「ゼロトラスト」でなければランサムウェアギャングと戦えない理由――いま企業はハイブリッド戦争の前哨戦の渦中にある：ITmedia Security Week 2023 夏

2023年6月、ITmedia Security Week 2023 夏で、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「ゼロトラスト。バズワードと化した最重要課題を今一度紐解く。」と題して講演した。

[宮田健，＠IT]

　現代のサイバー空間を生き抜く上で必須といえる「ゼロトラスト」を、その概念の根幹を成すNIST SP800-207をベースに読み解き、バズワードと化した分散的な理解を再構成し、理解につなげるための講演だ。本稿では西尾氏による現状分析を基にした講演の模様をレポートする。

あなたの組織はいま「前哨戦」の渦中にある

　「ゼロトラストは非常に重要な課題。しかし、良くも悪くも“バズワード”として捉えられているのではないか」と斬り込んで西尾氏は講演をスタートする。

　西尾氏は、いままさに進行しているロシア／ウクライナのハイブリッド戦争を取り上げる。「2022年2月24日は、フルスケールで人類が初めてハイブリッド戦争を経験した日」と西尾氏は述べる。この有事においてMicrosoftは、ロシアによるウクライナ侵攻における、サイバー戦術についてのレポートを公開している。

Microsoftによるウクライナ侵攻におけるサイバー戦術についてのレポート（西尾氏の講演資料から引用）

　これによると、ロシア政局内には大きく3つの部隊が存在しているという。それらの機関がそれぞれにサイバー攻撃部隊を持っていることが明らかになっている。

多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏

　かつて2016年ごろまで存在した、バンキングマルウェアなどで猛威を振るっていたエクスプロイトキット「AnglerEK」に関連するチームが、一斉に摘発されて逮捕されたという報道があった。この時チームは、政府に取り込まれたもの、刑務所に収容されたもの、そして逮捕されずに活動を続けているものに分かれたという。

　「政府に取り込まれたものと、いまも活動を続けているものが、いまだに協力関係にある。それがいま、大きなランサムウェアビジネスを展開しているのが現状だ」（西尾氏）

　こういった「アクター」はなかなか見えにくく、報道もぼやけがちだ。「報道ではたくさんのランサムウェアギャングがいて顧客を取り合っていると表現するが、誤認だ。ロシア／ウクライナ有事に当たって第三国へのサイバー攻撃に加担しているのは、旧AnglerEK、旧KGB系をルーツに持つ人たちが主導していると考えている」（西尾氏）

　Microsoftのレポートを基に、西尾氏がまとめたチャートを公開する。軍事侵攻前からロシア、米国をはじめとする外交交渉が行われる裏側で、ロシアの攻撃部隊「DEV-0586」がワイパー攻撃を仕掛けていたり、交渉が決裂したタイミングで大規模なサイバー攻撃が行われたりしたことが分かる。これらのサイバー攻撃は、外交オプションの一つといえる。

　さらに、軍事侵攻が開始された直後、国境を戦車が越えるよりも前の段階で、民間のインターネット回線事業者に対してサイバー攻撃が行われたことも明らかになっている。これによって、最初の物理的攻撃の前に、地域におけるインターネット回線を途絶させた。その他にも、軍事侵攻後は多くのサイバー攻撃が目立っている。

レポートの内容を時系列に並べる。右側の縦棒が軍事侵攻開始後（西尾氏の講演資料から引用）

　「ハイブリッド戦争の一番のポイントは、サイバー攻撃を伴う軍事侵攻は、必ずしも国と国が戦うだけではない。ロシアが支援しているようなサイバー攻撃グループが、いち民間企業を対象として攻撃することがある。これは大きなポイントだ。あなたの企業がハイブリッド戦争の攻撃対象になり得る可能性は十分にあると認識すべきだ」（西尾氏）

　加えて、2022年2月24日、その開戦のタイミングが初めてのサイバー攻撃だったわけではないこともポイントだ。2月24日よりももっと前の段階で、ロシア軍はさまざまなサイバー攻撃を仕掛け、マルウェアに感染させたり、バックドアを作成したりしている。

　「サイバー戦争、ハイブリッド戦争における“フェーズ0”は、皆さんにとっては平常時のIT運用であり、前哨戦であることを理解してほしい」

ゼロトラストでなければ、前哨戦を戦えない