Microsoft 脅威インテリジェンスのポッドキャストで、エキスパートが直接提供するインサイトをご確認ください。 今すぐ聞きましょう。
この 3 月から 10 月にかけて Microsoft が確認した脅威の活動は、ウクライナ国民の士気を低下させるための複合的な作戦と、サイバー スパイ活動への注力が高まったことを反映していました。世界的な穀物危機の中、ロシアの軍事、サイバー、プロパガンダのアクター達は、民間インフラストラクチャの標的であるウクライナの農業部門に対する一斉攻撃を指示しました。ロシア軍事情報部 (GRU) に帰属するサイバー脅威アクター達は、ウクライナ軍とその海外からの供給ラインに対するサイバースパイ作戦に乗り出しました。国際社会が戦争犯罪の処罰を求めるなか、ロシアの対外情報庁 (SVR) と連邦保安庁 (FSB) サービスに関係するグループは、ウクライナ国内外の戦争犯罪捜査官を標的にしました。
影響工作の面では、ワグネル グループ、および悪名高いインターネット リサーチ エージェンシー トロール ファームのオーナーであるエフゲニー プリゴジン氏が 2023 年 6 月に短期間の反乱を起こし、その後死亡したことで、ロシアの影響工作能力の将来について疑問が呈されました。この夏の間、Microsoft は、プリゴジン氏と関係のない組織による広範なオペレーションを確認し、プリゴジン氏抜きでのロシアの悪質な影響工作キャンペーンの将来性を示しました。
Microsoft 脅威インテリジェンスおよびインシデント応答チームは、本レポートに記載されている脅威アクティビティを軽減できるよう、影響を受けたお客様および政府パートナーに通知し、連携してきました。
ロシア軍は、ウクライナで被害を与えるために多くは通常兵器を利用していますが、サイバー攻撃および影響工作は依然として、ウクライナの同盟国である地域、NATO、および世界のコンピューター ネットワークと市民生活の安全に対する緊急の脅威です。Microsoft は、世界中のお客様を積極的に防御するためにセキュリティ製品を更新するだけでなく、この情報を共有して、グローバルな情報空間の健全性に対する脅威に対して継続的に警戒するよう促しています。
この夏、ウクライナの農業部門に対して、ロシアの実戦力、サイバー攻撃、プロパガンダの力が集結しました。軍事攻撃によって、100 万人以上の人々が 1 年間にわたり食べることができる量の穀物が破壊され、親ロシア派のメディアは、人道的な代償があるにもかかわらずこれを標的にしたことを正当化するようなシナリオを押し進めました。1
6 月から 9 月にかけて、Microsoft 脅威インテリジェンスは、ウクライナの農業および穀物関連の出荷インフラストラクチャに関連する組織に対して、ネットワーク侵入、データ流出、さらには破壊的なマルウェアが展開されたことを確認しました。6 月と 7 月には、Aqua Blizzard (旧 ACTINIUM) が、農作物の収穫量追跡を支援する企業からデータを盗み出しました。Seashell Blizzard (旧 IRIDIUM) は、Microsoft が WalnutWipe/SharpWipe として検出する初歩的な破壊型マルウェアの亜種を、食品/農業部門のネットワークに対して使用しました。2
ロシア政府は 7 月、世界的な食糧危機を食い止め、初年度にアフガニスタン、エチオピア、ケニア、ソマリア、イエメンの人々に 72 万 5,000 トン以上の小麦を輸送することを可能にした人道的な取り組みである、黒海穀物イニシアティブから離脱しました。3 このロシア政府の行動の後、親ロシア派のメディア放送局や Telegram チャンネルは穀物イニシアティブを悪者にし、ロシア政府の決定を正当化しました。プロパガンダの放送局は、穀物回廊を麻薬密売の隠れみのに仕立てたり、武器を秘密裡に移転する手段に仕立てたりして、この取引の人道的意義を矮小化しました。
2023 年のいくつかのレポートで Microsoft は、GRU とのつながりが疑われる合法的または偽のハクティビスト グループが、敵対国に対するロシア政府の不快感を増幅させ、親ロシア派サイバー勢力の数を誇張するためにどのように活動してきたかを取り上げました。4 5 6 今年の夏には、Telegram 上のハクティビストの人物が、ウクライナの民間インフラストラクチャに対する軍事攻撃を正当化しようとするメッセージを拡散し、海外のウクライナの同盟国に対して分散型サービス妨害 (DDoS) 攻撃を集中的に行っていることも確認されました。Microsoft は、ハクティビスト グループと国家主導型攻撃アクターとの関係を継続的に監視することで、両者のオペレーションの速度や、互いの目標を補完する活動について、さらなる分析情報を提供しています。
