ニュース・リサーチ
KyivStarにサイバー攻撃
■ウクライナ最大手の通信キャリア『KyivStar』へのサイバー攻撃が発生
ウクライナ最大の通信キャリア『Kyivstar(キーウスター、キエフスター)』は、国民の半数以上となる2500万人の加入者をもっています。日本で言えば、『Docomo』です。
その通信キャリア『kyivstar』は2023年12月12日、大規模なサイバー攻撃に見舞われました。Kyivstarの加入者はウクライナ全土でモバイル接続とインターネット接続を失い、ユーザーは国内・国外ともにローミングの枠内で他の通信事業者のネットワークに接続することもできなくなってしまいました。
また、Kyivstarのウェブサイトとアプリも機能しなくなり、2500万人の加入者が接続を失った状態が続きました。個人や企業や組織を問わず、Kyivstarの接続を使用するすべての機器が影響を受け、ウクライナ全土で深刻なインフラ問題が発生したわけです。
Kiyvstar社のオレクサンドル・コマロフ社長は「これは通信インフラに対する世界最大のハッカー攻撃だ」と発表しています。
このサイバー攻撃は、ロシアによるウクライナへの侵略戦争が背景にあり、ロシアのハッカー集団Solntsepyokがこの攻撃の責任を主張しています。
■ウクライナ重要インフラKiyvstarへのサイバー攻撃の経緯
流れでみると、ロシアによる本格的な侵攻の少し前、具体的には2022年1月と2月にウクライナの重要インフラは大規模なサイバー攻撃を受けています。その当時、多くの専門家が、これらの攻撃はウクライナに対するロシアの軍事侵略の前兆だと警鐘を鳴らしていました。
そんな中、ロシアによる侵攻の最初の数週間、無数のサイバー攻撃を受けたウクライナは、銀行、通信事業者、エネルギー・システムの安定稼働を維持することに成功し、多くの関係者や周辺諸国の高官を驚かせていたものです。
2022年末、ウクライナのエネルギーシステムは、ロシアの執拗なミサイル・ドローン攻撃を受け、重要インフラの運用に対する懸念が高まっていました。その反面、サイバーセキュリティの問題はやや影を潜め、ウクライナは国家の高度なデジタル化を推し進めていました。
ロシアによるウクライナ電力関連施設への、ミサイル・ドローン攻撃が続き、それによる電力(停電)問題が発生する中、ウクライナの携帯電話事業者は、ある事業者のサービスが利用できない場合、別の事業者のサービスを利用できるように、国内携帯電話のローミング制度を導入しました。
2023年秋、Kiyvstarのオレクサンドル・コマロフ社長が、新たに起こりうるミサイル攻撃、サイバー攻撃、停電への備えについて準備を進めていると発表した矢先、同年12月に大規模ハッカー攻撃を受けています。この攻撃の後、コマロフ社長は、kyivStarはロシアの侵攻が始まって以来500回以上のハッカー攻撃を撃退してきたと公表しています。
■サイバー攻撃を受けたKiyvstarの背景
2023年、Kiyvstarの携帯電話加入者数と固定回線インターネットの加入者数は2,500万人で、これは同国の人口の半分以上であり、第2位の通信事業者ボーダフォン・ウクライナの加入者数は約1,500万人でした。
2023年、ウクライナ社会にはKiyvstarの国有化が間近に迫っているという噂が流れました。その理由として、制裁対象となっていたロシアのオリガルヒ、ミハイル・フリドマンのKiyvstarへの出資が関連していました。
2023年秋まで、KiyvstarはオランダのVeonホールディングが100%所有していました。また、Veonの株式の48%はLetterOneが所有し、38%はミハイル・フリドマン(ロシアのオリガルヒ)が所有していました。
Kiyvstarは「親会社には数千人のオーナーがおり、VeonとKiyvstar、両社の業務に決定的な影響力を持つオーナーはいない」と主張しています。メディアはまた、2023年11月に米国の政治家マイク・ポンペオが同社の取締役会に加わったと報じており、これはKiyvstarがロシア人オーナーとの関係から距離を置こうとしていると見られています。
■Kiyvstarへのサイバー攻撃の詳細
2023年12月12日午前5時26分、Kyivstarのスペシャリストは、同社のコンピュータネットワークにおける非典型的な動作を検出しました。
