ロシア政府は、将来の好きな時に侵害したコンピュータ・システムを混乱させ、損害を与えることができるため、司法長官代理のLisa O. Monacoは、「ロシアの政府に支援されたハッカーは、米国および世界中の重要なインフラストラクチャに深刻かつ持続的な脅威を与えている」と述べました。
Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide
U.S. Department of Justice / Thursday, March 24, 2022
Defendants’ Separate Campaigns Both Targeted Software and Hardware for Operational Technology Systems
ロシア連邦保安局(FSB)の3人の幹部とその共謀者が合計で、約135カ国の数百の企業や組織で、数千台のコンピュータを標的として侵害しており、2022年3月24日(木)米国司法省は重要インフラに損害を与え、標的施設に2度に渡る緊急停止を引き起こしたとする容疑で刑事告発しました。
重要なインフラを脅かすハッカーに対して企業が防御を強化し、警戒を続けることが緊急に必要であることを明確に示しております。
なお、FBIのポール・アベイト副長官は、「FBIは、連邦政府や国際的なパートナーとともに、ロシアが重要なインフラにもたらす重大なサイバー脅威への対策に注力しています」と述べています。「私たちは、ロシアのサイバー活動の犠牲者を特定し、迅速に対応するための資産を提供し、独自のツールを展開するために必要な情報を提供し、不正行為を明らかにし、引き続き取り組んでいく。」と述べてます。
コロンビア特別区の連邦検事Matthew M. Graves氏は、「重要インフラを侵害しようとする行為ほど大きなサイバー脅威はない」と述べ、「こうした犯罪は、被害を受けた工場で働く人々や、工場に関係する市民を傷つける恐れがある。コロンビア特別区連邦検事Matthew M. Gravesは、「コロンビア特別区と私の事務所は、運用技術を攻撃する者を特定し、起訴することを確実にする」と述べています。
カンザス地区連邦検事Duston Slinkardは、「サイバー攻撃は、病院、家庭、企業、その他地域社会の維持に不可欠な場所への重要なエネルギーサービスの提供を、麻痺させないまでも、妨害する可能性が現実的に起こり得る」と述べました。私たちは、国の重要なインフラシステムを破壊しようと活動している人物がいることを認識し、そのような攻撃を阻止するために警戒を怠らないようにしなければなりません。司法省は、我が国の安全とセキュリティを守る使命の一環として、告発されたハッカーの追跡と起訴に全力を尽くしています。
米国政府は、これらの告発の公表に加え、民間企業のネットワーク防御の取り組みを強化し、同様の悪質な活動を阻止するための措置をとっています。
国土安全保障省の Cybersecurity and Infrastructure Security Agency(CISA)は、今回の起訴で取り上げられた活動を含むロシアの悪質なサイバー活動について、すでに多くの技術アラート、ICSアラート、マルウェア分析報告書を発表しています。これらの情報は、https://www.cisa.gov/shields-up に掲載されています。
- 米国 v. Evgeny Viktorovich Gladkikh – 被告はバックドアをインストールし、エネルギー施設の安全性を奪うように設計されたマルウェアを起動しました。
2021年6月、コロンビア特別区の連邦大陪審は、ロシア国防省の関連機関に勤務するコンピュータープログラマー Evgeny Viktorovich Gladkikh(Евгений Викторович Гладких)(36)の起訴状を提出しました。世界的なエネルギー施設の産業制御システム(ICS)と運用技術(OT)を、物理的損害が可能になるよう設計された技術を使用したハッキング活動に関与したためです。
起訴状によると、2017年5月から9月にかけて、被告人と共謀者は外国の製油所のシステムをハッキングし、サイバーセキュリティ研究者が “Triton” または “Trisis” と呼ぶマルウェアを、多国籍企業シュナイダーエレクトリックが製造する安全システムにインストールしました。共謀者は、製油所の安全システムが機能しないように(正常に動作しているように見せかけながら、ICSを危険な方法で動作させる)マルウェア “Triton” を設計し、被告とその共謀者に、製油所の被害、周辺住民の負傷、経済的損害を引き起こす能力を認めました。しかし、被告がTritonマルウェアを展開した際、製油所のシュナイダーエレクトリック社の安全システムが製油所の操業を2回自動緊急停止させる不具合を発生させました。2018年2月から7月にかけて、共謀者は、米国企業が所有する米国内の同様の製油所を調査し、米国企業のコンピューターシステムのハッキングを試みましたが、失敗に終わっています。
3つの 起訴状によると、Gladkikhはロシア連邦の国家研究センター “FGUP Central Scientific Research Institute of Chemistry and Mechanics”(Государственный научный центр Российской Федерации федеральное государственное унитарное предприятие Центральный научно- на водельный исследовательский институт химии и механики)以下 “TsNIIKhM” の職員であったとされています。TsNIIKhMは、Triton攻撃公開後に修正されたウェブサイトで、自らをロシア国防省の主要研究機関であると説明しています。一方、応用開発センター (Центр прикладных разработок)、以下 “ADC” は、重要インフラに対する情報技術関連の脅威に関する研究に従事していること(すなわち、その研究は防衛的な性格を有すること)を公言していました。
被告は、エネルギー施設に損害を与えるための共謀罪1件(最高懲役20年)、エネルギー施設に損害を与えるための未遂罪1件(最高懲役20年)、コンピューター詐欺を行うための共謀罪1件(最高懲役5年)の罪で起訴されました。
