昨冬、ポーランドで50万人への暖房供給を停止させる恐れがあったサイバー攻撃について、月曜日、ロシア連邦保安庁(FSB)の犯行であると正式に断定されました。これに合わせて、英国と欧州連合(EU)はロシアのハッカーを対象とした初の協調サイバー制裁パッケージを発動しました。
両国・機構は、FSBの信号諜報部門である「センター16」が、ポーランドのエネルギー部門や浄水施設を狙ったサイバー破壊工作の企図に関与し、加えて「深刻度を増す広範な悪質サイバー活動」にも関与していたと非難しました。
EUによると、こうした広範な活動には「フランス、ドイツ、ポーランド、キプロス、オランダ、オーストリア、スロバキア、ルーマニア、フィンランド」を標的とした「政府ネットワークへの侵入や重要インフラの破壊工作」が含まれるとしています。
昨年12月に発生したポーランドの電力網に対する攻撃は「非常に際どいところで」大規模停電を回避したと、当時ある閣僚が語っていました。英当局は月曜日、この攻撃を「無謀」だったと評し、「ロシア国家が欧州全域に混乱を撒き散らそうとする無責任な試みのまた一つの事例だ」と付け加えました。
セキュリティ企業ESETとDragosによる当初の攻撃者特定では、ロシア軍参謀本部情報総局(GRU)と関連が指摘される「Sandworm」と呼ばれるグループの関与が指摘されていました。しかしポーランドのCERT Polskaがこの侵入の背後にあるインフラを追跡した結果、FSBに関連するクラスターと一致することが判明し、この当初の見立てに異論が唱えられました。
これとは別に、ポーランドの国内情報機関は5月、同国の浄水施設を標的としたサイバー侵入が水供給の継続に「直接的なリスク」をもたらしていると警告していました。
EU外交安全保障上級代表を務めるカヤ・カラス氏の声明では、次のように述べられています。「われわれは、公共サービスや重要インフラを標的とし、機能障害や経済的損失をもたらしているロシアのこうした振る舞いと、サイバーエコシステムの悪用を強く非難する」
今回の制裁は累計で、情報機関員、ロシアの大学からハッカーを勧誘していたとされる民間企業、Lumma Stealer認証情報窃取マルウェアの運用者、親クレムリン派のRybarブログに関係する人物など、ロシアのサイバーエコシステム全体にわたる30以上の個人・団体を対象としています。
カラス氏は、ロシアが欧州とその同盟国を標的とした悪質な作戦を実行するにあたり、情報機関、サイバー犯罪グループ、ハクティビスト、民間企業から成る広範なサイバーエコシステムに依然として依存し続けていると述べました。
EUは、オーストリア、キプロス、フィンランド、フランス、ドイツ、オランダ、ポーランド、ルーマニア、スロバキアの政府ネットワークおよび重要インフラが近年標的とされてきたと表明しました。
フランスは追加の制裁を科すとともに、「諜報目的での持続的な悪質サイバー活動」と称した件について、ロシア大使を呼び出す方針を明らかにしました。
フランスのサイバー危機対応調整センター(C4)による技術報告書では、センター16の活動の詳細が示され、同機関の信号諜報部門がロシア全土で運用する11カ所の傍受センターが特定されました。この中には、フランスを標的にすることに重点を置いているとC4が指摘する「第61240部隊」も含まれています。
フランスの報告書は、この部隊の攻撃的サイバー作戦を支援していたとされる2社のロシア企業、AO ASTとNPP Gammaの名前を挙げました。またFSBによって攻撃を受けたフランス国内の標的として、2014年の政府省庁のシステム、2018年の在モスクワ・フランス大使館のネットワーク、そして2025年2月にフランスの防衛産業と連携する研究機関から大量のデータが窃取された事案などが列挙されています。
フランス当局はさらに、今回新たに制裁対象となったグループの一つが、2024年パリ・オリンピック/パラリンピックを狙った破壊工作の犯行声明を出していたと述べました。フランスは、2027年の選挙を前に、悪質なサイバー活動に対応するためあらゆる手段を講じる方針を示しています。
フランスのジャン=ノエル・バロ外相は月曜日、数日中にロシアのアレクセイ・メシコフ大使を呼び出す考えを明らかにしました。バロ氏は、ロシアの治安機関がフランスを含む欧州約10カ国において、政府省庁や企業、重要サービスの事業者を標的に、諜報および破壊工作を目的としたサイバー攻撃を行っていると非難しました。
月曜日には、米国が主導し、同盟12カ国の情報・治安機関が共同署名した合同サイバーセキュリティ勧告も公表されました。この勧告では、センター16に属するロシアの実行者たちが、初期設定または脆弱な認証情報で保護されたデバイスをインターネット上でスキャンしていると警告しています。
英国はまた、感染したコンピューターから認証情報を窃取するマルウェアで、世界で最も広く使われている情報窃取ツールの一つとなっているLumma Stealerの背後にいる人物にも制裁を科しました。
英当局者は、ロシアがLummaによって窃取された認証情報を、世界各地における諜報活動の支援に利用していると述べました。国家犯罪対策庁(NCA)によると、過去6カ月間に英国内で2,100人以上の被害者がLumma Stealerに感染したとされています。
声明では次のように述べられています。「ロシアがウクライナでの苦戦を強いられている戦争遂行を維持しようとする中、ロシアの情報機関はサイバー犯罪者に対し、ロシアの軍事・外交政策上の目的を支援するための諜報活動を行うよう任務を課しており、これが欧州全域の安全保障を脅かしている」。さらに「これは、ロシアが自国の汚れ仕事をこなすために犯罪ネットワークを利用している、またしても一つの事例だ」と付け加えました。
イベット・クーパー英外相は、今回の制裁がモスクワの情報機関を支えるサイバー犯罪エコシステムの機能を妨害することを狙いとしていると述べました。
クーパー氏は「これらの制裁は、ロシア国家の攻撃的行動を支えるサイバー犯罪ネットワークの中枢を突くものであり、英国とEUは、ロシアがこうした代理グループの利用の陰に隠れることはできないという明確なメッセージを送っている」と述べました。
今回の制裁パッケージでは、親クレムリン派の軍事系ブログ「Rybar」に関係する幹部やコンテンツ制作者ら10名も対象となっています。英国は同メディアが、ウクライナに関する偽情報の拡散や、モルドバ・アルメニアの選挙への干渉を行っていたと非難しました。
クレムリンはこれまで、攻撃的なサイバー作戦への関与を繰り返し否定してきました。ロシアのウラジーミル・プーチン大統領は先月、ロシアによる破壊工作やサイバー攻撃に関する欧州側の主張は根拠がなく、ロシアに対する自国の「攻撃的な計画」を正当化することを狙ったものだと述べています。
翻訳元: https://therecord.media/russia-blamed-for-poland-grid-cyberattack-in-joint-uk-eu-sanctions-package
