プレジデント兼バイスチェア
ブラッド・スミス (Brad Smith)
※本ブログは、米国時間 6 月 22 日に公開された “Defending Ukraine: Early Lessons from the Cyber War” の抄訳を基に掲載しています。
編集者による注記: 本日、マイクロソフトは、新しいインテリジェンスレポート “Defending Ukraine: Early Lessons from the Cyber War” (ウクライナの防衛: サイバー戦争の初期の教訓) を公開しました。本レポートは、現在進行中のウクライナ戦争における脅威の状況について理解を深めることを目的に、マイクロソフトの脅威インテリジェンスチームとデータサイエンスチームが実施した調査をまとめたものです。また、収集・分析したデータから得られた一連の教訓と結論も提示しています。特に注目すべき点として、ウクライナ以外の同盟国政府や非営利組織などにおけるネットワーク侵入やスパイ活動の増加など、ロシアの取り組みに関する新たな情報を明らかにしています。また、このレポートは、西側諸国の結束を弱め、ロシアの戦争能力を強化するための、とりわけ巧妙で広範囲なロシアの対外影響力工作についての詳細も明らかにしています。マイクロソフトは、こうした影響力の行使が、あらゆる種類のサイバー破壊活動やスパイ活動と協調して実施されることを認識しています。最後に、本レポートは集団自衛を強化するための協調的かつ包括的な戦略を提言しています。そのためには、民間企業、公的セクター、非営利団体、市民社会が一丸となることが必要です。以下に、マイクロソフトのプレジデント兼バイスチェアのブラッド・スミスが執筆した、詳細情報を含む本レポートの序文を引用します。
すべての戦争の歴史には、最初の銃声とそれを目撃した人の記述があるのが通常です。そして、どの記述からも、単に戦争が始まったというだけでなく、当時の人々が生きた時代の本質を垣間見ることができます。
1861 年の南北戦争の最初の発砲について語る歴史家は、サウスカロライナ州チャールストン近郊の砦の周りの銃、大砲、帆船について説明するでしょう
1914 年には、サラエボの街角でテロリストが、手榴弾とピストルでオーストリアハンガリー帝国の大公を公然と暗殺したことで、状況は第一次世界大戦の勃発へと急展開しました。
その 25 年後にポーランドとの国境付近で起こったことを完全に理解するには、ニュルンベルク戦争裁判まで待たなければなりませんでした。1939 年に、ナチス親衛隊がポーランドの軍服に身を包み、ドイツのラジオ局を襲撃する事件が発生しました。ヒトラーは、戦車、飛行機、軍隊を組み合わせた、ポーランドの都市と市民を蹂躙する電撃作戦を正当化するために、このような攻撃を行ったのです。
これらの事件のそれぞれは、当時のテクノロジ、つまり、その後の戦争とそれを生き抜いた人々の生活に関わるテクノロジも示しているでしょう。
ウクライナ戦争もこのパターンに当てはまります。2022 年 2 月 24 日、ロシア軍は軍隊、戦車、航空機、巡航ミサイルを組み合わせてウクライナの国境を越えて侵攻しました。しかし、実は、最初の発砲は、その数時間前、まだ日付が 2 月 23 日であった時でした。それは、ウクライナのコンピューターに対して送られた「Foxblade」と呼ばれるサイバーウェポンによるものでした。現代のテクノロジを反映したかのように、この攻撃をいち早く観測したのは、地球の裏側、米国のワシントン州レドモンドにいる人々でした。
このことは、ウクライナ戦争が始まってから数カ月、破壊と罪のない市民を含む人命の損失という点で同国に壊滅的な打撃を与えたことを一歩下がって受け止めることの重要性を何にも増して示しています。
この戦争がいつまで続くか誰も予測できませんが、過去 2 世紀にわたり他の大きな紛争で見られてきた傾向を反映していることはすでに明らかです。各国は最新テクノロジを駆使して戦争を行い、戦争そのものがテクノロジの革新を加速するのです。したがって、戦争がテクノロジの開発と使用に及ぼした影響を継続的に評価することが重要です。
ロシアの侵略行為の一部は、時には互いに連携する少なくとも3種類の攻撃を含むサイバー戦略に依存しています。すなわち、ウクライナ国内での破壊的サイバー攻撃、ウクライナ国外でのネットワーク侵入とスパイ活動、そして世界中の人々をターゲットにしたサイバーインフルエンス工作です。本レポートでは、これらの各領域の最新情報と分析、および各領域間の連携について述べます。また、この戦争、そして、それ以降の戦争において、これらの脅威により適切に対抗するためのアイデアや、政府と民間企業が協力するための新たな機会についても述べていきます。
