イスラエルとハマス、ロシアとウクライナなど、現代の軍事衝突におけるサイバー戦争を4段階に分けて深掘りし、現実世界と仮想空間でエスカレートする脅威を解説します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年11月7日付)を翻訳したものです。
10月7日、ハマスがイスラエルに奇襲攻撃(※)を仕掛けると、多くの脅威アクターがソーシャルメディア上で反応し、その行動への支持と非難が飛び交いました。その直後にはハクティビストも参戦し、イスラエルとパレスチナのさまざまなWebサイトに改ざんや分散型サービス拒否(DDoS)攻撃を展開しました。こういった攻撃の背景にはイスラエル・ハマス紛争特有の事情が隠されているにせよ、全体的な戦略は過去に他の軍事衝突で確認されたものと呼応しており、こうしたパターンは注目に値します。
(※)イスラエルはハマスによる攻撃計画について1年前から知っていた、とする報道もあります(The New York Times “Israel Knew Hamas’s Attack Plan More Than a Year Ago“)
イスラエル・ハマス紛争(※※)でもロシア・ウクライナ戦争と同様に、過去の軍事衝突で見られたパターンを踏襲するデジタル戦場が姿を現しています。今回の調査では、サイバー攻撃とサイバーテロにおいて考えられる4つの複雑なフェーズを分析。それぞれを紐解くことにより、進化するサイバー脅威の本質だけでなく、仮想空間と現実世界の境界線が曖昧になっていることが浮き彫りになります。この戦争は今なお急激に拡大し続けていますが、本記事ではロシア・ウクライナ戦争と同じ傾向でサイバー戦争が繰り広げられる可能性を予測し、以下の4段階に分けて説明します。
(※※)本記事では、原文に沿って「戦争」「紛争」といった訳語を使用していますが、イスラエルにより殺害された民間人の多さやガザ地区で意図的に引き起こされているとみられる飢餓状態および人道危機、イスラエルによる病院や救急車への攻撃といった事項を踏まえ、10月7日以降続いているこの事態は「戦争」や「紛争」ではなく「虐殺」と呼ぶべきだという議論もあります。実際に南アフリカはイスラエルの行為は「ジェノサイド」であるとして同国を国際司法裁判所(ICJ)に提訴しており、1月11日および12日に審理・弁論が行われました。
以下の4フェーズを解説します:
・フェーズ1:攻撃の規模と影響が拡大
攻撃の対象が広がり、その戦略はハッシュタグから改ざん、分散型サービス拒否(DDoS)攻撃へと進化します。
・フェーズ2:ターゲットが広がり、より高度な攻撃を実行
国家に支援された脅威アクターが現れ、サイバーテロを含む、より高度な標的型攻撃を実行します。
・フェーズ3:偽旗作戦とランサムウェアの使用
ランサムウェアグループと偽旗作戦がサイバー空間で暗躍し、現実社会と仮想空間のインフラストラクチャーのみならず、一般社会の意識にも影響を与えます。
・フェーズ4:「キネティック攻撃」と連動
サイバー攻撃が「キネティック攻撃」と密接に連動し、仮想空間にとどまらず、軍事衝突の物理的な側面にも影響がおよびます。
サイバー戦争の4フェーズ
以下に定義した4つのフェーズは、それぞれの境界線が明確に定められていたり、特定の順序で発生したりするわけではなく、重複する部分さえありますが、国家と非国家組織によるサイバー戦争がどう発展していくのかを端的に説明しています。
フェーズ1:サイバー攻撃の規模と影響が拡大
10月7日、ハマスがイスラエルに奇襲攻撃を仕掛けると、さまざまな脅威アクターがソーシャルメディア上で反応し、ハマスの行動への支持と非難が飛び交いました。その直後にはハクティビストも参戦し、イスラエルとパレスチナのさまざまなWebサイトに改ざんや分散型サービス拒否(DDoS)攻撃などを展開しました。
最初の攻撃は、両陣営への支持を表明するハッシュタグで始まりました。そしてイスラエル、パレスチナ両政府のトップレベルドメイン(TLD)の改ざんから、この地域で事業を展開する各企業へと攻撃対象が拡大。ハクティビストの間では、オープンソースDDoSツールが共有されました。ターゲットの範囲はさらに広がり、ロシア・ウクライナ戦争のさなかに攻撃を受けた西側諸国と同様、双方の外交パートナーまで狙われるようになりました。
フェーズ2:ターゲットが広がり、より高度な攻撃を実行
イスラエルとハマスの両陣営を支持する多くのハクティビストグループは、通信手段にTelegramやX(旧Twitter)などのオンラインチャネルを使っていることが知られています。現在進行中の紛争において、これらの集団がサイバー攻撃やサイバーテロ行為にどこまで積極的に関与しているのかははっきりしていません。しかし、Anonymous SudanやKilnetなどの著名なハクティビストグループは、イスラエルとパレスチナ自治区の標的に対するサイバー攻撃に関与していることを公言しています。
