ロシアの攻撃的サイバー作戦における情報の役割-サイバー軍、情報工作、ハクティビスト、OSINT

2022年2月24日にロシアがウクライナに対する侵略を開始したのに関して、具体的な注目すべきサイバー作戦をケネスギアスの論考をもとに「ケネス・ギアス「ロシア・ウクライナ戦争におけるコンピュータ・ハック」を読む」でまとめました。

もっとも、そこでは、実際の損害を惹起したものだけに限定されていました。そこで、より広範に心理的な面、プロパガンダ的な側面も踏まえて見た場合にどのような作戦をあげることができるのか、という問題があります。

ロシアのウクライナ侵略から、各国は、サイバー戦略のために何を学ぶことができるのか、という論点があります。まずENISA の「脅威の風景2022(THREAT LANDSCAPE)」をみます。このプレスリリース等については、丸山さんのブログが紹介していて、全文翻訳もされています。

これでロシアの脅威への関わりを検索すると

  • サイバーアクターが運動的軍事行動と協調して作戦を実施したこと
  • ハクティビストの活動が著しく増加したこと、
  • ハクティビストの動員
  • サイバー犯罪
  • この紛争中の国民国家グループによる援助

が指摘されています(エグゼクティブサマリー)。また、同書では、

  • ロシア・ウクライナ紛争では、サイバーアクターがキネティックな軍事行動と連携した作戦を展開しているのが観察された 。
  •  特にロシア・ウクライナ危機が始まってから、ハクティビズム の新しい動きが観測されている。
  •  偽情報はサイバー戦争におけるツールである。「物理的な」戦争が始まる前から、ロシアのウクライナ侵攻の準備活動として利用されていた。

という指摘もなされています。

また、同様に米国の議会調査のロシアのウクライナ侵略についての現時点での報告書は「ロシアのウクライナにおける戦争 軍事および諜報の面」(Russia’s War in Ukraine: Military and Intelligence Aspects )があります。

1 サイバー作戦と武力攻撃との関わり

まず、最初にサイバー作戦と武力攻撃との関わりについてみていきます。上でいうと、ロシア・ウクライナ紛争では、「サイバーアクターがキネティックな軍事行動と連携した作戦を展開しているのが観察された」という部分です。

サイバー作戦は、それ自体が、攻撃であるか否かが分かれます。攻撃とは

1 「攻撃」とは、攻勢としてであるか防御としてであるかを問わず、敵に対する暴力行為をいう。

となります(ジュネーブ条約第一追加議定書49条 )。

そして、サイバー攻撃は、タリンマニュアルでは、

サイバー攻撃とは、攻勢としてであるか防御としてであるかを問わず、人に対する傷害もしくは死、または物に対する損害もしくは破壊を引き起こすことが合理的に予期されるサイバー作戦である

と定義されます(規則92)。

この部分でみるときは、

ロシア・ウクライナ紛争では、サイバーアクターがキネティックな軍事行動と連携した作戦を展開していることが確認された 。これらの作戦の一部には、政府機関や重要インフラ事業体のネットワークを破壊し混乱させるために、ワイパー攻撃 を広く使用することが含まれていた。ワイパー型マルウェアを使用する脅威者の意図は、標的となる団体の機能を低下させることが主であるが、その国の指導者に対する国民の信頼を損ない、FUD(恐怖、不安、疑念)を広め、偽情報操作を促進することも目的としている。

ということがいえます(上記ENISA 2.1   国家支援攻撃者の動向)。

具体的な例としては、ワイパー型マルウェア「AcidRain」が衛星通信を標的として使用され、ロシアが、ウクライナ侵攻前に商用衛星通信会社であるViasatをハッキングした。特にウクライナで見られ、Viasatの衛星モデムが機能しなくなり、また、風力発電所が停止した 、衛星インターネット接続に影響が出たため、中央ヨーロッパ全域に波及したという影響がでています。(これに対するEUのロシアに対する名指し行為は、こちらです)