現在までに、Solntsepek、InfoCentr、Cyber Army of Russia の 3 つのグループが Seashell Blizzard と関係していることが確認されています。Seashell Blizzard の攻撃と時を同じくしてハクティビストの放送局が一時的にサイバー能力を高めていることから、ハクティビストと Seashell Blizzard の関係は、コントロールというよりは短期的な利用の関係である可能性があります。Seashell Blizzard は定期的に破壊的な攻撃を仕掛け、Telegram のハクティビスト グループはその賞賛を公に主張します。ハクティビストはその後、DDoS 攻撃やウクライナ人の個人情報の流出など、普段行っている、あまり複雑ではない行動に戻ります。このネットワークは、APT が自分たちの活動を促進するために利用できる機敏性の高いインフラストラクチャであることが示しています。
ロシア軍は、国際法に抵触する可能性のある行為に関与しているだけでなく、彼らに対する裁判を行おうとしている犯罪捜査官や検察官も標的にしています。
Microsoft の診断データにより、ロシア軍や外国の諜報機関に関連するアクターが、今年の春から夏にかけて、ウクライナの法律および捜査に関するネットワークや、戦争犯罪捜査に関わる国際組織のネットワークを標的とし、侵入していたことが明らかになりました。
これらのサイバー オペレーションは、ロシア政府と、3 月に戦争犯罪容疑でロシアのプーチン大統領に対する逮捕状を発行した国際刑事裁判所 (ICC) などのグループとの間で緊張が高まる中で発生しました。7
4 月には、GRU とつながりのある Seashell Blizzard が、戦争犯罪事件を専門に扱う法律事務所のネットワークを侵害しました。FSB に帰属関係があるとされる Aqua Blizzard は、7 月にウクライナの主要な捜査機関の内部ネットワークに侵入し、9 月にはそこで侵害されたアカウントを使って、ウクライナの複数の通信会社にフィッシング メールを送信しました。
SVR のアクターである Midnight Blizzard (旧 NOBELIUM) は、Microsoft インシデント応答が侵入を修復するために介入する前の 6 月と 7 月に、世界的な責任を果たしている法律関連組織の文書を侵害し、アクセスしました。この活動は、世界中の外交、防衛、公共政策、IT 部門の組織を侵害する、このアクターによる大攻勢の一部でした。
3 月以降、影響を受けたお客様に対して Microsoft が発行したセキュリティ通知を確認したところ、成功の程度の差はあれ、Midnight Blizzard が主に米国、カナダ、その他のヨーロッパ諸国にある 240 以上の組織へのアクセスを達成しようと努めていることが明らかになりました。8
標的となった組織の 40% 近く は、政府、政府間組織、または政策シンクタンクでした。
ロシアの脅威アクターは、標的のネットワークに最初にアクセスし、持続性を確立するためにさまざまな手法を使用しました。Midnight Blizzard は、パスワード スプレー、サードパーティから取得した資格情報、Teams を介した信憑性の高いソーシャル エンジニアリング キャンペーン、クラウド サービスの悪用など、包括的なアプローチでクラウド環境に侵入しました。9 Aqua Blizzard は、初期アクセスのフィッシング キャンペーンに HTML を密かに組み込み、ウイルス対策シグネチャやメール セキュリティ コントロールによる検知の可能性を低下させました。
Seashell Blizzard は、Exchange や Tomcat サーバーなどの境界サーバー システムを悪用し、同時に DarkCrystalRAT バックドアを搭載した海賊版 Microsoft Office ソフトウェアを活用して初期アクセスを行いました。このバックドアにより、アクターは、Microsoft Defender を装ったソフトウェア パッケージである、Microsoft が Shadowlink と呼んでいる第 2 段階のペイロードを読み込み、デバイスに TOR サービスをインストールすることができ、脅威アクターは TOR ネットワーク経由で秘密裏にアクセスすることができました。10