複数の高度持続的攻撃グループ(APT)もまた、ロシア・ウクライナ戦争では重要な役割を果たしています。しかしその一方で、国家の支援を受けた脅威アクターという、政府の承認を得ていながらも自主的に活動する集団が現れました。これらのグループと国家情報機関がどこまで連携しているかについて、はっきりしたことは未だにわかっていません。国の代わりに暗躍するこういったグループのおかげで、依頼者である政府はサイバー攻撃への関与をもっともらしく否定できるようになります。ロシア・ウクライナ戦争で西側諸国を標的にしたKillnetやAnonymous Sudanが好例です。
フェーズ3:偽旗作戦とランサムウェアの使用
国の代理で活動するグループや、国家の支援を受けた脅威アクターの他にも、今回の紛争にはランサムウェアグループも関与するようになりました。Killnetは、ランサムウェアグループ「REvil」のメンバーと連携していると主張。他にも「T.Y.G Team – 1915 Team」のような脅威アクターは、ランサムウェア「Gaza Digital Storm」など独自に開発したマルウェアを使い、イスラエルにランサムウェア攻撃を仕掛けていると主張しました。こういった動きはまた、イスラエルとパレスチナ双方のインフラストラクチャーへのアクセスと思われるものを有している複数のアフィリエイトや、初期アクセスブローカーらの関心を集めました。
イスラエル国内のオペレーショナルテクノロジー(OT)と重要インフラは、標的とみなされていることがすでに宣言されています。電気通信/指揮制御、炭化水素資源、石油、潤滑油、電力といった重要インフラは、過去の大きな軍事衝突でもしばしば攻撃のターゲットにされてきました。したがって、イスラエルがガザ地区でサイバー攻撃や軍事作戦を行うのであれば、初期段階で重要インフラを狙って当然と考えるべきでしょう。この標的設定は、攻撃が実際に発生したか、あるいは「攻撃があったらしい」という認識が広まっただけかにかかわらず、戦争の進展に影響を与えることができます。
例えば、「Cyber Av3ngers」はドラド発電所のハッキングに成功したと主張しました。しかしこの攻撃の証拠として共有された画像は2022年に実施された同発電所への攻撃に関するものであり、これにはイランに支援されていると思われるグループ「Moses Staff」が関与しているとみられることがすでに報じられていました。なお、Moses Staffについては、同じくイラン系のグループ「Abraham’s Ax」との関連も指摘されています。
このインシデントは後日、ソーシャルメディアプラットフォーム上で偽情報だったことが暴かれましたが、それがなければ、戦況に何らかの変化がもたらされる前兆として受け止められていたかもしれません。しかしこの事例はまた、こういったグループの目的が単なる混乱を引き起こす以上のことにある、つまり社会の注目を集めたり、悪名を高めたり、あるいは恐怖、不安、疑惑(FUD)を煽ったりすることだという事実を浮き彫りにしています。
ロシア・ウクライナ戦争で積極的に活動する別のハクティビストグループ「SiegedSec」も、イスラエルのインフラに対するサービス拒否攻撃(DoS攻撃)で「Anonymous Sudan」との連携を主張。そしてイスラエルでは、Anonymous Sudanがアプリの「tzevaadom」と「Red Alert」に分散型サービス拒否(DDoS)攻撃を仕掛けたと主張しました。また、英語とペルシャ語を話し、イランの敵対勢力とみなされているハクティビストグループ「Predatory Sparrow」(別名Gonjeshke Darande)は、少なくとも10年間にわたり、同国を狙った最も巧妙で破壊的なサイバー攻撃に関与してきました。このグループはイスラエル・ハマス戦争が始まった直後、Telegram上に再び姿を現し、活動再開を宣言しています。
フェーズ4:「キネティック攻撃」と連動
ウクライナ侵攻が始まったばかりの2022年2月、ロシアが空爆と部隊移動を開始したのとほぼ同じタイミングで、ウクライナ政府のシステムに大規模なワイパー型マルウェア攻撃が行われました。イスラエル・ハマス紛争でも戦いが長引くにつれ、同じように実際の軍事的行動、つまり「キネティック攻撃」がサイバー攻撃に先立って、あるいは連動して実施される可能性があります。
イスラエル・ハマス紛争が続く間、サイバー攻撃と「キネティック攻撃」が同時に実行される傾向は強まることが考えられます。ロシアがウクライナへ侵攻した当初と同じく、インターネットアクセスを妨害する試みが行われるかもしれません。インフラストラクチャー、接続性、オペレーショナルテクノロジー(OT)を狙った攻撃が繰り返されることも予想されます。
現代戦争に直面する各企業にとって最善のサイバー対策
さまざまな課題を突きつけられる現代戦争のさなかにおいて、各企業は事業と資産、従業員の安全を最優先に考える必要があります。未だに終わりが見えないイスラエル・ハマス紛争とロシア・ウクライナ戦争は、進化するサイバー脅威の性質や現実世界との相互関係とともに、立ち直る力を構築するための貴重な知見を提供してくれます。これらを生かして対策を講じ、サイバー脅威を常に警戒し続けることで、戦時中においても安全性と回復力、繁栄する力をより確実に確保できるようになります。今すぐ当社へご連絡ください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。