Yahoo!ニュース

「偽政府サイト」でウイルス拡散、武力侵攻に先立ちサイバー波状攻撃

平和博桜美林大学教授 ジャーナリスト
攻撃に備えて地下鉄の駅に避難する市民たち=2月24日、ウクライナ・キエフ(写真:ロイター/アフロ)

ロシアによるウクライナ武力侵攻に先立ち、「偽政府サイト」からのウイルス拡散など、サイバー波状攻撃が行われていた――。

オランダの調査報道サイト「べリングキャット」とラトビアの調査報道サイト「ジ・インサイダー」は2月23日、ウクライナに対するサイバー攻撃についての分析結果を共同で報じた。

それによると、これまでのウクライナ政府機関などへのサイバー攻撃を分析したところ、ウクライナ政府サイトを装った複数の「偽政府サイト」が新たに見つかり、アクセスしたユーザー端末へのウイルス拡散が行われていた、という。

このサイトには、ロシア政府で数々のサイバー攻撃を手がけてきた部隊が関与していると見られている。このサイバー部隊は、2016年米大統領選での米民主党本部システムへの侵入など、各国へのサイバー攻撃で繰り返し名指しされてきた。

ロシアによる武力侵攻の前日、2月23日にはウクライナ政府機関などへの大規模なサイバー攻撃相次いで行われている。だが、今回解明された仕組みとの関連はわかっていないという。

「ハイブリッド戦」におけるサイバー攻撃は、フェイクニュースからサイト遮断、データ破壊まで、多面的、波状的に展開される。その現実が、進行している。

●「偽政府サイト」を発見する

このサイトには、大統領府のメインページを始めとする、多くのウクライナ政府サイトのクローン(複製)コピーも掲載されていた。このサイトでは他にも、ウクライナ司法省や政府が運営する請願ポータルサイトなどのクローン(と修正された)サイトが見つかっている。これらのクローンサイトは、ロシアによるウクライナへの今回の攻勢が始まった2021年11月には作成されていた。

べリングキャット」と「ジ・インサイダー」は2月23日、ノルウェーのセキュリティ研究者、ソノレ・ファーゲラン氏の協力によるウクライナへのサイバー攻撃の分析結果について、そう報じている。

ファーゲラン氏らは、ロシアによると見られる2021年4月のウクライナへのサイバー攻撃で、指令センター(コマンド・アンド・コントロール[C&C]センター)として使われていたサイトを調査した。

すると、同じドメイン名による別アドレス(サブドメイン)を使って、ウクライナ政府の公式サイトを複製した「偽政府サイト」が多数見つかった、という。

「偽政府サイト」の中には、ウクライナ大統領府、ウクライナ議会、司法省などが含まれていた。このうち、偽の大統領府の請願サイトは2021年11月27日、偽の司法省サイトは12月21日に発見された、という。

これらの偽サイトは、ホスティング事業者に通報して、すでに削除されているという。

●署名ボタンとウイルス

大統領に支援を! 私たちは新興財閥(オリガルヒ)からすべてを奪い取り、市民への分配を要求する。

偽造されたウクライナ大統領府の請願サイトを開くと、数秒後にポップアップが現れ、このような文言とともに、黄色く目立つ「請願に署名を」のボタンが表示される。

このボタンをクリックすると、pdf形式の文書に見えるファイルがダウンロードされる。これが、pdfを偽装したzip形式の圧縮ファイルで、その中身は「トロイの木馬」のようなウイルスだという。

ウイルス拡散の狙いは不明だという。想定される一つの可能性は、ウイルスに感染した端末を踏み台として使って、分散型サービス拒否(DDoS)攻撃を行うための準備。もう一つの可能性は、ユーザーのソーシャルメディアアカウントを乗っ取って、フェイクニュース拡散に使う、というものだ。

「偽請願サイト」からのウイルス拡散は、不特定多数の一般ユーザーがターゲットにされている。

ファーゲラン氏の調査によれば、これとは別に、2022年1月から2月にかけて、メッセージソフト「ディスコード」上で、ウイルスを含んだ35種類のzipファイルの拡散が確認できたという。

「ディスコード」上でのウイルス拡散では、ウクライナの原子力庁や外務省、国防省などの送信元を装ったファイル名を使っており、こちらは政府高官などをターゲットにしていることがうかがえるという。

つまり、ターゲットごとに多面的なサイバー攻撃が設計されていることになる。

●サイバー攻撃とロシア・サイバー部隊

ロシアによる攻勢が強まった2021年4月、ウクライナはジョージアとともにサイバー攻撃を受けている。この時は、特定の政府関係者を狙い撃ちにした「スピアフィッシング」と呼ばれる攻撃だった。

