激動の2022年が終わろうとしています。この1年間、世界は過去にない変化を目の当たりにし、サイバー空間においてもそれは例外ではありませんでした。今年1年間の主要なサイバー上の出来事を振り返って2022年がどのような年だったのか考えてみたいと思います。
サイバーオペレーションが軍事アクションを補完
2022年に国際社会を揺るがしたロシア軍によるウクライナへの軍事侵攻。物理的な侵攻は2月に始まりましたが、サイバー空間ではその1カ月前から不穏な兆候が見られていました。マイクロソフトの脅威分析部門のMicrosoft Threat Intelligence Center(MSTIC)が、WhisperGateと呼ばれるランサムウェアに偽装したワイパーマルウェアがウクライナを標的にしていることを明らかにしたのは1月15日のことでした。ワイパーマルウェアはコンピュータのハードディスクドライブ内のデータを消去して使用不能にする破壊的なマルウェアです。ウクライナでは1月、政府の複数のサイトに改ざんなどの攻撃が行われていました。
2月に入るとウクライナの住民に「金融機関でシステム障害が発生している」などの偽の情報がSNSで送られてくるようになりました。また、政府サイトに対するDDoS攻撃が断続的に発生しました。ロシアが軍事侵攻を開始した直前の2月23日にはHermeticWiperと呼ばれる新たなワイパーマルウェアがウクライナで検出されました。DDoS攻撃でウクライナ政府サイトがオフラインとなった数時間後にHermeticWiperによる攻撃が行われたものと見られています。その後、2月24日にロシア軍がウクライナに侵攻しました。ウクライナではその他にも数多くのワイパーマルウェアがこれまでに検出されています。
ウクライナに対するロシアのサイバー戦を分析したマイクロソフトのレポート「SPECIAL REPORT:Ukuraine」によると、ウクライナに対するサイバー戦は1年前の2021年3月にはロシアと連携する脅威グループにより事前準備が行われていた可能性があるということです。また、ウクライナに対して少なくとも8つの破壊的なマルウェアが配備されていた可能性かあるとしています。破壊的なサイバー攻撃の40%以上は政府、軍、経済、重要インフラを標的としていたと分析しています。マイクロソフトのレポートは「サイバーオペレーションが軍事の動的アクションを補完している」と記しています。2022年はサイバーなどを駆使したハイブリッド戦争が現実化した年となりました。
REvilメンバー14人がFSBに逮捕される
2022年はランサムウェアにも変化がありました。2021年に世界を荒らしまくったランサムウェアREvil(別名Sodinokibi)とConti。ともにロシアを背景とするグループによって担われているとみられているサービスとしてのランサムウェアであるRaaSですが、2022年1月、ロシア連邦保安庁(FSB)がREvilのメンバー14人の拘束を発表しました。逮捕された14人の中には2021年5月に起きたコロニアル・パイプラインに対するランサムウェア攻撃の関与者とアメリカが認定する人物も含まれていました。
また、Contiはその運用者がロシア軍のウクライナ侵攻への支持を表明し、ロシアへのサイバー攻撃に対して反撃することを明らかにするなどその政治的な動向に関心が集まりました。しかし、ウクライナの研究者が6万件以上ものContiの内部データを暴露する事態へと発展し、その後、Contiは5月に主要なインフラをオフラインにしたとも報じられています。Contiはロシアを拠点とする犯罪グループによって運営され、このグループはTricBotやBazarLoader、ランサムウェアのRyukなどを開発、運用してきたとされています。TricBotやBazarLoadertがBumblebeeという新たなマルウェアにとって代わっているとの報告もあることから、Contiを運用しているグループが新たなサイバー犯罪に向けて態勢を変化させている可能性もあり2023年の動向が注目されます。
■出典・参考
https://www.washingtonpost.com/world/2022/01/14/russia-hacker-revil/