ハッカー集団「キルネット」はなぜ日本に「宣戦布告」したのか

ハッカー集団「キルネット」はなぜ日本に「宣戦布告」したのか
https://wedge.ismedia.jp/articles/-/27975

『2022年9月6日から7日にかけて、行政情報ポータル「e-GOV」(デジタル庁)、地方税ポータル「eLTAX」(地方税共同機構)、東京メトロ、大阪メトロ、名古屋港管理組合、クレジットカード大手JCB、ソーシャルネットワークサービス「mixi」のウェブサイトで、DDoS攻撃による影響とみられる閲覧障害が発生した。DDoS攻撃とは、対象のサーバーやウェブサイトに処理能力を超える接続要求(リクエスト)やデータを送ることで、対象の機能を停止させることだ。攻撃者はインターネットに接続された無数の端末、サーバー、IoT機器をマルウェア等に感染させてDDoS攻撃に活用したり、リクエストを増幅させる手法を用いる。

キルネットが自身の「テレグラム」のパブリック・チャネルで、日本へ「宣戦布告」する動画を投稿した

 今回の攻撃はロシア政府を支持するハッキング集団「キルネット(Killnet)」によるものとみられている。キルネットは6日、自身の「テレグラム」のパブリック・チャネルに「日本はオフライン」(※実際には「日本」の部分は日の丸旗の絵文字)と投稿し、翌日には日本語字幕付きの動画をアップロードした。22年2月より続くウクライナ戦争について、日本が「反ロシアキャンペーン」を展開していることが攻撃の理由だと示唆した上で、日本政府全体に「宣戦布告」した。

 キルネットによる攻撃は国内主要メディアの多くが報じ、政府閣僚も会見で言及する等の対応に追われた。確かにウクライナ戦争に対する日本の立場・政策を理由に、広範囲に渡るサイバー攻撃が行われたという点は注目に値する。

 他方、こうしたDDoS攻撃は一般的に低烈度のサイバー攻撃と位置付けられ、個人データや機密情報を盗むわけでもなく、インターネットから隔離された重要インフラの運用を停止させるわけでもない。基本的にはウェブサイト等を一時的に閲覧停止に追い込むだけであり、電子申請やオンライン手続きをする際には問題かもしれないが、それほど深刻に捉える必要はない。

 キルネットの狙いはDDoS攻撃を通じて、その政治的メッセージを伝え、市民に不安を抱かせ、あわよくば日本政府の対ウクライナ・対ロシア政策を転換させることである。もしキルネットが単なる自己満足ではなく、本気で政策転換までを考えているとしたら、キルネットの「武器」「弾丸」は、DDoS攻撃の「パケット」ではなく、われわれが抱く「不安」「不満」ということだ。その意味で、キルネットを過度に恐れ、過大評価して報じる必要はない。そうした行動こそが攻撃者の思惑通りとなる。』

『ハクティヴィスト集団「キルネット」とは

 ロシアによるウクライナ全面侵攻(22年2月24日)をきっかけに、多くのハクティヴィスト集団が形成され、キルネットもその一つだ。ハクティヴィストとは、「ハッキング」と「アクティヴィスト(活動家)」をあわせた造語で、政治的・社会的動機に基づくハッキング集団を指す。

 新しいハクティヴィスト集団のみならず、既存のハクティヴィスト集団もウクライナ戦争に「参戦」した。有名なものは、ロシアに継続的にサイバー攻撃を行う「アノニマス」だ。自称アノニマスを名乗る集団・個人がこれまで、戦争、動物保護、経済格差是正を理由に各国政府や企業に攻撃を繰り返してきた。

 ロシア語話者を多く抱えるハッキング集団という共通点で、キルネットはしばしば「Conti」「LockBit」「REvil」といったランサムウェア(身代金要求型ウイルス)攻撃集団と比較される。後者は対外的には、また構成員の多くが、サイバー攻撃を「ビジネス」だと考えている(ただし、これら集団がロシア政府と繋がりがない、ということではない)。

 「サービスとしてのランサムウェア(Ransomware as a Service: RaaS)」プロバイダの「DarkSide」は21年5月、米国エネルギー大手コロニアル・パイプライン社がランサムウェアに感染し、東海岸へのエネルギー供給の50%弱に影響が生じた際、米国政府の厳しい対応・対抗措置に焦ったからか、「我々は非政治的で、地政学(的競争)に参加しない」「目的は金儲けで、社会に問題を起こすことではない」と弁明した。