イスラエルのセキュリティ企業「インテゼル」は、その手法や使用されているプログラム言語などから、ロシア連邦軍参謀本部情報総局(GRU)の「APT28」「ファンシーベア」などと呼ばれるサイバー部隊によるもの、と指摘していた。

ファーゲラン氏によると、この時のサイバー攻撃で使われていたドメイン名やウイルスのタイプが、今回発覚したウクライナの「偽政府サイト」と共通している、という。

「APT28」「ファンシーベア」として知られるロシアのサイバー部隊は、これまでも様々なサイバー攻撃でその名前が取り沙汰されてきた。

特にフェイクニュースの氾濫が注目を集めた2016年の米大統領選では、米民主党本部やクリントン陣営の選対本部長へのサイバー攻撃で大量の内部文書が流出。それらを基にした「ピザゲート」と呼ばれる陰謀論も拡散した。

※参照:ロシア軍サイバー部隊はこうして米民主党をハッキングした(07/15/2018 新聞紙学的

※参照:サイバー攻撃と偽ニュース:ロシアによる米大統領選妨害は、いかに行われたのか?(01/07/2017 新聞紙学的

※参照:米大統領選、ロシアハッカー、ウィキリークス:米民主党メール流出の裏で何が起きているのか(07/30/2016 新聞紙学的

そのサイバー部隊が、今回のウクライナ危機でも、サイバー攻撃の網を張っていたという見立てだ。

●「ハイブリッド戦」の多面攻撃

2月24日のロシアによるウクライナへの武力侵攻に先立って、ネット上では多面的なサイバー攻撃が展開された。

前述のように、2月23日はウクライナの政府機関などに対するDDoS攻撃でのアクセス遮断データ破壊ウイルス(ワイパー)攻撃が、相次いで報じられた。これは、1月中旬、2月15日のサイバー攻撃に続く今年に入ってからの第3波の攻撃と位置付けられている。

ウクライナ保安庁は2月23日夕には、「政府機関が病院や学校への避難指示を出した」とのフェイクニュースが広がっている、との警告のリリースも発表している。

ウクライナのCERT(コンピューター緊急対応チーム)によれば、第2波となる2月15日のサイバー攻撃では、金融機関への爆破予告の偽メールなどと並行して、金融機関や政府機関へのDDoS攻撃が行われている。

ウクライナへのロシアによる今回の攻勢は、特に2021年11月から急速に緊張度が高まった。それに合わせるように、フェイクニュースも急増していたことが、調査会社「ミトスラボ」によって明らかになっている。

※参照:フェイクツイート3,000%増が軍事的緊張を後押しする(02/14/2022 新聞紙学的

それだけでなく、今回のロシアによるウクライナへの軍事侵攻の前触れとなった親ロシア派支配地域「ドネツク人民共和国」「ルガンスク人民共和国」の両指導者によって、2月18日に公開された住民へのロシアへの「避難指示」動画は、その2日前に作成されていたことも判明。ロシア側のシナリオが、着実に進められていたことがわかっている。

※参照:「疑惑動画」のからくりをネットユーザーが暴く、解明のカギになったのは?(02/21/2022 新聞紙学的

国際問題の米シンクタンク「大西洋評議会」の研究所「デジタル・フォレンジクス・リサーチ・ラボ(DFRラボ)」が、親ロシア支配地域をめぐるプロパガンダ「偽旗作戦」を、ロシアメディアがどのように拡散していたかをまとめている。

「ハイブリッド戦」の深刻な爪痕が、ウクライナをめぐってリアルタイムで広がっている。

(※2022年2月25日付「新聞紙学的」より加筆・修正のうえ転載)

桜美林大学教授 ジャーナリスト

桜美林大学リベラルアーツ学群教授、ジャーナリスト。早稲田大卒業後、朝日新聞。シリコンバレー駐在、デジタルウオッチャー。2019年4月から現職。2022年から日本ファクトチェックセンター運営委員。2023年5月からJST-RISTEXプログラムアドバイザー。最新刊『チャットGPTvs.人類』(6/20、文春新書)、既刊『悪のAI論 あなたはここまで支配されている』(朝日新書、以下同)『信じてはいけない 民主主義を壊すフェイクニュースの正体』『朝日新聞記者のネット情報活用術』、訳書『あなたがメディア! ソーシャル新時代の情報術』『ブログ 世界を変える個人メディア』(ダン・ギルモア著、朝日新聞出版)

平和博の最近の記事