ビクトリア・ドゥブラノワは、プールから公共水道システムに至るまで、99件に及ぶサイバー攻撃を行ったとして終身刑の可能性に直面している
テクノスリラーの脚本のようなこの事件で、「ヴィカ」「Sovasonya」としてオンライン上で知られる20代のウクライナ人女性、ビクトリア・エドゥアルドヴナ・ドゥブラノワは、近年の西側重要インフラに対する最も大胆なサイバー攻撃のいくつかを主導したとして告発されている。彼女に対する起訴状は、カリフォルニア中部地区連邦地方裁判所に提出され、子ども用プールの設定改ざんから公共水道システムの汚染に至るまで、驚くべき99件の攻撃的サイバー作戦の詳細が記されている。
38ページに及ぶ起訴状は、背筋が凍るようなパターンを明らかにしている。ウクライナ国籍のドゥブラノワは、ロシアの国家支援ハッカー、すなわちGRU(ロシア軍参謀本部情報総局)やFSB(連邦保安庁)の工作員とされる人物らと共謀し、複数の国において公衆衛生と安全を脅かすサイバー攻撃を行ったとされているのだ。
動画編集者から国際的サイバー犯罪者へ
裁判資料によると、ドゥブラノワはハッキングの技術的な首謀者ではなかった――しかし、彼女の役割はそれ以上に陰湿なものだったとも言える。彼女はTelegramで7万5,000人以上のフォロワーを抱えるハクティビスト集団「CyberArmyofRussia_Reborn」(CARR)のプロパガンダ担当として活動していた。彼女の主な役割は以下の通りだ。
- サイバー攻撃を記録したプロモーション動画の制作
- Telegram、Twitter、Instagram、YouTubeにおけるCARRのSNS運営
- DDoS代行サービスのための資金調達の調整
- グループの悪名を高めるための偽情報キャンペーンの実施
しかし連邦検察当局は、彼女の「幇助」が、共犯者らによる重要インフラシステムへの侵入によって生じた物理的被害や公衆の安全への脅威について、彼女を同等に責任ある立場に置くものだと主張している。
攻撃の内容:些細なものから致命的になり得るものまで
起訴状は、2022年11月から2024年末にかけて、米国、欧州、その他の地域にいる被害者を標的とした攻撃を記録している。主な(あるいは最悪の)例は以下の通りだ。
子ども用ウォーターパーク(オランダ、2024年11月)
CARRのメンバーは子ども用ウォーターパークに侵入し、温度制御を改ざんしたうえ、塩素濃度を意図的に変更し、幼い利用者にとって潜在的に危険な状況を作り出した。
公共水道システム(米国)
- テキサス州(2024年1月):ハッカーが貯水タンクの設定値を改ざんし、22基の井戸を起動させた結果、飲料水が溢れ出した
- テキサス州(再び、2024年8月):別の攻撃でポンプの設定値が変更され、システムが停止。約20万ガロンの水が失われた
- インディアナ州(2024年9月):公共水道システムの全ポンプが起動され、設定が改ざんされた
石油・ガス施設
- コロラド州(2024年10月):油井への薬品注入率を上げることで薬品供給を枯渇させた。ドゥブラノワは共犯者に対し、「温度を上げてアラーム設定を解除して」「本物の事故が起きる確率を高める」よう指示したとされる
- オクラホマ州(2024年8月):石油施設が侵害され、不明な被害が発生
埋立地の水処理施設(ペンシルベニア州、2024年7月)
ポンプが改ざんされ、水処理設備におけるパラサイト酸汚染レベルが操作された。
食肉加工工場への攻撃
おそらく最も詳細に記録された攻撃は、2024年11月1日にCARRがカリフォルニア州ヴァーノンの食肉加工施設を侵害した事件だ。彼らは冷蔵設備を停止させ、2,000ポンド以上の肉を腐敗させ、4時間に及ぶ避難を要するアンモニア漏れを引き起こし、5,000ドル超の損害を与えた。ドゥブラノワは、攻撃者から映像を受け取ってから40分以内にプロモーション動画を制作し、「大量の完成品の肉製品を破壊した」と自慢げに犯行声明を出した。
そして…フロリダの洗車場
そう、99件の作戦の中には、フロリダ州の洗車場をハッキングし、洗浄装置の位置を改ざんしたというものまで含まれている。その小ささはほとんど滑稽ですらある――1回6ドルの洗車料金で営業している小規模事業者が、連邦当局から「ロシア連邦に狙われた」と知らされる状況を想像してほしい。
DDoSキャンペーンと選挙妨害
SCADAへの侵入にとどまらず、CARRは大規模な分散型サービス妨害(DDoS)攻撃も行っていた。
- 2022年米国中間選挙:ある州務長官のウェブサイトが選挙当日に約10時間ダウン
- 2024年米国選挙:ドゥブラノワは、米国の選挙関連サイトに対するCARRのDDoS攻撃キャンペーン計画を説明する動画を制作