午前6時30分、Kiyvstarの従業員は、同社が強力なハッカー攻撃を受けていることに気づき、攻撃の標的はコア・ネットワーク(ユーザーとサービス間のトラフィックの処理とルーティングを担っているネットワーク・コア)ということが判明しました
午前8時4分、Kyivstarは運営に技術的な障害が発生したことを公に発表し、加入者へのサービス制限の可能性を警告しました。同時に、同社のコアネットワークとデータベースへの攻撃に関する報告が、同社従業員の社内チャットルームで拡散されました。また、いくつかの匿名のテレグラムチャンネルでは、Kyivstarのオフィスでの捜索に関する偽情報が流れていたことも確認されています。
その後数時間で、問題の規模が明らかとなり、ウクライナ全土で、Kiyvstarの加入者はモバイル通信と自宅のインターネットが使えない状態に置かれました。Kiyvstarの加入者は、戦争における空襲警報(ミサイルやドローン攻撃の情報)を受信できなくなり、Kiyvstarの公式ウェブサイトもモバイルアプリケーションも機能しなくなりました
Kiyvstarに関連するすべてのシステムに問題が発生したため、例えば、多くの都市では街灯を手動で消さなければならなかったり、ウクライナの銀行のATMや決済端末の一部が機能停止したり、多くの2次的被害も発生しました。
中でもOschadbank、Privatbank、Raiffeisen Bankは重大な問題を報告しています。monobankは12月12日に大規模なDDoS攻撃を受けたが、「状況は制御下にあった」と述べています。オンラインショップのNova Poshtaや、Tabletki.ua、Uklon、Glovoといった様々なサービスも問題に直面し、ウクライナ政府も、一部のセキュリティシステムやホットラインの運用に障害が発生したことを報告しています。ウクライナ最大の通信キャリアがダウンしただけに、その被害は多方面に渡っています。
正午頃、Kiyvstarは大規模なハッカー攻撃を受けたことを公式に認めました。メディアでは、ネットワークの復旧に少なくとも1週間はかかるという報道も出ていました。ハッカーはKiyvstarのネットワークのメイン・コントロール・センターを無効にしただけでなく、中継基地局の構成を「解体」することにも成功しました。Kyivstarの加入者は国内・国外のローミングを利用することができませんでした。
Kiyvstarが機能停止に陥ったことにより、他のウクライナの通信キャリア大手VodafoneUAとlifecellは、加入者の流入によるインフラへの負荷の増加を報告しました。それでも事業を継続し、lifecellの場合、eSIMの需要が10倍に増加したと報告しています。
■Kiyvstarサイバー攻撃の修復作業
2023年12月12日、Kyivstarは20:00までに加入者の固定回線サービスへのアクセスを回復し始めました。
2023年12月13日、Kyivstarはモバイル通信の段階的な復旧を開始し、18:00にはウクライナの一部の地域で携帯電話からの音声通話が開始されましたが、SMSとモバイルインターネットは依然として利用できないままでした。同時にウクライナ内務省は、Kyivstarからとされる偽のメッセージを使ったフィッシングリンクを使った詐欺師の活動が活発化しており、通信の復旧条件や加入者への補償について警告を発しています。
2023年12月14日、Kyivstarは音声通信を開始し、家庭向けインターネットサービスの93%を復旧させました。
2023年12月15日、Kyivstarはウクライナの支配地域全域で4Gを含むモバイルインターネットに切り替えを完了させました。
2023年12月21日、Kyivstarはサイバー攻撃によって影響を受けたすべての基本サービスを完全に復旧させたと発表しました。またこれに先立ち、同社は、12月12日のサイバー攻撃後に発生した様々な障害にもかかわらず、加入者の情報と個人データは安全であると保証しています。
■Kiyvstarサイバー攻撃の結果
KyivstarのOleksandr Komarov社長は、同社が仮想インフラに対する非常に強力なハッカー攻撃を受けたと述べました。彼によると、同社のITインフラは「部分的に破壊」されたが、加入者の個人データは漏洩していないと報告しています。
また同氏は「これは戦争です。これは戦争であり、戦場だけでなく、仮想空間、サイバースペースでも行われています。残念ながら、我々はこの戦争の影響を受けました。インフラへの侵入とその破壊を受けました。これは通信インフラに対する世界最大のハッカー攻撃であり、これほどの規模の攻撃が成功したことはありません。そして正直に言うと、ロシアに攻撃された国はそれほど多くない」と語っています。