今回の戦争のサイバー的側面はウクライナという国をはるかに超えるものであり、サイバー空間のユニークな特性を反映しています。国家がコードを戦場に送ると、その武器は光速で移動します。インターネットのグローバル性により、サイバー活動では、国境、壁、海によって提供されてきた長年の保護の多くは無関係です。そして、インターネットは、陸・海・空とは異なり、官民の所有・運用・保護の組み合わせに依存する人間の創造物に他なりません。
これにより、新しい形の集団防衛が必要になります。この戦争は、サイバー大国であるロシアと他国との戦いというだけではありません。ウクライナのサイバー防衛は、国、企業、NGO 間の連携に大きくに依存しています。
今、世界はサイバー戦争の攻撃と防御の早期かつ相対的な強さと弱さを評価できる段階にあります。集団防衛は、どこで攻撃を阻止でき、どこで失敗しているのでしょうか? どのようなイノベーションが起こっているのでしょうか? そして、最も重要な点として、今後サイバー攻撃を効果的に防御するためには、どのような手段が必要なのでしょうか? とりわけ、ここでは、ウクライナでのサイバー戦争が一部の人が懸念していたほど破壊的ではなかったという対外的な認識に惑わされず、正確なデータに基づいて評価することが重要です。
本レポートでは、戦争開始から 4 カ月を経て得られた5つの結論を紹介しています。
第 1 に、軍事的侵略に対する防衛において、ほとんどの国にとって、国境を越えて他国にデジタル運用とデータ資産を分散させる能力が必要とされるようになりました。ロシアがウクライナ政府のデータセンターを狙って巡航ミサイル攻撃を行ったのは当然ですが、その他の「オンプレミス」サーバーも同様に通常兵器による攻撃を受ける可能性があります。また、ロシアは、破壊的な「ワイパー」攻撃をオンプレミスのコンピューターネットワークを対象として行いました。しかし、ウクライナ政府は、デジタルインフラをパブリッククラウドに移行し、欧州各地のデータセンターでホストする迅速な行動を取ることによって、民間と軍の活動の維持に成功しました。
これには、マイクロソフトを含むテクノロジ業界全体からの緊急かつ前例のない措置が必要でした。テクノロジ業界の活躍は極めて重要でしたが、こうした取り組みから得られる、より長期的な教訓について考えることも重要です。
第 2 に、最近のサイバー脅威インテリジェンスとエンドポイント保護の進歩により、ウクライナはロシアの破壊的サイバー攻撃の多くに耐えられるようになりました。サイバー活動は肉眼では見えないため、ジャーナリストはもちろん、多くの軍事アナリストにとってもその追跡は困難です。マイクロソフトは、ロシア軍がウクライナの 48 カ所の機関や企業に対して、破壊的サイバー攻撃を何度も行っていることを確認しています。これらの攻撃は、最初に数百台のコンピューターから成るネットワークドメインに侵入し、次に、他の数千台のコンピューター上のソフトウェアやデータを破壊するように設計されたマルウェアを拡散することを目的にしています。
この戦争におけるロシアのサイバー戦術は、2017 年のウクライナに対する NotPetya 攻撃で展開されたものとは異なります。この攻撃では、あるコンピューターのドメインから別のドメインへジャンプし、国境を越えて他の国へ移動できる「ワーム化可能」な破壊的マルウェアが使用されました。2022 年には、ロシアは、破壊的な「ワイパーソフト」による攻撃をウクライナ国内の特定のネットワークドメインに慎重に限定していました。しかし、最近および現在進行中の破壊的攻撃は、多くの報告書が認識している以上に巧妙かつ広範囲に及んでいます。そして、ロシア軍は、サイバー攻撃と通常兵器の使用を組み合わせるなど変化に合わせて、こうした破壊的攻撃を続けています。
これまでのところ、これらの破壊的攻撃に対しては、サイバー防衛は強力であり、防御にほぼ成功しています。もちろん完璧ではなく、一部の破壊的攻撃は成功していますが、これらのサイバー防衛力は攻撃側のサイバー能力よりも優れていることが実証されています。これは、最近の 2 つの重要な動向を反映しています。まず、人工知能の活用をはじめとする脅威インテリジェンスの進歩により、こうした攻撃をより効果的に検知できるようになったことが挙げられます。そして、インターネットに接続されたエンドポイント保護により、マルウェアを特定し無効化するための保護ソフトウェアコードを、クラウドサービスとそれに接続された他のコンピューティングデバイスのに迅速に配布することが可能になったことがあります。戦闘中にも進行するイノベーションとウクライナ政府の施策により、この保護はさらに強化されています。しかし、この防衛上の優位性を維持するためには、継続的な警戒とイノベーションが必要と思われます。