ロシア軍が 2023 年春の攻勢を開始して以来、GRU や FSB 系のサイバー アクターは、戦闘地域のウクライナの通信や軍事インフラストラクチャからのインテリジェンスの収集に力を注いでいます。
3 月の時点で、Microsoft 脅威インテリジェンスは、Seashell Blizzard と、ウクライナの軍事通信インフラストラクチャの主要なコンポーネントを標的としたフィッシング ルアーやパッケージの可能性を結び付けて考えていました。Microsoft には、その後の行動については何も見えていませんでした。ウクライナ安全保障局 (SBU) によると、Seashell Blizzard がウクライナの軍事ネットワークにアクセスしようとした他の試みには、接続されている Starlink 衛星端末の構成に関する情報を収集し、ウクライナの軍事ユニットの位置を把握することを可能にするマルウェアが含まれていました。11 12 13
Secret Blizzard (旧 KRYPTON) もまた、ウクライナの防衛関連ネットワークにおける情報収集の足がかりを確保するために動いていました。Microsoft 脅威インテリジェンスは、ウクライナの政府コンピューター緊急対応チーム (CERT-UA) との連携により、ウクライナ国防軍のシステム上に Secret Blizzard のバックドア型マルウェア "DeliveryCheck" と "Kazuar" が存在することを特定しました。14 Kazuar には、さまざまなアプリケーション、認証データ、プロキシ、Cookie からの資格情報の窃盗、オペレーティング システムのログからのデータ取得など、40 を超える機能が含まれます。15 Secret Blizzard が特に興味を持っていたのは Signal Desktop のメッセージング アプリケーションからメッセージを含むファイルを盗み出すことで、これにより Signal のプライベート チャットを読むことが可能になります。16
Forest Blizzard (旧 STRONTIUM) は、従来のスパイ活動の標的であり、米国、カナダ、ヨーロッパの防衛関連組織に再び焦点を当てました。その国々の軍事支援と訓練によって、ウクライナ軍は戦闘継続能力を維持しています。
3 月以降、Forest Blizzard は、斬新で回避的なテクニックを組み込んだフィッシング メッセージを通じて、防衛関連組織への初期アクセスを試みています。たとえば、Forest Blizzard は 8 月に、CVE-2023-38831 の悪用を組み込んだフィッシング メールをヨーロッパの防衛組織のアカウント保有者に送信しました。CVE-2023-38831 は WinRAR ソフトウェアのセキュリティ脆弱性で、ユーザーが ZIP アーカイブ内の良性のファイルを閲覧しようとすると、攻撃者は恣意的なコードを実行することができます。
アクターはまた、Mockbin や Mocky といった正規の開発者ツールをコマンドとコントロールに活用しています。9 月下旬の時点で、アクターは GitHub と Mockbin サービスを悪用したフィッシング キャンペーンを実行していました。ERT-UA や他のサイバーセキュリティ企業は、9 月にこの活動を公表し、アクターが風俗産業のページを使って被害者を誘い、悪意のある Mockbin インフラストラクチャにリダイレクトさせるリンクをクリックさせたり、ファイルを開かせたりしていることを指摘しました。17 18 Microsoft はこれが、9 月下旬にテクノロジをテーマにしたページを使用するように切り替わったことを確認しました。いずれのケースでも、アクターは、悪意のあるリンクを含むフィッシング メールを送り、被害者を Mockbin の URL にリダイレクトさせ、Windows 更新プログラムを装った悪意のある LNK (ショートカット) ファイルがバンドルされた zip ファイルをダウンロードさせていました。LNK ファイルはその後、別の PowerShell スクリプトをダウンロードして実行し、永続性を確立して、データ窃盗などの後続のアクションを実行しました。