Kiyvstarサイバー攻撃への対応には、マイクロソフト、シスコ、エリクソンが関与していたとされています。
また、ウクライナ軍関係者によると、Kyivstarの障害は前線にいるウクライナ兵の行動に影響を与えませんでした。ウクライナの国防情報部は、攻撃の目的は軍ではなくウクライナの民間人を標的にすることであったと述べています。
ウクライナ国立銀行のOleksiy Shaban副頭取は、Kyivstarへのハッカー攻撃の後、一部のPOS端末が故障したため、ウクライナの銀行はインフラのバックアップ通信チャネルを作成する必要があると述べたています。彼はまた、NBUが「2022年から2023年にかけて、銀行やノンバンクの金融機関の情報インフラに対する様々なレベルの複雑なサイバー攻撃を常に記録している」と指摘し、金融機関に対してサイバーセキュリティを強化するよう呼びかけました。
■Kiyvstarサイバー攻撃へのフォレンジック調査
このサイバーテロのフォレンジック捜査には、SBUとウクライナ国家特殊通信局の職員も担当しています。SBUはKyivstarへの攻撃について、ウクライナ刑法の8つの条文に基づいて刑事事件を起こしています。
第361条 情報、電子通信、情報通信システム、電子通信ネットワークの運営に対する無許可の干渉
第361条の1悪意あるソフトウェアまたはハードウェアの違法な使用、配布または販売を目的とした作成、およびそれらの配布または販売
第110ウクライナの領土保全と不可侵性に対する侵害
第111条大逆罪
第113条サボタージュ
第437条侵略戦争の計画、準備、開始、遂行
第438条戦争法規および慣例違反
第255条犯罪共同体または犯罪組織の創設、指導、参加
サイバー攻撃を受けた翌日2023年12月13日、KyivstarのCEOであるOleksandr Komarovは、ハッカーがKyivstarの従業員の一人の侵害(ハック)されたアカウントを使用して会社のコンピュータセキュリティに侵入したと述べました。彼は「どのような組織にもロシアのミサイルを誘導したり、ソーシャルエンジニアがうまく機能するようにパスワードを教えてしまう人々がいる」と指摘し、警鐘を鳴らしています。
■Kiyvstarサイバー攻撃まとめ
2023年12月12日、SBUは事件の背後にはロシアの特殊機関が関与しているという見解を発表しました。
2023年12月12日、ロシアのハッカーグループKillnetがKyivstarへのサイバー攻撃の背後にいると主張しましたが、同グループは証拠を提示していません。
2023年12月13日、ロシアのハッカーグループSolntsepyokがサイバー攻撃の責任を主張しました。彼らのテレグラム・チャンネルを通じて「10,000台のコンピューター、4,000台以上のサーバー、すべてのクラウドストレージ、バックアップシステムを破壊した」と主張しました。彼らは「Kiyvstarは、ウクライナの軍隊や政府機関、法執行機関に通信を提供しているために攻撃を実行した」と主張しています。彼らはまた、ウクライナ軍を支援する他のウクライナ企業にも攻撃を加えると脅しています。
同日、SBUは「ロシアのハッカー集団の1つが攻撃の責任を主張している。それはロシア軍参謀本部のハッカー部隊であり、Solntsepyokである」と明言しています。
Solntsepyokのテレグラム・チャンネルは、Kyivstarへの攻撃への関与を示すと思われる4枚のスクリーンショットを公開しており、ウクライナ国家特別通信局の元副局長ヴィクトル・ゾラは「公開されたスクリーンショットが本物であれば、敵は長い間ネットワークに存在し、サービスのトポロジーやインフラを研究していたことになる」と指摘しました。
また、アメリカのサイバーセキュリティ専門家アレックス・ホールデンは、スクリーンショットが2023年11月に撮影されたものだと指摘しており、ホールデン氏によれば「ハッカーたちはActive Directoryシステムにアクセスし、管理者が様々なリソースへのユーザーアクセスを管理し、セキュリティルールを設定し、様々なプログラムやサービスの使用許可を与え、新しいコンピュータをネットワークに統合することができるようになった」と指摘しています。同氏は「スクリーンショットにはハッカーがKyivstarの加入者の個人データにアクセスしたことを示すようなデータは含まれていない」とも指摘しています。