コロンビア特別区連邦検事補のChristopher B. BrownとLuke Jonesは、国家安全保障局の防諜・輸出管理部門と共同で、この事件を起訴しています。FBIのワシントン支局が捜査を行いました。
米国に拠点を置く謀略の対象者は、捜査に協力し、貴重な支援を提供しました。司法省とFBIはまた、シュナイダーエレクトリック社の捜査への協力に感謝の意を表し、特に海外でのTriton攻撃後の同社の広報・教育活動に注目しました。
- 米国 v. Pavel Aleksandrovich Akulov、Mikhail Mikhailovich Gavrilov、Marat Valeryevich Tyukov – 被告はエネルギーセクター企業のコンピュータシステムを標的とし侵害するために数年にわたる取り組みを行いました。
2021年8月26日、カンザスシティーの連邦大陪審は、全員がロシア連邦(ロシア)の居住者・国籍で、FSBの軍事ユニット71330または “Center 16” の幹部である3人のコンピューターハッカーを、コンピューター詐欺と不正使用、電信詐欺、加重個人情報窃盗、エネルギー施設の財産への損害発生に関する米国法違反で起訴しました。
FSBのハッカー、Pavel Aleksandrovich Akulov(Павел Александрович Акулов)(36)、Mikhail Mikhailovich Gavrilov(Михаил Михайлович Гаврилов)(42)とMarat Valeryevich Tyukov (Марат Валерьевич Тюков)(39)は、サイバーセキュリティ研究者の間で”Dragonfly”, “Berzerk Bear”, “Energetic Bear”, “Crouching Yeti”として知られていたCenter16作戦部隊のメンバーであった。起訴状では2012年から2017年にかけて、Akulov、Gavrilov、Tyukovおよびその共謀者が、石油・ガス会社、原子力発電所、電力会社・送電会社などの国際エネルギー分野の企業・組織のコンピューターネットワークへの密かな不正アクセスおよび持続的アクセスを維持するためのロシア政府の取り組みを推進し、サプライチェーン攻撃などのコンピューター侵入に従事したとされています。具体的には、ICSやSCADA(Supervisory Control and Data Acquisition)システムと呼ばれる、発電施設の機器を制御するソフトウェアやハードウェアを標的としていました。このようなシステムにアクセスすることで、ロシア政府は、将来の好きなタイミングで、このようなコンピュータ・システムを混乱させ、損害を与えることができるようになるなど、その能力を得ることができたのです。
起訴状によると、エネルギー分野の活動は2つのフェーズに分かれていました。2012年から2014年にかけて行われた第1段階では、サイバーセキュリティ研究者の間では一般に “Dragonfly” または “Havex” と呼ばれています。共謀者はサプライチェーン攻撃を行い、ICS/SCADAシステムメーカーとソフトウェアプロバイダーのコンピュータネットワークを侵害し、”Havex”として公的に知られているマルウェアをそうしたシステム用の正規ソフトウェアアップデート内に隠蔽していました。疑いを持たない顧客がHavexに感染したアップデートをダウンロードした後、共謀者はこのマルウェアを使って、感染したシステムにバックドアを設置し、被害者のネットワークをスキャンして追加のICS/SCADA機器を探すなどの行為を行いました。共謀者は、スピアフィッシングや「水飲み場」攻撃など、こうした取り組みを通じて、電力会社やエネルギー会社が使用するICS/SCADAコントローラを含む、米国内外の17,000以上のデバイスにマルウェアをインストールしたのです。
2014年から2017年にかけて行われ、一般に “Dragonfly 2.0” と呼ばれる第2フェーズでは、共謀者は、特定のエネルギー部門の事業体とICS/SCADAシステムを扱う個人およびエンジニアに焦点を当てた、より標的型の侵害行為へと移行しています。起訴状によると、共謀者たちの手口には、原子力規制委員会などの米国政府機関に加え、米国内外の500以上の企業や団体の3,300人以上のユーザーを標的としたスピアフィッシング攻撃も含まれていました。このスピアフィッシング攻撃は、原子力発電所を運営するカンザス州バーリントンのWolf Creek Nuclear Operating Corporation (Wolf Creek) のビジネスネットワーク(ICS/SCADA機器に直接接続されていないコンピュータを含む)を侵害するなど、成功したケースもあります。さらに、共謀者は、特定のネットワークに違法な足場を築いた後、通常、その足場を利用して、被害企業の他のコンピュータやネットワークへのアクセスを取得し、ネットワークにさらに侵入していきました。
Dragonfly 2.0の段階では、コンテンツ管理ソフトウェアの既知の脆弱性を利用して、ICS/SCADAシステムやその他のエネルギー部門のエンジニアがよく閲覧するウェブサイトをホストするサーバーを侵害し、水飲み場攻撃も行いました。エンジニアが侵害されたウェブサイトを閲覧すると、共謀者の隠しスクリプトにより、ログイン情報を取得するためのマルウェアがエンジニアのコンピュータに展開されました。
このハッキング活動は、米国をはじめ135カ国以上の被害者を対象としていました。
Akulov、Gavrilov、Tyukovの3人は、エネルギー施設の財産に損害を与え、コンピューター詐欺と不正使用を行った共謀の罪に問われており、最高刑は懲役5年、電信詐欺の共謀は最高刑懲役20年となっています。また、AkulovとGavrilovは、コンピュータから違法に情報を取得し、コンピュータに損害を与えたことに関する電信詐欺とコンピュータ詐欺の実質的な訴因で起訴されています。これらの犯罪には、最高で5年から20年の懲役刑が科されます。最後に、AkulovとGavrilovは、加重ID窃盗の3つの訴因でも起訴されており、これらの訴因には、それぞれ最低2年の刑期が課され、他のいかなる刑期も継続されます。
起訴は単なる申し立てに過ぎず、すべての被告人は法廷で合理的な疑いを超えて有罪と証明されるまでは無罪と推定されます。連邦地裁の裁判官は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、あらゆる判決を決定します。