この概念を中心に、以下の論点をも含めて図示すると以下のようにります。

この図は、生命・身体・物の破壊というサイバー攻撃をコアに、それに限らない情報工作が意味を持ってきていることを物語っています。また、従来の力学的兵器(Kinetic weapon)による攻撃についてもOSINTを影響を与えており、 戦闘員という観点からもサイバー軍、ハクティビストの観点が特徴をなしているということがいえます。

2 サイバー軍の構成と位置づけ

上記のENISAの脅威報告では

ロシアの侵攻当時、ウクライナには軍のサイバーコマンド部隊がなかった 。エストニアのサイバー防衛連盟 のモデルに基づいて、また必要に迫られて、ウクライナは、ウクライナ人および国際的な民間人、民間企業、ウクライナの防衛および軍人で構成される、分類が非常に困難なハイブリッド組織を何とか作り上げた。この組織は、民間、軍事、公共、民間、地域、国際のいずれにも属さない 。さらに、サイバースペースにおける国際法、国家のサイバー規範、民間インフラの標的化、民間企業の倫理に関連した議論のトピックを提起している 。

とされています。このIT軍の構成・活動について、まとめているのは、ETH Zurich CSS – Stefan Soesanto – The IT Army of Ukraine Structure, Tasking, and Ecosystem – になります。この論文は、

  • ウクライナのIT軍の構成の経緯(Genesis)
  • 標的の伝達と調整(Targeting Flow and Coordination)
  • 司令部・ツール・バグバウンティ(Hacken, Liberator,and Hackenproof)
  • 秘密な部分の構造とタスク(Non-public Structure and Tasks)
  • ウクライナの諜報サービスはどこに(Where are Ukraine’s intel services?)
  • IT軍と外部グループ(The IT Army and External Groups)
  • 結論

という構成で論じています。これらの詳細までには、検討が及びません。

ところで上のサイバースペースにおける国際法、国家のサイバー規範の問題は、「武力紛争における非正規戦闘員の攻撃参加の法律問題」で論じられています。民間インフラの標的化、民間企業の倫理の論理の問題は、むしろ、「NHK BS デジタルウクライナ-中立法と宇宙関係の民間会社」で論じました。

これらの論点は、タリンマニュアル2.0でもほとんど論じられていない問題なので、今後の進展・一般化がなされることになると思います。

3 情報工作の高度化

ENISA脅威報告書では

国家が支援するいくつかの主体は、ソーシャルメディア・プラットフォーム、検索エンジン、メッセージング・サービスを利用して偽情報を広める能力を構築している。これらのサービスは、コンテンツをテストし最適化するためのすぐに使えるツールを提供し、偽情報キャンペーンのアウトリーチと影響を監視するため、彼らのアプローチは従来の偽情報キャンペーンとは異なっている 。さらに、機械学習(ML)、人工知能(AI)、ディープフェイク、音声バイオメトリクスの発展により、脅威者はキャンペーンのために誤解を招くコンテンツを作成するための強力なツールを手に入れた

とされています。

これらの分析の参考資料としては

が あります。

ENISA脅威報告書は、9  DISINFORMATION- MISINFORMATIONとして詳細に論じています。

誤情報(misinformation)とは、情報の共有が不用意に行われる、意図しない攻撃である。情報が伝える不正確さは意図的なものではなく、例えばジャーナリストが善意で間違った情報を報道したり、誤って情報を報道したりすることで起こりうる。
偽情報(disinformation)とは、虚偽または誤解を招くような情報の作成または共有からなる意図的な攻撃である。

ロシアのウクライナ侵略において、サイバー作戦の中心的なものは、偽情報となったということがいわれています。

3.1 ロシアの偽情報

ロシアの偽情報作戦についていえば、

などがなされたことが、ENISA脅威報告書で報告されています。

また、マンディアントブログ「攻撃的情報作戦 ロシアのウクライナ侵略に関する情報作戦」(The IO Offensive: Information Operations Surrounding the Russian Invasion of Ukraine)は、初期のロシアの作戦について、以下のようにまとめています。