 他方、キルネットは政治的動機に基づくサイバー攻撃集団でロシア政府支持を旗幟鮮明にする。

 ただし、キルネット誕生の経緯はやや特殊である。脅威分析やデジタルリスク対策を手がけるデジタル・シャドウズ社のサイバー脅威分析官イヴァン・リギ(Ivan Righi)によれば、「キルネット」とは当初、グループの名称ではなく、サブスクリプション型のDDoS攻撃ツールの名称であった。ところが、ロシアのウクライナ侵攻以降、キルネットはテレグラムを通じて賛同者を募りながら、DDoS攻撃ツール・プロパイダから、ハクティヴィスト集団に変貌した 。キルネットがハクティヴィスト集団であることを示唆する最も古い投稿(現時点で確認可能なもの)は2月27日付で、「アノニマス」がロシア政府に宣戦布告したことについて憤慨している 。

標的はウクライナを支援し、ロシアに制裁を課す全ての国

 日本へのサイバー攻撃に先立ち、キルネットは5月16日、「ナチズムとロシア恐怖症(Russophobia)」を支持する10カ国に宣戦布告した。具体的には、ウクライナ、米国、英国、イタリア、ドイツ、ポーランド、ノルウェー、エストニア、ラトビア、リトアニアである。

 キルネットによる大規模な攻撃の一つは、6月27日前後のリトアニアに対する攻撃だ。リトアニア政府は6月18日、ロシアの飛び地カリーニングラードとバルト諸国の貨物輸送(EU制裁の対象である鉄鋼等)を禁止する決定を下した。キルネットはこの政策を転換させることを目標に、政府の重要ネットワークや空港等にDDoS攻撃を仕掛けた(Flashpoint Team, “Killnet, Kaliningrad, and Lithuania’s Transport Standoff With Russia,” Flashpoint, June 27, 2022.)。

 前述の10カ国以外にもモルドバやチェコが標的となり、6月時点で、キルネットはNHKの取材に対して、「日本も例外ではない。現時点では優先順位は低いが、日本がロシアに敵対的であるという事実を忘れてはいない」と述べている 。2月の全面侵攻以降、日本政府や与党幹部は日本もサイバー攻撃の標的だと警鐘を鳴らしてきたが、今回の攻撃はそれが現実のものとなったという点で重要だ。

 キルネットにとって、ロシアに経済制裁を課し、ウクライナに支援を行う国は全て潜在的標的といってよい。米国でサイバーセキュリティを手掛けるマンディアント社の脅威インテリジェンス担当バイス・プレジデントのジョン・ハルトキスト(John Hultquist)は、「ウクライナ紛争に起因する定期的かつ破壊的なサイバー攻撃は、ウクライナを支持しているという理由で、世界中の国を標的に実行」されるという 。』

『キルネットとロシア政府の繋がり

 ハクティヴィスト集団「キルネット」がウクライナ戦争に関するクレムリンの立場を支持しているのは間違いないが、キルネットはどの程度、ロシア政府、軍、治安機関と繋がりがあるのか。

 もちろん、正確なことは分からないし、キルネットはロシア政府とは関係ないと明言している。しかし、日米欧の安全保障専門家の多くは、ロシア政府や情報当局が自国領土内でハッキング集団の活動を関知していないとは考えにくい、とみる。

 米戦略国際問題研究所(CSIS)のエミリー・ハーディング(Emily Harding)は、これまで「ロシア政府は、ロシアを拠点とするハクティヴィスト集団との関係を意図的に曖昧にしてきた」経緯があり、「ロシアの治安当局はこれらのオペレーターが誰であるかを知っており、必要なときには何らかの方法で協力を強要するだろう」と評価する 。

 ロシアに限らず、国家はハッカーを雇うことがある。ロシアの治安問題や国際犯罪を専門とするマーク・ガレオッティ(Mark Galeotti)は近著『武器化する世界』で、ロシア対外情報庁(SVR)や軍参謀本部情報総局(GRU)が伝統的な手法、つまり若く優秀な学生のリクルートを通じてサイバー能力を強化するのに対し、連邦保安庁(FSB)は伝統に縛られない方法、手っ取り早くハッカーを直接雇用することでサイバー攻撃を展開してきたという。

 FSBはエストニア(07年)、ジョージア(08年)、ウクライナ(14年)との紛争等で、愛国的ハッカーをサイバー攻撃に駆り立ててきた。最近では、流出したランサムウェア集団「Conti」幹部のやりとりから、ContiがFSBからの依頼を請け負ってきたことを示唆するものもあった。

