体が緊急に、前例のない形で協力しており、Microsoft もこれに含まれています。テクノロジ業界の協力は不可欠でしたが、こうした取り組みから得られる、後年に残る教訓について考えることも重要です。

サイバー活動は目には見えないため、ジャーナリストはもちろん、多くの軍事アナリストにとってもその追跡は困難です。Microsoft はこれまでに、ロシア軍が破壊的な波状サイバー攻撃をウクライナ国内の 48 の機関と大企業に仕掛けていることを確認しています。これらの攻撃は、まず数百台のコンピューターを侵害するという方法でネットワーク ドメインへの侵入を目論み、成功したら、マルウェアを拡散することによって、さらに数千台のコンピューター上のソフトウェアとデータの破壊を試みます。

この戦争におけるロシアのサイバー戦術は、2017 年にウクライナに対する NotPetya 攻撃で展開されたものとは異なっています。その攻撃では、"ワーム可能" な破壊的マルウェアが使用されており、あるコンピューター ドメインから別のドメインへのジャンプが可能であったため、国境を越えて他国に移動することも可能でした。2022 年にはロシアは用心深く、破壊的な "ワイパー ソフトウェア" の標的をウクライナ国内の特定のネットワーク ドメインに限定していました。しかし、最近行われた、および現在も進行中の破壊的攻撃については、多くのレポートで認識されている以上に攻撃自体が巧妙になり、しかも広範囲に及んでいます。そして、ロシア軍は継続的に、こうした破壊的攻撃を戦況の変化に合わせて適応させており、たとえばサイバー攻撃と従来型兵器を併用するといったことが行われています。

これまでの、このような破壊的攻撃の特徴は、サイバー防衛が強力であり、相対的には成功していることです。もちろん完璧ではなく、破壊的攻撃が成功を収めている例もありますが、これまでのサイバー防衛の強さは攻撃側のサイバー能力を上回っていることが証明されています。これには、2 つの重要な、最近の傾向が反映されています。1 つは、人工知能の使用を始めとする脅威インテリジェンスの進歩によって、こうした攻撃をより効果的に検知できるようになったことです。もう 1 つは、インターネット接続型エンドポイント保護によって、保護用のソフトウェア コードを速やかにクラウド サービスとその他の常時接続型コンピューティング デバイスの両方に配信できるようになったことであり、これでこのマルウェアを特定して無効化することが可能になりました。戦時下でウクライナ政府が進めるイノベーションと施策によって、この保護がさらに強化されています。しかし、この防衛側の優位性を維持するためには、継続的な警戒とイノベーションがおそらく必要になるでしょう。

Microsoft はこれまでに、ウクライナ以外の 42 の国の 128 の組織でのロシアによるネットワーク侵入活動を検出しています。米国は以前からロシアの標的の筆頭格ですが、この活動はポーランドでも多く見られています。軍事面と人道面の支援実施について、その調整作業の多くが同国内で行われているためです。ロシアの活動はバルト諸国も標的としており、この 2 か月間はデンマーク、ノルウェー、フィンランド、スウェーデン、トルコのコンピューター ネットワークを標的とした同様の活動も増加しています。また、他の NATO 諸国の外務省を標的とした同様の活動も増加が確認されています。

ロシアはこれまで、各国政府を主に標的としており、特に NATO 加盟国の優先度は高くなっています。しかし、標的のリストには、シンクタンク、人道支援団体、IT 企業、そして、エネルギーなどの重要インフラの供給企業も含まれています。この戦争の開始以来、私たちが特定したロシアのターゲティングは 29% の確率で成功しています。これらの成功した侵入のうち 4 分の 1 では、組織のデータの流出に至ったことが確認されていますが、レポートの中で説明されているように、ロシアの実際の成功率はこれを上回っていると考えられます。

クラウドではなくオンプレミスで稼働している政府機関のコンピューターは、依然として私たちの最大の懸念です。これには、現在の世界における攻撃側サイバー スパイ活動と防衛側サイバー保護の状況が反映されています。1 年半前の SolarWinds のインシデントが示したように、ロシアの情報機関はそのきわめて巧妙な能力でコードをインプラントして高度で永続的な脅威 (Advanced Persistent Threat: APT) として操っており、これでネットワークからの機密情報の取得と盗み出しを継続的に行っています。そのころに比べると、防衛側の保護は大きく進歩していますが、その進歩を実装することに関しては、米国に比べると欧州の各国政府の間に差が見られます。その結果、集団的防衛におけるかなりの弱点が残っています。

これには、KGB が数十年にわたって開発してきた戦術に新しいデジタル テクノロジとインターネットが併用されているため、対外影響工作が地理的により広い範囲に届くようになり、そのボリュームも増大し、より正確に標的を定めることができ、スピードと俊敏性も高まっています。残念なことに、こうしたサイバー影響工作が十分な計画と洗練性を持っている場合には、民主主義社会が長年にわたって維持してきた開放性と現代の特徴である民衆の分極化がうまく利用されてしまいます。

ウクライナにおける戦争が進むなかで、ロシア当局はサイバー影響工作活動の対象を 4 種類の人々に絞っています。ロシア国民を対象とするときのゴールは、戦争への支持を持続させることです。ウクライナ国民を対象とするときのゴールは、ロシアの攻撃に耐えるという同国の意志と能力への信頼を失わせることです。欧米諸国の国民を対象とするときのゴールは、西側諸国の結束を弱めるとともに、ロシア軍による戦争犯罪への批判を逸らすことです。そして、非同盟国の国民も対象となり始めていますが、その目的として国連などでの場でのその国による支持を維持することなどが考えられます。