2022年1月14日 外務省を含む複数のウクライナ政府のウェブサイトが改ざんされ、政府サーバーからデータが削除され、公開されることを主張するメッセージがロシア語、ウクライナ語、ポーランド語で表示されました。 この改ざんは、ランサムウェアに偽装したMBRワイパー「PAYWIPE」やファイル破壊ツール「SHADYLOOK」が、1月にウクライナ政府などを対象に展開されたのと同時期と思われます。
2022年2月23日 1月14日の事件で表示された画像と同じ画像が、ウクライナ政府のWebサイト数十カ所に表示される事件が発生しました。 この事件は、ランサムウェアに偽装したマスターブートレコード(MBR)ワイパー「NEARMISS」やワイパー「PARTYTICKET」を使ったウクライナ政府のターゲットに対する破壊的な攻撃と同時期に発生しました。
2022年3月16日 ウクライナを標的とした情報操作により、ウクライナ24のウェブサイトの侵害と改ざんの疑い、およびウクライナ24のテレビ放送のニューステロップに書かれたメッセージ、さらに人工知能(AI)が生成したゼレンスキー大統領になりすました「ディープフェイク」ビデオを通じて、ウクライナがロシアに降伏したとする偽のメッセージの宣伝が行われ、同じ文章が配信されました。 同日、Mandiantは、ウクライナの組織を標的としたJUNKMAILワイパーを特定しました。このマルウェアは、Zelenskyy氏が米国議会で演説を行う予定の約3時間前に実行されるよう、スケジュールされたタスクによって設定されていました。

3.2 ウクライナの偽情報作戦

ENISA脅威報告書だと

ウクライナの偽情報は、軍隊にやる気を起こさせ、ロシアの軍事的損失を強調することに重点を置いていた

とされています。

3.3 偽情報作戦についてのAIの利用

プフェイクに基づくAIによる偽情報が戦争で重要な役割を果たし、ロシアのVladimir PutinとウクライナのVolodymyr Zelenskyyの動画に、敵対者の意見を支持するメッセージが表示される結果となったこと、動画はフェイクだったが、ネット上で拡散したということが注目されています

3.4 その他の影響工作

ソーシャルメディア

モスクワの影響力行使の多くは、RT、スプートニク、リア・ノーヴォスチ、イズベスチヤなど、ロシアの支援を受けたメディアがロシア語、英語、スペイン語、トルコ語、アラビア語で記事やソーシャルメディアの投稿を発信し、平然と行われてきました。しかし、デジタル環境における影響力の行使を追跡するワシントンの企業、オメラスの調査によると、ロシア軍がウクライナに進駐し始めると、これらのメディア運営はターゲットとする読者からの支持を失い始めたとされています。

  • 欧州連合(EU)加盟27カ国は先週、RTやスプートニクといったロシアの国営メディアを禁止し、ロシア企業やその欧州関連会社の放送免許を停止した。
  • Facebookを所有するMetaなどのソーシャルメディア企業は、Google、YouTube、TikTokとともに、EUでRTとスプートニクをブロックした。
  • RTの米国ベースのネットワークであるRT Americaは先週木曜日、CNNが最初に入手したメモの中で、「予期せぬ事業中断事象」と呼ぶもののために、直ちに事業を停止し、ほぼすべてのスタッフをレイオフすると発表した。
  • Metaはまた、ウクライナの人々をターゲットにしたFacebookとInstagramの約40のアカウント、グループ、ページのネットワークも削除したことを先に発表した。
インフルエンサー

インフルエンサーも、情報工作において、重要な役割を果たしてまする。

Rania Khalekは、Twitterで24万6000人以上のフォロワーを持っており、2020年、カレクはInTheNowというロシアに支援されたメディアのために動画を投稿していた。現在、KhalekはBreakThrough Newsという組織に所属しており、自らを “労働者階級の人々のための、労働者階級による独立したジャーナリズム “と表現しています。

2020年の米大統領選で頭角を現したもう一人のインフルエンサーは、RTで「Redacted Tonight」の司会を務めたリー・キャンプで、彼はTwitterで “反戦、反企業コメディ “の場と表現していた。しかし、RTアメリカの突然の閉鎖によってキャンセルされたにもかかわらず、キャンプ氏の番組のエピソードはまだYouTubeで見ることができる。その中には、2月28日のウクライナに関するエピソードがあり、キャンプ氏は、文脈や歴史観なしにロシアを罵倒する人々を批判しています。

