ロシア政府を支持するハクティビスト集団が、深刻な被害を引き起こしかねない低レベルの戦術を用いて重要インフラへの侵入を試みていると、米国とその同盟国が火曜日に発表した。
Cyber Army of Russia Reborn、Sector16、NoName057(16)、Z-Pentest は、産業機器へのリモート接続の不十分なセキュリティを悪用して、エネルギー、食料・農業、水道分野の組織をハッキングし、「物理的損害を含むさまざまな影響」をもたらしたとされる。これは、26機関による勧告によるもので、米国および十数か国以上を代表している。
「これらのグループの能力は限定的であり、しばしば自らが妨害しようとしているプロセスを誤解している」と勧告は述べている。「彼らの技術的知識の明らかな低さにより、行為者は物理的損害を与える意図を持ちながらも、実際の影響を正確に予測できない場当たり的な攻撃を行っている。こうした制約にもかかわらず、作成機関は、これらのグループが脆弱な重要インフラに対して故意に実際の被害を与えていることを確認している。」
司法省は火曜日、2件の起訴を発表し、親ロシア派グループ2つの一員として重要インフラへの攻撃に関与したとして、ウクライナ国籍のヴィクトリア・エドゥアルドヴナ・ドゥブラノワを訴追した。ドゥブラノワは今年初めに逮捕され米国へ身柄を引き渡されており、2026年初頭に裁判にかけられる予定だ。
CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるニック・アンダーセンは声明で、親ロシア派ハクティビストグループは「脆弱なシステムに具体的な損害を与える意図と能力を示している」と述べた。彼はOT(オペレーショナル・テクノロジー)機器のメーカーに対し、開発プロセスにおいて「セキュア・バイ・デザインの原則を優先する」よう求めた。
米国の6機関――サイバーセキュリティ・インフラセキュリティ庁(CISA)、FBI、NSA、エネルギー省、環境保護庁(EPA)、国防総省サイバー犯罪センター――は、オーストラリア、カナダ、チェコ共和国、ユーロポール、フランス、ドイツ、イタリア、ラトビア、リトアニア、ニュージーランド、ルーマニア、スペイン、スウェーデン、英国の機関と共同でこの報告書を発表した。
新たな勧告では、これらの攻撃者が通常取る手順が列挙されている。そこには、パスワードスプレー攻撃、産業機器を制御するヒューマン・マシン・インターフェース(HMI)機器へのリモートアクセス、HMIへの正規コマンド送信、インフラ運用者を締め出すためのパスワード変更などが含まれる。担当当局はまた、運用者に対し、OTのインターネット接続性の低減、強力な認証の利用、ネットワーク活動の監視、インシデント対応および災害復旧プロセスの訓練などの緩和策を講じるよう推奨している。
「人々が自らを守るためにできる最も重要なことは、パブリックなインターネットにさらされているOT機器、すなわちオペレーショナル・テクノロジーの数を減らすことだ」と、CISAサイバー部門の代理副エグゼクティブ・アシスタント・ディレクターであるクリス・ブテラは、水曜日のブリーフィングで記者団に語った。
「この悪意あるサイバー活動の累積的な影響は」とブテラは続け、「不可欠なサービスに対する持続的かつ破壊的な脅威となっている。」
ロシア軍と関係を持つハクティビストグループ
共同勧告は、攻撃を実行したとして非難している4つの親ロシア派ハクティビストグループの活動を要約している。その中には、ロシア軍が設立を支援した可能性が高いと文書が指摘する Cyber Army of Russia Reborn(CARR)が含まれる。
これらのグループは「基本的な手法を用いて監視制御・データ収集(SCADA)ネットワークを標的とすることに成功しており、場合によっては、SCADAへの侵入を容易にするために標的ネットワークに対して同時にDDoS攻撃を行っている」と勧告は述べている。
司法省によれば、CARRのリーダーたちは、どの標的を攻撃するかを決める際にロシア軍情報将校から指示を受けていたとされ、クレムリンは「DDoS代行サービスのサブスクリプションを含む各種サイバー犯罪サービスへのCARRのアクセスに資金提供していた」という。
共同勧告によると、ハクティビストたちは互いの攻撃を自慢するソーシャルメディア投稿を拡散するなど、時に協力して活動している。勧告は、2つのグループが共同で実行したと主張したある侵入事案にも言及している。
勧告によれば、ハクティビストの攻撃は深刻な脅威となりうる一方で、グループの主な目的は知名度の向上であり、「重要インフラに対する攻撃について、標的ネットワークへのアクセスの程度を誤って伝えるなどして、より多くの注目を集めるために虚偽または誇張された主張を定期的に行っている。」
勧告で名指しされた親ロシア派グループは、これまでも法執行機関の監視対象となってきた。昨年7月、米国および他の11か国の当局は、NoName057(16)に属するコンピュータインフラを摘発し、同グループのメンバー7人に対して逮捕状を発行した。
異例の逮捕
水曜日のブリーフィングで当局者らは、2つのグループを支援していたハクティビストであるドゥブラノワの逮捕が、ロシア政府との協力の結果なのかどうかについてのコメントを控えた。モスクワは、自国民のサイバー犯罪容疑者の身柄引き渡しについて、西側諸国政府への協力を一貫して拒否してきた。
FBIサイバー部門のアシスタントディレクターであるブレット・リースマンは、「米国は、ここ米国本土への脅威を軽減する機会があると判断した場合には、『法執行および国家安全保障に関する情報』をロシア政府と共有し続けている」と述べた。
一方リースマンは、伝統的な米国の同盟国だけでなく、これまでこうした作戦に参加することが少なかった国々によるサイバー犯罪者の逮捕件数が最近増加している点を強調した。「その作戦テンポの向上は」と彼は述べ、「この種の攻撃に関与しようとする者に対する抑止力として機能するはずだ。」
ドゥブラノワは4つの罪に問われており、その中には、リースマンによれば、公共水道システムの改ざん共謀罪としては初となる罪状が含まれている。