2023 年を通じて、MTAC は、2022 年春以来、ウクライナの国際的な支持者を標的とした洗練された親ロシアの影響工作を担当するロシア系の影響工作アクターである Storm-1099 の監視を続けました。
研究グループ EU DisinfoLab 19 によって "Doppelganger" と名付けられた大規模な Web サイト偽造作戦で最もよく知られている Storm-1099 の活動には、Reliable Recent News (RRN) のような独自のブランド放送局、反ウクライナの漫画シリーズ "Ukraine Inc." のようなマルチメディア プロジェクト、デジタルと物理的な世界を橋渡しする現場でのデモなども含まれています。帰属関係が不完全であるとはいっても、資金力のあるロシアの政治技術者、プロパガンダ担当者、PR 専門家たちが、ロシア国家と明らかにつながりのあるいくつかの Storm-1099 のキャンペーンを実施し、支援しています。20
Storm-1099 の Doppelganger 作戦は、テクノロジ企業や調査機関がその活動範囲を報告し、緩和しようと粘り強く試みているにもかかわらず、本レポートの時点でもなお完全に機能しています。21 このアクターは歴史的に西ヨーロッパ (主にドイツ) を標的としてきましたが、フランス、イタリア、ウクライナも標的になってきました。ここ数か月、Storm-1099 はその標的を米国とイスラエルに移しています。この移行は、イスラエルで司法制度の見直し案に対する大規模な抗議デモが発生した 2023 年 1 月に始まり、10 月初旬のイスラエルとハマスの戦争勃発後に激しさを増しました。新たに設立されたブランド放送局は、米国の政治と、来る 2024 年の米国大統領選挙をますます優先するようになっており、一方で既存の Storm-1099 のアセットは、ハマスが 10 月 7 日のイスラエル攻撃のために闇市場でウクライナの武器を入手したという虚偽の主張を力強く押し出しています。
最近では、10 月下旬に Microsoft が Storm-1099 のアセットであると評価するアカウントが、ソーシャル メディア上の偽の記事や Web サイトに加え、新しい種類の偽造を宣伝しているのを MTAC が確認しました。これらは一連の短い偽ニュース クリップで、表向きは信頼できる放送局によって作成されていますが、ウクライナとイスラエルの両方への支持を弱めるために、親ロシアのプロパガンダを広めています。この戦術、つまりプロパガンダ路線を推し進めるために動画のスプーフィングを使用することは、より広範な親ロシア アクターにより実施され、ここ数か月で観察された戦術ですが、Storm-1099 がこのような動画コンテンツを推進していることにより、このアクターの多様な影響工作テクニックとメッセージングの目標が浮き彫りになっています。
10 月 7 日にハマスがイスラエルを攻撃して以来、ロシアの国営メディアや国家と連携する影響工作アクターは、イスラエルとハマスの戦争を利用し、反ウクライナのシナリオや反米感情を促進し、すべての当事者間の緊張を悪化させようとしています。このような活動は戦争に反応したものであり、一般的には限定的な範囲に留まっていますが、国家が支援するメディアと、複数のソーシャル メディア プラットフォームにまたがるロシア系の秘密のソーシャル メディア ネットワークの両方が含まれています。
ロシアのプロパガンダ担当者や親ロシア派のソーシャル メディア ネットワークが推進するシナリオでは、信頼できるメディアのスプーフィングや不正操作された動画でウクライナがハマスの過激派を武装させたと虚偽の主張をすることで、イスラエルとウクライナを対立させ、ウクライナ政府に対する欧米の支持を低下させようとしていました。米国人を含む外国人兵がウクライナからイスラエル国防軍 (IDF) のガザ地区での作戦に参加するために移送されたと主張する真偽不明の動画は、ソーシャル メディア プラットフォーム全体で数十万回の視聴回数を集めましたが、このようなコンテンツはほんの一例にすぎません。このような戦略は、反ウクライナの物語を幅広い視聴者に広め、主要なニュース記事に合わせて偽の物語を形成することで、エンゲージメントを促進するものです。