第 3 に、ウクライナ防衛のために各国が連携する中、ロシアの情報機関がウクライナ以外の同盟国政府を標的としたネットワーク侵入やスパイ活動を活発化させていることがあります。マイクロソフトは、ウクライナ以外の 42 カ国の 128 組織でロシアのネットワーク侵入を検知しています。米国はロシアの第 1 の標的ですが、この活動は、軍事・人道面の後方支援の調整作業の多くが行われているポーランドにも優先的に展開されています。ロシアの活動はバルト諸国も対象としており、この 2 カ月間はデンマーク、ノルウェー、フィンランド、スウェーデン、トルコのコンピューターネットワークを標的とした同様の活動も増加しています。また、他の NATO 諸国の外務省を標的とした同様の活動も増加していることをマイクロソフトは認識しています。
ロシアは、特に、NATO 加盟国の政府を優先的に標的にしてきました。しかし、標的のリストには、シンクタンク、人道支援団体、IT 企業、そして、エネルギーなどの重要インフラのサプライヤーも含まれています。開戦以来、私たちが確認したロシアの侵入は、29% の確率で成功しています。これらの成功した侵入のうち 4 分の 1 では、組織のデータの流出が確認されていますが、レポートで説明されているように、これはロシアの成功率を控えめに評価したものと思われます。
マイクロソフトは、クラウドではなく「オンプレミス」で稼働している政府機関のコンピューターについて引き続き最も懸念しています。これは、サイバースパイ活動による攻撃とサイバー保護の現時点の世界的状況を反映しています。1 年半前の SolarWinds の事件が示したように、ロシアの情報機関は、コードを埋め込み、継続的にネットワークから機密情報を取得・流出させることのできる APT (Advanced Persistent Threat) において極めて高度な能力を持っています。当時と比較し、防御面ではかなりの進歩がありましたが、その実践面では、欧州政府は米国と比較してまだ一貫性を欠きます。その結果、集団的防衛という点では大きな弱点が残っています。
第 4 に、こうした他のサイバー活動と連携して、ロシア当局は戦争を支援するために世界的なサイバーインフルエンス工作を実施しています。これは、KGB が数十年にわたって開発した工作戦術を新しいデジタルテクノロジやインターネットと組み合わせることで、より広い地理的範囲に向けて、より多くの情報量により、より正確にターゲットを定めて、より迅速に、外国への影響力を行使するものです。残念なことに、十分な計画と洗練性があれば、こうしたサイバーインフルエンス工作は、長年にわたる民主主義社会の開放性と現代の特徴である国民の分断化をうまく利用できてしまいます。
ウクライナ戦争が進むにつれ、ロシア当局は 4 つのターゲットにサイバーインフルエンス工作活動を集中しています。まず、戦争への支持を持続させる目的で、ロシアの人々をターゲットにしています。そして、ロシアの攻撃に耐えるウクライナの意思と能力に対する信頼を損なわせる目的で、ウクライナ国民をターゲットにしています。さらに、西側諸国の結束を弱め、ロシア軍の戦争犯罪への批判を逸らす目的で、米国や欧州の人々を標的にしています。最後に、国連での支持の維持などのために、非同盟国の人々もターゲットにし始めています。
ロシアのサイバーインフルエンス工作活動は、他のサイバー活動で培われた戦術の上に成り立っており、また、その戦術と関連してもいます。ロシアの情報機関内で活動する APT チームと同様に、ロシアの政府機関に関連した APM (Advance Persistent Manipulator) チームも、ソーシャルメディアやデジタルプラットフォームを通じて行動しています。マルウェアなどの事前配置と同じような方法で、誤ったシナリオを事前配置しているのです。そして、政府が管理し、影響力があるウェブサイトから、これらのストーリーを広範かつ同時に「報道」し、ソーシャルメディアサービスを悪用するように設計されたテクノロジツールによって、そのストーリーを拡散する企てを開始しています。最近の例では、ウクライナのバイオラボにまつわるストーリーや、ウクライナの民間人に対する軍事攻撃をわかりにくくするための複数の取り組みなどがあります。