4 ハクティビスト活動

ENISA脅威報告書によると

ウクライナとロシアの紛争は、ますます寛容な(そしてユニークな)環境となり、ハクティビストグループを動員して、その側を選んだと見られている (約70のハクティビストグループが関与するようになった )。我々は、DDoS攻撃、改ざん、データリークを主な手段として、かなりの数のハクティビストグループが組織(重要インフラセクター内でも)を標的にしていることを確認している。さらに、非常に興味深い点は、ハクティビストグループのサイバー作戦の調整で、主にテレグラムグループを通じて、簡単に参加、参加でき、サイバー攻撃(例:DDoS)を行うためのツールをダウンロードすることさえ可能だった。

とされています。

戦略的な観点からは、ロシア・ウクライナ危機は、ハクティビズムの新しい時代、その役割、そして紛争への影響を定義したとされています。

この観点から、最も興味深いケースは、2022年1月24日にロシア軍の動きを鈍らせるために鉄道の供給路線を狙ったものです 。これを達成するために、グループは鉄道システムをダウンさせるために改造されたランサムウェアを展開し、ベラルーシの鉄道サービスに属するサーバー、データベース、ワークステーションを暗号化しました 。

ハクティビスト集団「NB65」は、コンチの流出したランサムウェアを使ったランサムウェア攻撃をロシア企業に対して実施しました 。NB65は、ロシア以外の組織は標的にしないこと、身代金の支払いはウクライナに寄付することを明言した 。さらに、別のハクティビストグループであるRed Banditsは、ランサムウェアの配布を検討する可能性があるとツイートで言及しています 。

5 OSINTの重要性の認識

オープンソース・インテリジェンス(OSINT)についての注目が高まったというのもひとつの注目点ということができるでしょう。

この点の参考になる文献としては

があります。

5.1 OSINTへの注目の高まり

この論文は、OSINTが、伝統的に、高度に機密化された情報源の有効性に比べれば二の次とみなされてきたこと、情報と技術の民主化は、国家が情報機能を独占してきた従来のやり方に代わる組織的な選択肢を提供し始めていること、サイバー環境に新たに依存するようになったことで、時間と専門知識があれば悪用し、インテリジェンスに変えることができるデジタルフットプリントが生まれたことを論じています。

ウィキリークスはデジタル化を利用した最初の組織の1つであるが、現在では オランダの調査報道グループBellingcatとロンドンの研究グループForensic Architectureは、2011年のシリア内戦以来、この公的OSINT革命の最前線にいる。

エリオット・ヒギンズとベリングキャットのチームの貢献として

  • 2014年7月のマレーシア航空(MH17)事故の犯人としてロシアの「小さな緑の男」を特定
  • 2018年3月にイギリスで起きたスクリパール毒殺の犯人としてクレムリンの情報工作員たちを明らか
  • OSINT技術を教える多くの求められる国際ワークショップも設立していること

を明らかにしています。

5.2 ロシアのウクライナ侵略におけるOSINTの役割

リー氏とグロゼフ氏は、政府のリソースなしで仕事をしているかもしれませんが、彼らの仕事は信頼性が高く、尊敬を集めています。

  • Rob Leeなどのアナリストは、ロシアの航空戦力の損失記録を含む戦闘被害評価、ロシアの兵器ビデオ、紛争分析など、約4000のツイートを発表してきています。
  • ブルガリアの調査ジャーナリスト、クリストフ・グロゼフ氏も、偽情報とロシアの戦争犯罪の可能性について詳細な分析を行っています。

他の多くの人々と同様、彼らはロシアの航空作戦を一般視聴者が検証できるようにし、その戦術と効果を、従来は十分な資金を持つ国家情報機関にしか許されなかった分析レベルで評価することができるようにしました。

