NTTデータは12月14日、2022年のサイバーセキュリティ動向に関する説明会を開催した。説明会では、サイバーセキュリティ技術部 情報セキュリティ推進室 NTTDATA-CERT Executive Security Analystの新井悠氏が、ロシアによるウクライナ侵攻における戦闘活動とサイバー攻撃を中心に解説を行った。
ロシア軍関連機関のサイバー部隊の属性
昨今、国家の利益を求めるために、国家が主導するサイバー攻撃が増えている。ウクライナ侵攻でもその傾向は見られており、ウクライナに加えて、ウクライナを加勢するNATO諸国を狙うサイバー攻撃も増加している。
新井氏は、ロシア政府が支援するサイバー攻撃グループを明らかにするため、セキュリティベンダーによるロシア軍関連機関のサイバー部隊アトリビューション(属性判定)の結果を紹介した。
ロシア連邦軍参謀本部情報総局(GRU)は「APT28」「Sandworm」のグループを、ロシア連邦保安庁(FSB)は「Gamaredon」のグループを、ロシア対外情報庁(SVR)は「APT29」のグループを支援しているという。
APTは「Advanced Persistent Threat」の略で、執拗に(Persistent)、高度な(Advanced)攻撃を指す。
「APT28」はGRU配下の26165部隊が実態といわれており、2016年と2020年のアメリカ大統領選挙へに介入したといわれている。このほか、米国の関係先に対して多数のサイバー攻撃を2008年から行っているという。
「Sandworm」はGRU配下の74455部隊で、ウクライナ侵攻に伴ったサイバー攻撃でしばしば名指しされている。
「APT29」はロシア対外情報庁(SVR)に帰属があると推定されており、「SUNBURST」と名付けられた米国政府機関への攻撃を首謀したといわれている。「Sunburst」は、ネットワーク監視ソフトウェア「SolarWinds Orion Platform」の脆弱性の悪用を端緒として、米国政府などを狙った大規模サプライチェーン攻撃だ。
「Gamaredon」は、ウクライナ保安庁(SSU)の調査により、FSB配下 にあるといわれている攻撃グループだ。ウクライナの国家機関、主に治安、防衛、法執行機関に対して標的を絞ったサイバー攻撃を担当している とされている。