2022年2月・ロシアによるウクライナ侵攻でのサイバー攻撃（前編）そのときウクライナのサイバー空間ではどんな戦いが始まっていたのか

ロシアによる侵攻の初期段階において、ウクライナに対して大規模なサイバー攻撃が仕掛けられた。

私はすべての攻撃を、その目的に応じて主に3つのグループに分類する。偽情報や認知への影響を目的とした攻撃、サイバー諜報活動、そして破壊的なサイバー攻撃だ。これらとは別に、通常はサイバー攻撃に分類されないが、その使用がサイバー・レジリエンスに直接的な害を及ぼすDDoS攻撃についても特筆したい。これらすべての種類の攻撃は2014年から観測されている。同時に、攻撃の強度は全面侵攻の日以来、ほぼ3倍に増加しており、現在は2022年以前の時期よりも著しく高いレベルにとどまっている。

サイバー攻撃はしばしば組み合わされ、一度に複数の目的を追求する。例えば、2022年1月14日に発生した政府ウェブサイトへの攻撃がその一例だ。サプライチェーン攻撃の結果、攻撃者は政府機関の特定の内部インフラへのアクセス権を獲得し、ウェブサイトを改ざんするだけでなく、内部データベースを消去することも可能にした。同時に、ウェブサイトの改ざんには、国家の個人データ保護能力に対する国民の不信感を植え付けるだけでなく、隣国に罪をなすりつけることを目的とした、挑発的な「偽旗」メッセージの投稿も含まれていた。これに伴い、内部レジストラの一部のデータは、その後のワイパー・マルウェアなどによってデータが削除される前に、流出したことがほぼ確実視されている。このように、この複合的な攻撃は、一面では特殊な情報心理作戦の性格を持ち、他面では機密データの窃取、さらには情報インフラや公共の電子サービスの破壊を目的としていた。

2022年2月15日に発生した、銀行のウェブサイトや決済サービスに対する前例のない強力なDDoS攻撃も、混乱を招き、ウクライナの銀行システムの回復力を損なうことを目的としていた。

全体として、全面侵攻の開始以来、最も大きな被害をもたらしたサイバー攻撃として以下の種類を挙げることができる：

1. フィッシング（メールおよびメッセージングアプリの両方経由）
   目的：マルウェアの拡散、またはアカウントの窃取。多くの場合、最初の攻撃ベクターとして使用される。
   主な主体：UAC-0010 (Gamaredon)、UAC-0056
   主な標的：公務員、軍関係者
2. マルウェア
   目的：情報システムへのリモートアクセスの取得、機密情報の窃取、データおよびインフラの破壊
   ワイパー・マルウェアの種類：WhisperGate, AcidRain, IsaacWiper, HermeticWizard, CaddyWiper, Industroyer2
   バックドアの種類：Smokeloader, Agent Tesla, Remcos
3. 破壊的攻撃（サプライチェーン攻撃を含む）
   主な主体：UAC-0002 (Sandworm)、UAC-0028 (APT28)、UAC-0056
   事例：2022年1月14日の政府ウェブサイトへの攻撃、2024年2月24日のViasat（衛星通信サービス）攻撃、2022年4月8日および10月10日の地方電力会社への攻撃、2023年12月12日のKyivstar（通信事業者）への攻撃、2024年1月25日に起きた主要データセンターParkovyiへの攻撃、2024年12月19日の法務省レジストラへの攻撃、2025年3月23日のUkrzaliznytsia（ウクライナ鉄道）への攻撃
4. 公開されているサービスにおける脆弱性の悪用
   主な主体：UAC-0028 (APT28)
   事例：Microsoft Outlookへの攻撃 (CVE-2023-23397)
5. DDoS攻撃
   主な主体：KillNet, Cyber Army of Russia Reborn, NoName(057)
   ロシアによる物理的な攻撃（通信や電力）によるインフラ破壊も、ITサービスの停止をしばしば引き起こしている点は注目に値する。

対抗策に関しては、全面侵攻が始まる前から、政府機関は重要インフラ企業（特にエネルギー分野）とともに、施設におけるサイバーセキュリティの監視を強化し、サイバーインシデントに関する情報共有を改善し、24時間体制の人員配置を導入した。

1月14日のサイバー攻撃後、省庁横断的なサイバーインシデント対応ワーキンググループが設置され、後に2025年3月27日付の法律（第4336-IX号）に反映される法改正が提案された。これには以下が含まれる：
・政府機関および重要情報インフラ施設におけるサイバーセキュリティ責任者ポストの導入
・政府機関および重要情報インフラ施設におけるサイバーセキュリティ要件の未達成に対する職員の責任強化
・政府機関と協力する請負業者組織に対するサイバーセキュリティ要件の賦課権限の付与（サプライチェーンの強化）
・政府機関および重要インフラ主体に対し、重大な脆弱性の修正とその後の報告を要求する権限の付与、およびこれらの要件の違反または不遵守に対する責任の確立
・サイバー予備役の創設

情報通信システムにおける潜在的な脆弱性の探索と特定も正式化され、サイバー空間における侵略への能動的な対抗センターが設立された。

また、国際的なパートナーとの協力を含め、いくつかの重要な技術的措置が実施された：
・データ、インフラ、バックアップの海外クラウド環境への移転が正式化され、実施された
・全面侵攻の開始から数ヶ月間、いくつかのオンラインサービスや国家レジストラがオフラインにされた
・帯域幅の容量が拡張され、数百の政府ウェブリソースに無料のDDoS攻撃保護が提供された
・重要情報インフラのセキュリティ評価が数百回実施された
・数千のEDRエージェントと数十のテレメトリセンサーが配備された
・国家サイバーレンジ（訓練場）が完全に稼働し、管理者や公務員向けに100以上のトレーニングコースが実施された。サイバーハイジーンとデジタルリテラシーの啓発が強化された
・国家SOCの機能が拡張され、いくつかの部門別および地域別SOCが稼働した
・複数のサイバー脅威分析プラットフォームが導入され、世界の主要プロバイダー、政府組織、重要インフラ企業との協力およびCTI（脅威インテリジェンス）交換が改善された
・クラウド・サイバーサービス・プラットフォームが開始された
・政府機関向けの安全なインターネットアクセスシステムが近代化された
・安全なDNSのパイロットプロジェクトが開始された
・国家情報リソースバックアップセンターが稼働した
・いくつかの重要な国家情報システムに対して多要素認証プロジェクトが実施された
・国家電子レジストラをホストするための統一された安全なプラットフォームが構築された
・モバイル対応チームの設置などを通じてCERT-UAの能力が強化された
・すべての電子通信プロバイダーの運用が、ウクライナ電子通信ネットワーク運用技術管理国家センターに従属させられた。