- その他、米国、ウクライナ、モルドバ、台湾、ポーランド、フィンランドなど各国の政府機関、空港、大学、インフラに対する数百件のDDoS攻撃
グループは自作の「Killweb」DDoSスクリプトに加え、Stresser.techのようなDDoS代行サービスの有料サブスクリプションも利用しており、その資金の一部はGRU将校とみられる被告「Cyber_Ice_Killer」によって拠出されていた。
共謀関係とロシア国家とのつながり
起訴状には複数の共謀者(多くは氏名が黒塗り)が記載されているが、次の点は明確にされている。
- 「Cyber_Ice_Killer」(被告「CYBER_ICE」)は、少なくとも1人のGRU将校と関係していた
- 別の共謀者は、グループ内でFSB職員だと信じられていた
- CYBER_ICEはCARRの活動資金を提供し、他のメンバーに標的選定の指示を行っていた
- グループは、「ロシア連邦に非友好的なすべての国」を標的とすることで、ロシアの地政学的利益と明確に歩調を合わせていた
非公開メッセージの中で、共謀者たちはCYBER_ICEを「司令官」と呼び、彼をロシア政府の工作員として描写していた。ある被告は、同僚から「FSB大尉」とまで呼ばれていたという。
ロシアへの脱出失敗
ドネツク人民共和国からの報告によると、2024年11月、ドゥブラノワはバスでポーランド方面へ向かい、最終的にロシアへ到達する計画でウクライナからの脱出を試みたという。彼女は無断離隊(AWOL)し、ウクライナ当局に拘束された可能性が高いとされるが、現在の所在は不明だ。
この事実は、皮肉なねじれを加えている。すなわち、ロシアの情報機関のために働いていたウクライナ人が、両国が戦争状態にあるさなかにロシアへ亡命しようとした、という構図である。
起訴内容:30年から終身刑まで
ドゥブラノワは、連邦法に基づく5つの罪状で起訴されている。
- 共謀罪(18 U.S.C. § 371)
- 保護対象コンピュータへの不正損壊(18 U.S.C. § 1030)
- アクセスデバイス詐欺(18 U.S.C. § 1029)
- 加重身分盗用(18 U.S.C. § 1028A)
- 刑事没収条項
すべての罪状で有罪となれば、彼女は連邦刑務所で数十年――場合によっては終身刑に相当する刑期に直面することになる。
起訴状はまた、犯罪行為から得られた一切の財産の没収を求めており、元の犯罪収益が見つからない場合には代替資産も対象とするとしている。
より大きな構図:ハイブリッド戦と重要インフラ
ドゥブラノワの事件には(あの洗車場の件のような)ブラックユーモア的な要素もあるが、国家支援サイバー作戦の深刻な進化を示すものでもある。ロシアは近年、「ハクティビスト」や犯罪組織を代理勢力として活用し、資金や標的、保護を与える一方で、もっともらしい否認可能性を維持している。
特に水道システムへの攻撃は極めて憂慮すべきものだ。サイバーセキュリティ専門家が長年警鐘を鳴らしてきたように、重要インフラを制御するICS/SCADAシステムには、基本的なセキュリティ対策すら欠如していることが多い。プロパガンダ担当のウクライナ人女性を中心とする緩やかな組織が、米国内の複数の水道システムを侵害できたという事実は、すべての重要インフラ事業者と政策立案者にとって深刻な警告となるはずだ。
ドゥブラノワの事件はまた、現代のサイバー戦が、国家と非国家主体、軍事作戦と犯罪行為、情報戦と物理的破壊工作の境界線をいかに曖昧にしているかを浮き彫りにしている。
今後どうなるのか?
2025年1月に起訴状が公開され、カリフォルニア中部地区連邦地方裁判所に提出された今、残る疑問は「ビクトリア・ドゥブラノワはどこにいるのか?」という点だ。もしウクライナ当局が彼女を拘束しているのであれば、米国へ身柄を引き渡すのだろうか。それとも、起訴された外国人ハッカーが米国法執行機関の手の届かない場所にとどまり続ける、よくあるケースの一つとなるのだろうか。
現時点では、この38ページの起訴状が、少数の決意ある行為者が――国家の後ろ盾を得ることで――いかに複数の国の重要インフラを脅かし得るかを示す詳細なケーススタディとして存在している。そして、ある若いウクライナ人女性が、動画編集者から、水道システムの汚染や食肉の腐敗を引き起こしたとして、米国の連邦刑務所で終身刑に直面する身へと転落していった過程も描き出している。
彼女は詰んだ。ゲームオーバーだ。
完全な起訴状は、カリフォルニア中部地区連邦地方裁判所(事件番号 2:25-cr-00577-FMO)を通じて入手可能である。追加の被告人は依然として逃亡中であり、公的な裁判資料では複数の氏名が黒塗りとなっている。