先述のViktor Zhoraは「これらのスクリーンショット画像によると、ハッカーはKyivstarのインフラストラクチャの重要なノードであるドメインコントローラと仮想化サービスにアクセスできた」と指摘しています。Zhora氏によると「このようなアクセスはすぐに得られるものではなく、時間をかけて綿密に計画された犯行であった可能性が高い」と指摘しています。
尚、攻撃を受けた当事者のKiyvstarは、何千台ものコンピュータが破壊されたというSolntsepyokグループの主張を否定した上で「ハッカーによって示されたスクリーンショットは恣意的に収集された技術データにすぎない」と一蹴しています。
■Kiyvstarにサイバー攻撃を加えたとされるSolntsepyokハッカー集団とは
戦争が始まって2ヶ月が経過した2022年4月末から、ソルンツェピョク・グループ(ハッカー集団)は独自のテレグラム・チャンネルを運営しています。このチャンネルは、ウクライナ軍の個人データを公開したり、ウクライナ軍の懲罰者やキエフ当局の共犯者といったロシアのプロパガンダに典型的なレトリックを使用していました。
アメリカのサイバーセキュリティ企業Hold Securityの創設者であるアレックス・ホールデンは、ソルンツェピョクはこの段階ではハクティビズムに従事していたが、ハッカー集団というよりは社会的集団であったと指摘しています。
2023年の春以降、Solntsepyokグループは様々なウクライナ企業への攻撃を主張しています。特に、彼らはSuspilne Novosti、Channel 24 TV channel、UMMCのウェブサイトへの攻撃を主張していますが、深刻な被害をもたらすことはできなかったと言われています。
ウクライナの国家特別通信局は、SolntsepyokがロシアのハッカーグループSandwormに関連していると考えていると述べました。サンドウォームは、ウクライナの諜報機関によって、ロシアGRUのエリート部隊とみなされています。ウクライナの情報サービスによると、サンドワーム・グループは2015年、ウクライナのエネルギー・インフラに対するハッカー攻撃で初めてウクライナで存在感を示し、2017年、NotPetyaウイルスでウクライナの企業や政府機関を攻撃したとされています。
アレックス・ホールデンは、2023年の春以降、Solntsepyokはその行動モデルを変え「ロシアのサンドワームのルールに従って活動し始めた」と指摘しています。ウクライナ国家特殊通信局の元副局長ヴィクトル・ゾラによると、Solntsepyokテレグラム・チャンネルはGRUの「貯蔵庫」であり、APT28やサンドワームのようなグループが活動の成果を投棄しています。SBUの情報筋は『フォーブス』ウクライナ版に、Kyivstarへの攻撃の背後にはSandwormがいたと語っています。
■Kiyvstarサイバー攻撃への客観的評価
yivstarの元ディレクター(2014~2018年)であるPetro Chernyshovは、非常に大規模かつ十分に準備された攻撃が行われたと述べています。彼によると「KyivstarにはITスペシャリストとエンジニアからなる強力なチームがあるにも関わらず、今回ほどの大規模攻撃に対する準備はできていなかったのだろう。Kyivstarでの在職中、最大のコンピュータ脅威はPetyaウイルスであり、Kyivstarは何とか持ちこたえ生き残ったものの、競合他社は非常に大きな問題を抱えていた時期もある」と述べています。
ウクライナのサイバーセキュリティ専門家Konstantin Korsunは、Kyivstarへの攻撃をサイバー脅威の最高レベルであるAdvanced Persistent Threatに分類しました。彼は、この種の攻撃には、システム内部から攻撃者を支援する内部者(ソーシャルエンジニアリング)が関与することが多いと指摘しています。またKorsun氏は、セキュリティチームに裏切り者がいる場合、脅威を防ぐことは極めて困難であると述べています。彼はまた、戒厳令下のウクライナではハッカー攻撃に関する情報がほぼ完全に秘密(クローズド)にされていることを強調しています。
英国の軍事情報筋によれば、Kiyvstarへのサイバー攻撃は「本格的な戦争が始まって以来、ウクライナに対するハッカー攻撃としてはおそらく最大規模だった」と発表しています。
関連情報