ポーランドの電力網ハッキングが示す、欧州に必要な能動的防御

ロシアのハッカーによるものとされるポーランドのエネルギー網への大規模攻撃を受け、欧州はサイバー攻撃に対する能動的防御を強化し、ITインフラを近代化しなければならないと、第一線の専門家が警告した。

同地域はすでに、2022年のネットワークおよび情報セキュリティ指令（NIS2）のやや不均一な実施を通じて、重要インフラのセキュリティ強化に動き出している。だが、それは戦いの半分にすぎないと、フランクフルトのゲーテ大学コンピュータサイエンス研究所のサイバーセキュリティ講座長であり、ドイツのAthene（旧・応用サイバーセキュリティ国立研究センター）の理事でもあるハヤ・シュルマン氏は述べた。

「今の時代、国は予防的な防護だけに注力することはできません」とシュルマン氏は木曜日のインタビューでInformation Security Media Groupに語った。「レジリエンスとレジリエントなインフラの構築に注力する必要がありますが、進行中のサイバー攻撃を封じ込めて止められる防御能力の開発にも注力しなければなりません。なぜなら、インフラをレジリエントにするだけでは防げない攻撃ベクトルがあるからです」。例として、インターネットのルーティング基盤やサプライチェーンに対する攻撃を挙げた。

能動的サイバー防御はしばしば、攻撃者側のインフラに対して攻撃的な対抗措置を取る能力、いわゆる「ハックバック」と同一視される。ドイツではこれをめぐって非常に「感情的」な議論がある。現行法はハックバックを禁じているが、政府はこの戦術を認めるための法改正が間近だと約束している。

シュルマン氏は、能動的防御はハックバックをはるかに超える概念だと述べた。ハックバックは、サイバー攻撃の正確な帰属（アトリビューション）が難しいことや、責任の所在を誤誘導する意図で行われる「偽旗」作戦の可能性があるため、地政学的にリスクが高い。

「必ずしも攻撃者を攻撃する必要はありません。能動的サイバー防御とは、防御的に介入し、自分のネットワークや依存関係の内部で悪意ある活動を隔離し無力化する能力を持つことを意味します」と彼女は言う。「そのような能動的対抗措置の効果をシミュレーションして分析し、どのトラフィックが影響を受けるかを高い確度で予測できるところまで持っていけます……インターネットの仕組み上、攻撃者のインフラをハッキングしなくても、一定の方法で変更したりフィルタリングしたりできます」

「欧州は[能動的サイバー防御]能力に投資すべきだと強く思います。第一にそれを理解し専門性を持つため、第二に必要であればそれを使える選択肢を持つためです」

1月15日にドナルド・トゥスク首相が事件を明らかにして以降、12月下旬に起きたポーランドのエネルギーインフラへの攻撃について、この1週間ほどでさらなる詳細が明らかになった。サイバーセキュリティ企業の分析から、ロシアが犯人であることは明白に見える。Esetは先週金曜日、ロシア連邦軍参謀本部情報総局（GRU）のサイバー破壊工作部門「サンドワーム」を名指しした（参照：ポーランドの電力網を狙うワイパーマルウェア、モスクワに関連）。

Dragosは今週、サンドワームと一部重なるものの両者は別個の存在であるElectrumグループを指摘した。

どのロシア組織が関与していたにせよ、攻撃者は、過去にElectrumによるものとされた攻撃で狙われた中央集権的なシステムではなく、ポーランド電力網の分散されたエッジを標的にした。約30カ所の現場にある運用技術（OT）システム、リモート端末装置（RTU）や通信ネットワーク基盤などを狙った。これらは風力や太陽光などの分散型エネルギー源を活用するうえで重要な種類のシステムだ。

「ポーランドへの攻撃が重要なのは、多数の拠点に対して同時に協調して攻撃が行われた点と、高度な敵対者がこのインフラを体系的に標的化しようとする意図を示した点にあります」と、Dragosのマーケティングマネージャーであるダニエル・ゴーティエ氏はブログ投稿で記した。