特にこのようなOSINT が空爆評価等について、きわめて重要な役割を果たしているとされています。

ロシア・ウクライナ紛争で最も重要かつ議論を呼んだ空爆は、2022年6月27日、ロシアがウクライナのクレメンチャク市にあるショッピングモール「アムストール」を標的に行ったもので、少なくとも18人が死亡した。ロシアはショッピングモールの被害を否定しなかったが、近くの弾薬庫を狙った別の空爆による被害だと主張している。オープンソースのCCTV映像、ジオロケーションツール、Sentinel 2 L1C衛星画像、PLANET Skysat商業衛星画像、過去のYouTube動画、モールの小売チェーンからのブログ投稿、地元のソーシャルメディア、生存者が撮影したビデオ映像を使って、Bellingcatはロシアの言い分を効果的に否定する詳細なレポートを作成しました。ベリングキャットの成功は、OSINTがいかに航空作戦に透明性をもたらすか、そして事実のあいまいさに依存したり、外部の聴衆の圧力に弱い国家にとって危険であることの一例である。

5.3 将来のOSINTの役割

ウィリアム・ヘイグ元英国外相は、OSINTは戦争の出来事を報告するだけでなく、影響を及ぼしているといっています。Kemp論文は、

ウクライナでのOSINTの利用はロシアの情報環境の支配力を弱めたが、OSINTの一般への普及は将来の戦争で米国や同盟国の空軍の妨げになる可能性はないだろうか。西側の政治的、軍事的意思決定者にとって世論が重要であることを認識することは、OSINTの課題を明確にする上で重要である。

としています。

武力紛争法に関する国民の期待も変化しているとして、遠隔地や非対称の手段を用いたクリーンな紛争は、作戦ミスに対する国民の許容レベルを低くしているというのか、Kemp論文の主張です。

情報工作環境では、オンライン情報源のスピード、到達範囲、豊富さにより、西側空軍はシナリオのコントロールを失う可能性があり、民間人や政治的な認識を優先させるリスク回避的な標的戦略が助長される可能性があるともされています。

ウクライナ戦争は、国家とOSINTがシナリオの優位性をめぐって衝突した良い例であり、ロシアは紛争の初期に物語の支配権を失った。

しかしながら、西側の情報戦がロシアと同じ運命をたどる可能性は確かに存在し、西側諸国では、戦場の透明性が高まると、国民の監視の目が厳しくなり、リスクを回避し、標的を限定する戦略が促進される可能性があります。透明性は作戦上も影響を及ぼすとされています。

5.4 OSINT時代における空戦の在り方

OSINT 環境が、このように変貌しているために、Kemp論文は、以下のことを提言しています。

第一に、空軍は、行動が捕捉、共有、分析され、制限付きリストや攻撃禁止リストの大幅な拡大を含む標的戦略の制限につながる可能性があることを想定し、ウォーゲームを行うべきである。

第二に、空軍は、公開の理念と保護義務のバランスを取りながら、作戦指揮官、航空機乗務員、標的を公開情報分析者の特定と暴露から守る方法を検討する必要がある。

最後に、政治・軍事戦略レベルでは、外国政府が公的情報機関やそのアナリストをどのように利用できるかに注意を払う必要がある。

結局、情報環境がこのように変貌を遂げてしまっている以上、ぐんと民間の境界が曖昧になっており、さらに、「真実」をめぐる争いに争いが形を変えることになるとしています。

今、「誰が監視者を監視するのか」に対する新しい答えがある:誰でも、どこでも、いつでも。

というのです。

関連記事

  1. マイク・シュミット教授のニュージーランドのサイバーセキュリティ政…
  2. 自動運転車に不正アクセス防止義務
  3. CyCon2017 travel memo 1) Day -2
  4. 続・宇宙-サイバーセキュリティ法の最後のフロンティア その4
  5. 対ボットネットの法律問題の総合的考察 その7-ドイツにおけるハニ…
  6. 積極的サイバー防御の「司令塔」新設へ…自衛隊や警察庁の指揮・民間…
  7. 長谷部 「憲法」(新世社)
  8. 電波法の「秘密の保護」と「空港にドローン見逃さない」
PAGE TOP