ロシアはまた、現実世界の出来事を宣伝することで、デジタル影響工作活動を強化しています。ロシアの放送局は、ロシア国営通信社の現地特派員を通じて、中東やヨーロッパにおけるイスラエルとハマスの戦争に関連する抗議行動を増幅させる扇動的なコンテンツを積極的に宣伝しています。2023 年 10 月下旬、フランス当局は 4 人のモルドバ人がパリの公共スペースにダビデの星の落書きをしたことに関係している可能性が高いと主張しました。モルドバ人のうち 2 人は、ロシア語を話す人物に指示されたと主張しており、落書きに対するロシアの責任の可能性を示唆しています。この落書きの画像は後に、Storm-1099 によって増幅されました。22
ロシアは、現在進行中のイスラエルとハマスの紛争が、ウクライナ紛争から西側の関心をそらすと考え、地政学的に有利だと評価しているようです。ロシアが確立した影響工作プレイブックでよく使われる戦術に従って、MTAC は、このようなアクターは、オンライン プロパガンダのシーディングを続け、他の主要な国際的なイベントを活用して、緊張を誘発し、ロシアのウクライナ侵攻に対抗する西側の能力を妨害しようと試みていると評価しています。
反ウクライナのプロパガンダは、2022 年の全面侵攻以前からロシアの影響工作活動に広く浸透していました。しかしここ数か月、親ロシアおよびロシア系の影響工作ネットワークは、動画を使用することに注力しています。よりダイナミックなメディアを利用し、権威あるメディア放送局であるとなりすまして信頼性を利用し、彼らのメッセージを広めることができるからです。MTAC は、未知の親ロシアのアクターによって行われた 2 つの進行中のキャンペーンを確認しました。これには、主要なニュースやエンターテイメント メディア ブランドを詐称して、不正操作された動画コンテンツを推し進めることが含まれます。以前のロシアのプロパガンダ キャンペーンと同様に、この活動はウクライナのヴォロディミル ゼレンスキー大統領を堕落した麻薬中毒者として、またウクライナ政府に対する西側の支援が国民にとって有害なものであるとして描くことに焦点を当てています。両キャンペーンのコンテンツは一貫してウクライナへの支持を低下させようとしていますが、2023 年 6 月のタイタン潜水艇の爆発やイスラエルとハマスの戦争のような新たなニュース イベントに合わせて物語を脚色し、より多くの視聴者にリーチしようとしています。
こうした動画を中心としたキャンペーンのひとつに、主要メディア放送局の短いニュース報道を装って、偽の反ウクライナ、ロシア政府系のテーマ、物語を広める一連の捏造動画があります。MTAC がこの活動を初めて確認したのは 2022 年 4 月で、親ロシア派の Telegram チャンネルで、数十人の市民を殺害したミサイル攻撃はウクライナ軍の責任だと主張する BBC ニュースの偽動画が投稿されたときでした。この動画には BBC のロゴ、配色、外観が使われており、スラブ語から英語に翻訳する際によくある誤りを含む英語のキャプションが使われています。
このキャンペーンは 2022 年まで続き、2023 年夏に加速しました。このレポートをまとめる時点で、MTAC はこのキャンペーンで十数本のなりすましメディア動画を確認しており、最も頻繁になりすまされているのは BBC ニュース、アルジャジーラ、ユーロニュースです。ロシア語の Telegram チャンネルは、主要ソーシャル メディア プラットフォームに広まる前に、まず動画を強化しました。
このコンテンツは限定的な範囲にとどまっていますが、AI の力で改良および改善されたり、より信頼できるメッセンジャーによって強化されたりすれば、標的が信頼してしまうような脅威を将来的にもたらす可能性があります。なりすましのニュース クリップを担当した親ロシア派は、現在の世界情勢に敏感かつ機転が利きます。たとえば、BBC ニュースのなりすまし動画は、調査報道機関 Bellingcat が、ハマス過激派が使用する武器はウクライナの軍関係者が闇市場を通じて同派に売却したものだと暴露したと偽っています。この動画の内容は、動画が公開されるちょうど 1 日前にロシアのメドベージェフ前大統領が行った公の発言と酷似しており、このキャンペーンがロシア政府の公然のメッセージと強く一致していることを示しています。23