 モスクワにとって、こうした犯罪集団やハクティヴィスト集団は自らの関与を「否認可能なツール」である。自らの政治目標・政策に合致するサイバー犯罪者やハクティヴィストを意図的に放置することで、政府の関与を否定しつつ、低強度の攻撃や影響力を行使することができている。キルネットもそうした「ツール」の一つとみてよいだろう。

ロシア当局がキルネットの動きを把握していないなら、大問題

 もちろん、こうした集団を意図的に「野放し」「看過」するのは、ロシアの国益と重要な対外関係に影響を与えない限りにおいて、である。FSBは22年1月、米国政府からの強い要請もあり、ロシア国内でランサムウェア集団「REvil」のメンバー14人を逮捕した。これは、ロシア当局が自国内のサイバー犯罪集団を監視・追跡し、その気になれば拘束する能力があることを示唆する。

 ウクライナ戦争の文脈では、キルネットが米国や北大西洋条約機構(NATO)加盟国に対して、破壊的なサイバー攻撃を行なわない限り、すなわち米国・NATOが「武力紛争」「武力行使」とみなさないレベルのサイバー活動であれば、ロシア政府はキルネットの活動を「看過」し続け、場合によっては「奨励」するだろう。これまでロシアと米国・NATOはリアルな空間で直接戦火を交えず、双方ともに一線を越えないように制御し、それはサイバー空間でも同様だからだ。

 つまり、キルネットがロシア当局の何らかの(広い意味での)統制下にあるのなら、キルネットの攻撃が質的にエスカレートしたり、「レッドライン」を超える可能性は低いだろう。少なくともロシア当局は、ウクライナ戦争をめぐる情勢が大きく変わらない限り、重要インフラに破壊的影響をもたらすようなサイバー攻撃を容認しない。それは現実空間での世界大戦に繋がる。

 キルネットはモスクワにとって、DDoSのような低強度の攻撃を行う上で「否認可能なツール」である一方で、現実空間のエスカレーションを誘発するサイバー攻撃の責任を有耶無耶にできるほど便利なものではない。』

『キルネットのDDoS攻撃を恐れるよりもすべきこと

 こうした状況を鑑みると、キルネットのDDoS攻撃をそれほど深刻に捉えたり、過度に恐れる必要はない。

 既に述べたように、キルネットの攻撃手法は高度なものではない。DDoS攻撃対策として、古くから異常検知や負荷分散のサービスや製品が一般化している。インターネット・サービス・プロバイダ(ISP)が提供する対策サービスもある。

 もちろん、こうした対策には限界がある。ある重要インフラ事業者のサイバーセキュリティ担当は「キルネットによる攻撃が報じられて以降、経営層の関心はさらに高くなったが、一事業者にできることは限られている。DDoS攻撃対策用の負荷分散装置を導入しているものの、一定規模以上の攻撃を防ぐことはできない。そうなると、DDoS攻撃が止むのを待つ他ない」と語る。

 重要な点は、キルネットにとってDDoS攻撃は手段であって目的ではない。狙いは、DDoS攻撃を用いて社会を混乱させ、願わくば、各国の対外政策を転換させることだ。

 そして、ウクライナ戦争が続く限り、日本がその対外方針を大きく転換することは考えにくく、キルネットの攻撃は今後も続くだろう。メディアが過剰に報道すれば、キルネットにとって更なる攻撃のモチベーションに繋がるかもしれない。実際、キルネットは自らのサイバー攻撃がNHKやAbema Newsで報じられたことをテレグラムに画像付きで〝誇らしげに〟投稿している。

 誤解を恐れずにいえば、国民の生命・財産に影響、国民生活や経済活動に不可逆な影響が及ばない限り、DDoS攻撃による閲覧障害の発生そのものは仕方がない面がある。もちろん、行政や事業者がDDoS攻撃対策を実施すること、より破壊的なサイバー攻撃に備えることは前提だ。しかし、予防のみならず復旧や事業継続にも投資すべきだろう。つまり、DDoS攻撃による閲覧障害からの早期復旧、オンライン以外の代替チャネルへの誘導(事業継続計画)といった備えである。

 市民やメディアはキルネットの動機や狙いを理解し、これらの攻撃を過度に恐れず、DDoS攻撃による閲覧障害をことさら責め立てない、という姿勢が重要である。キルネットの攻撃キャンペーンを過少評価することは危険だが、過大評価もキルネットの思惑通りになるからだ。』