マイクロソフトは、新しい取り組みの一環として、AI、新しい分析ツール、幅広いデータセット、そして増員した専門家スタッフを駆使して、このサイバー脅威の追跡と予測に取り組んでいます。ロシアのサイバーインフルエンス工作は、開戦後、ロシアのプロパガンダの拡散をウクライナで 216%、米国で 82% 拡大させることに成功したと推定されています。
このようなロシアの活動は、複数の西側諸国で偽の COVID シナリオを広める最近の巧妙な企てを元にしています。たとえば、2021 年の国家主導のサイバーインフルエンス工作活動では、英語のインターネットレポートを通じてワクチン接種を抑制し、同時にロシア語のサイトを通じてワクチン接種を奨励することを試みました。この半年間、ニュージーランドとカナダにおいて、COVID-19 の政策に反対する国民を扇動するために、同様のロシアのサイバーインフルエンス工作が行われました。
マイクロソフトは、今後数週間から数カ月の間に、この分野における活動を拡大していく予定です。これには、社内の組織拡大と、先週発表した、海外からのサイバーインフルエンス行使の検知と対応を専門とするサイバー脅威分析・研究のトップ企業 Miburo Solutions の買収合意が含まれます。
マイクロソフトは、現在行われているロシアのサイバーインフルエンス工作の多くが、適切な検知、分析、公開報告なしに数カ月継続していることを懸念しています。官民問わず、多様な重要機関への影響力が増しています。そして、ウクライナでの戦争が長引けば長引くほど、この工作活動はウクライナ自身にとって深刻なものとなるでしょう。戦争が長期化すれば、国民の疲弊という避けがたい状況の中でも戦争への支持を持続させる必要があるからです。この種の外国からのサイバーインフルエンス作戦に対する欧米の防御強化の重要性を緊急に認識する必要があります。
最後に、ウクライナの教訓は、破壊的サイバー攻撃、スパイ活動、影響力行使などに対する防御を強化するための協調的かつ包括的な戦略が必要であることを示しています。ウクライナ戦争で示されたように、これらの脅威はそれぞれ異なるものの、ロシア政府はこれらを個別の取り組みとして実行しておらず、我々はこれらを別々ものとして分析すべきではありません。また、防衛戦略においては、ウクライナで見られたように、こうしたサイバー作戦と物理的な軍事作戦との連携も考慮しなければなりません。
これらのサイバー脅威を阻止するための新たなステップが必要であり、それには 4 つの共通原則、そして、少なくとも高いレベルにおいて共通する戦略が必要です。最初の原則は、ロシアのサイバー脅威は、類似したデジタル戦術に依存する、ロシア政府内外の共通の主体によって進められていることを認識することです。そのため、その対策には、デジタルテクノロジ、AI、データの進歩が必要になります。これに関連した第 2 の原則は、過去の脅威とは異なり、サイバー攻撃への対応には官民の協力強化が必要であることを認識することです。第 3 の原則は、開かれた民主的社会を守るための、政府間の緊密な協力体制の必要性を認識することです。そして、最後の第 4 の防御原則は、たとえ、サイバーインフルエンス工作活動を含むあらゆるサイバー脅威に対処するための新たな措置が必要であるとしても、民主主義社会における表現の自由を守り、検閲を避けることです。
効果的な対応は、これらの原則をベースにした、4 つの戦略的柱に基づくものであるべきです。これらは、海外のサイバー脅威をよりよく (1) 検知し、(2) 防御し、(3) 破壊し、(4) 抑止するための集団的能力を向上させるものです。このアプローチは、破壊的サイバー攻撃やサイバーベースのスパイ行為に対処するための多くの集団的取り組みにすでに反映されています。また、ランサムウェアの攻撃に対処するために必要な重要かつ継続的な作業にも適用されています。ロシアのサイバーインフルエンス工作活動に対抗するため、私たちは、新たな能力と防御策を備えた同様の包括的なアプローチを今必要としています。
本レポートで述べたように、ウクライナでの戦争は、教訓だけでなく、民主主義の未来を守るために不可欠な効果的対策への注意喚起でもあります。マイクロソフトは、企業として、政府、企業、NGO、大学を支援するテクノロジ、データ、パートナーシップへの継続的かつ新たな投資などを通じて、これらの取り組みを支援していくことにコミットします。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