2023 年 7 月以降、親ロシア派のソーシャル メディア チャンネルが、反ウクライナのプロパガンダを押し進めるために欺瞞的に編集された有名人の動画を流し始めました。この動画は、名の知られていないロシア系影響工作アクターの作品で、人気の Web サイトである Cameo が活用されているようです。ここでは、有名人やその他の公人がパーソナライズされた動画メッセージを録画し、料金を支払ったユーザーにそれを送ることができます。短い動画メッセージは多くの場合、有名人が「ウラジーミル」に対して薬物乱用の助けを求める嘆願を行う内容で、絵文字やリンクを含むように無名なアクターによって編集されています。動画は親ロシア派のソーシャル メディア コミュニティを通じて流通し、ロシアの国営メディア放送局によって増幅され、ウクライナのヴォロディミル ゼレンスキー大統領へのメッセージであると偽って流されます。いくつかのケースでは、アクターがメディア放送局のロゴや有名人のソーシャル メディアのハンドルネームや加え、ゼレンスキー氏に対する有名人の公の場での訴えをレポートするニュース クリップや、有名人自身のソーシャル メディアへの投稿のように見せかけたものもあります。ロシア政府当局者とロシア国家が支援するプロパガンダは、ゼレンスキー大統領が薬物乱用に苦しんでいるという虚偽の主張を長い間宣伝してきました。このキャンペーンは、オンライン情報空間でこの物語をさらに進めようとする親ロシア派アクターによる斬新なアプローチを示しています。
7 月下旬に確認されたこのキャンペーンの最初の動画では、ウクライナの国旗の絵文字、米国のメディア放送局 TMZ のウォーターマーク、薬物乱用回復センターとゼレンスキー大統領の公式ソーシャル メディア ページへのリンクのひとつが使われています。2023 年 10 月下旬の時点で、親ロシア派のソーシャル メディア チャンネルはさらに 6 本の動画を配信しています。特筆すべきは、8 月 17 日、ロシア国営ニュース メディア放送局 RIA Novosti が、米国の俳優ジョン マッギンリー氏を起用した動画を取り上げ、あたかもマッギンレー氏からゼレンスキー氏への本物の請願であるかのような記事を掲載したことです。24 マッギンリー氏以外にも、このキャンペーンに登場する有名人には、俳優のイライジャ ウッド氏、ディーン ノリス氏、ケイト フラナリー氏、プリシラ プレスリー氏、ミュージシャンのシャボ オダジャン氏、ボクサーのマイク タイソン氏などがいます。米国認可のメディア放送局 Tsargrad など、その他の国営ロシア メディア放送局もキャンペーンの内容を増幅させています。25
ウクライナの軍事責任者によれば、ロシアの戦闘員は一貫した塹壕戦という新たな段階に移行しており、紛争がさらに長期化することが示唆されています。26 ウクライナ政府が抵抗を続けるには、安定的な武器の供給と民衆の支持が必要であり、ロシアのサイバー攻撃および影響工作においては、ウクライナの住民の士気を低下させ、ウクライナ政府の軍事的および財政的な外部支援源を弱体化させるための取り組みが強化されることが予想されます。
冬が近づくにつれ、ウクライナの電力会社や水道会社を狙った軍事攻撃と、これらのネットワークに対する破壊的なワイパー攻撃が再び行われる可能性があります。27 CERT-UA のウクライナのサイバーセキュリティ当局は 9 月に、ウクライナのエネルギー ネットワークが持続的な脅威にさらされていると発表し、Microsoft 脅威インテリジェンスは 8 月から 10 月にかけて、ウクライナのエネルギー部門のネットワークで GRU の脅威アクティビティの痕跡を確認しました。28 Microsoft は、8 月にウクライナの電力会社のネットワークに対して Sdelete ユーティリティが破壊的に使用されたことを少なくとも 1 回確認しました。29
ウクライナ以外では、2024 年の米国大統領選挙やその他の主要な政治的論争で、悪質な影響工作アクターが、動画メディアや発展初期段階の AI のスキルを駆使して、ウクライナ支持を唱えている選出議員の政治的な形勢を変える可能性があります。30
ウクライナにおける最新の破壊的攻撃手法に関する技術情報については、https://go.microsoft.com/fwlink/?linkid=2262377 をご覧ください
2023 年 3 月 15 日から 2023 年 10 月 23 日までに発行された通知に基づきます。
hxxps://cert[.gov[.]ua/article/5702579
ria[.]ru/20230817/zelenskiy-1890522044.html
tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab
Microsoft をフォローする