ロシアのサイバー影響工作は、他のサイバー活動のために開発された戦術を基礎としており、その戦術との深いつながりがあります。ロシアの諜報機関内で活動する APT チームと同様に、ロシアの政府機関とのつながりを持つ APM (Advance Persistent Manipulator) チームも、ソーシャル メディアやデジタル プラットフォームを通じて活動しています。具体的には、マルウェアなどのソフトウェア コードをプレポジショニング (事前配置) するのと同じような方法で、虚偽のストーリーを流しています。そして、このストーリーの "報道" を、政府の管理と影響下にある多数の Web サイトから広範かつ同時に行うと同時に、ソーシャル メディア サービスを悪用するように設計されたテクノロジ ツールを通してそのストーリーをさらに拡散しています。最近の例では、ウクライナでの生物兵器研究にまつわる偽情報があり、他にもウクライナの市民を狙った軍事攻撃を隠そうとする活動が多数見られます。

Microsoft は新しい取り組みの一環として、AI、新しい分析ツール、より幅広いデータ セット、そして増員したエキスパート スタッフを使い、このサイバー脅威の追跡と予測を行っています。これらの新たなリソースを使って行われた推定によれば、ロシアのサイバー影響工作によってロシアのプロパガンダの拡散は戦争開始以来、ウクライナ国内では 216%、米国内では 82% の増加に成功しています。

このようなロシアの継続的な作戦は、複数の西側諸国での新型コロナウイルス感染症 (COVID-19) に関する偽情報の拡散という、最近の巧妙な企てが元になっています。その 1 つが 2021 年に国家の支援を受けて実施されたサイバー影響工作で、英語のインターネット レポートを通じてワクチン接種を断念させようとすると同時に、ロシア語のサイトを通じてワクチン接種を奨励していました。この 6 か月間に、ロシアによる同様のサイバー影響工作がニュージーランドとカナダで、新型コロナウイルス感染症 (COVID-19) 政策への国民の反対を扇動する目的で行われています。

Microsoft は、この分野における活動を今後も拡大していく予定です。これに含まれるものとしては、社内の組織拡大に加えて先週発表した Miburo Solutions の買収合意がありますが、同社はサイバー脅威の分析と調査におけるトップ企業であり、対外サイバー影響工作の検知と対応を専門としています。

現在のロシアによるサイバー影響工作の多くが、適切な検知、分析、一般への報告が行われることなく何か月も続いていることは大いなる懸念です。この影響は官民双方の広範な重要機関に及び、しかも影響力が増しています。そして、ウクライナでの戦争が長引くほど、この工作活動はウクライナ自身にとってますます重要なものとなるでしょう。戦争が長期化すれば疲弊も増大するのは避けられませんが、それでも国民からの支持を持続させる必要があるからです。そのため、この種の対外サイバー影響攻撃に対する西側諸国の防衛強化の重要性は、一段と切迫したものになります。

ウクライナでの戦争が示しているように、これらの脅威はそれぞれ異なるものの、ロシア政府はこれらを別々の活動として遂行しているのではないため、私たちもこれらを別々のものとして分析すべきではありません。また、防衛戦略においては、ウクライナで見られたように、こうしたサイバー作戦と物理的な軍事作戦との連携も考慮しなければなりません。

これらのサイバー脅威を阻止するための新たな前進が必要であり、それは 4 つの共通原則に依存するものとなるでしょう。そして少なくとも高いレベルでの、1 つの共通戦略が必要です。防御に関する最初の原則は、ロシアのサイバー脅威の高度化を認めることです。この高度化はロシア政府内外の共通のアクターによるものであり、これらのアクターは類似のデジタル戦術に依存しています。したがって、その対策としてはデジタル テクノロジ、AI、データにおける進歩が必要になります。これを反映する第 2 の原則は、過去の従来型の脅威とは異なり、サイバー対応は今まで以上の官民の協力に依存する必要があると認識することです。第 3 の原則は、開かれた民主主義的な社会を守るために各国政府間の緊密な協力が必要であることの認識です。防御のための第 4 の、つまり最後の原則は民主主義社会における表現の自由を守り、検閲を避けることです。たとえ、サイバー影響工作を始めとするあらゆるサイバー脅威に対処するための新たな措置が必要であったとしてもです。

これらの原則に基づき、4 つの戦略的事項を柱として効果的な対応を構築する必要があります。これらは、国外からのサイバー脅威に対する (1) 検知、(2) 防御、(3) 妨害、(4) 抑止をより適切に行うための集団的能力を向上させるものであることが必要です。このアプローチは、破壊的サイバー攻撃やサイバーベースのスパイ行為に対処するための多くの集団的取り組みに既に反映されています。これらは、ランサムウェアの攻撃への対処に必要な重要かつ継続的な作業にも当てはまります。私たちは今、ロシアのサイバー影響工作と戦うために、同様の包括的なアプローチと新たな能力および防御を必要としています。

このレポートで述べたように、ウクライナでの戦争から伝えられるのは教訓だけでなく、民主主義の未来を守るために欠かせない効果的な対策へのアクションを取ることが求められています。私たちは 1 つの企業として、これらの活動を支援することをお約束し、各国政府、企業、NGO、大学を支援するテクノロジ、データ、パートナーシップへの継続的および新たな投資を行ってまいります。

さらに詳しい情報については、レポート全文をご覧ください。