攻撃者はこれらのOTシステムに足場を築いたことが示されている可能性があるが、停電は引き起こされず、その理由は明らかではない。

ゴーティエ氏の投稿によれば、攻撃者が「特定サイトの構成に関するより深い知識を得る」か、あるいは「より多くのサイトで同時に同様のアクセスを達成」していれば、運用上の影響が生じていた可能性がある。

シュルマン氏は、これは大きな地政学的結果につながり得る事態には踏み込まないよう設計された破壊工作だったのではないかとみている。

「非常に戦略的なシグナルを送っています。脅し、疑念、そして信頼の侵食です。人々に『政府はあなたを守れない。我々はあなたの重要インフラに到達できる』と示すのです」とシュルマン氏は言う。攻撃者はまた、電力網の分散エッジに対するこの種の攻撃がどのような影響をもたらすのか、そして攻撃を受けた運用者がどう対応するのかを試す実験をしていた可能性もある。「目的は、軍事的・外交的エスカレーションを引き起こす閾値を越えずに、シグナルを送りテストすること、技術的限界と制度的対応を探ることでした。これはまさに、このハイブリッド戦争における古典的なやり方です」

ポーランド人や他の欧州の人々は、この攻撃への対応に満足すべきだろうか。「対応は運用面では良好でしたが、もちろんリスクは残ります」とシュルマン氏は述べた。公衆への影響はなく、攻撃はネットワークのエッジに封じ込められたと指摘しつつ、事件に関するポーランド当局の発信も評価した。

「公的なコミュニケーションはパニックを避け、帰属を示し、状況を伝えました。コミュニケーションの欠如は混乱を生み、攻撃の効果を助長し得るので、これは重要です」と彼女は言う。「つまり、実際のストレステストで、彼らは合格したと言えるでしょう……しかしシステムはなお損傷し、多くのエネルギー施設でシステムが消去されました。これは多額の費用がかかることを意味します。機器の交換が必要になります。これらは決して軽視できません」

シュルマン氏は、欧州諸国はサイバー攻撃の増加に対処する準備が「十分ではない」と考えている。ただし、この点で同地域が特に遅れているとも思わないという。どの国も同じ課題に直面している。根本問題は、セキュリティの必要性と、社会のデジタル化を推し進める継続的な動きとの緊張関係にあると彼女は述べた。この移行は「管理されず、戦略性のない形」で進んでいる。

Athene研究センターは、ドイツ16州におけるデジタル化の状況を定期的に調査しており、シュルマン氏によれば、同国のデジタル変革戦略に沿った明確な進展が示されているという。その多くはレガシーITインフラの上に構築されており、耐用期限を迎えた、あるいは適切に管理・パッチ適用するための人員が不足している脆弱なシステムの数が急増している。

政治家は新しいデジタルサービスの利点を喧伝できるが、この移行は攻撃対象領域（アタックサーフェス）を大幅に拡大させてもいる。「攻撃者はまさにこうしたシステムを狙ってきます」とシュルマン氏は言う。「最も安全なリンクを攻撃する必要はありません。最も弱いところを狙うのです」。ポーランドの攻撃は、「中心を[攻撃]する必要はない……中心に到達できるどこかを攻撃すればよい」ことを示した、と彼女は付け加えた。

Atheneは、ドイツがITインフラを近代化して安全性を高めないままITサービスの拡大を続けた場合に何が起きるかをシミュレーションしており、現在の傾向が続けば5〜10年後には「状況はひどいものになる」と彼女は述べ、「協調攻撃による壊滅的で破滅的な影響」を警告した。

主に書類で行われるコンプライアンス演習や監査は重要だが、インフラの近代化とレジリエンス向上に並行して注力しなければ不十分だ。「セキュリティ管理は重要ですが、すでにセキュリティがある場合にしか価値をもたらしません」とシュルマン氏は言う。「インフラが安全でなければ、役に立ちません」