2月24日木曜日、ロシアは、物理的な攻撃とウクライナの銀行、セキュリティサービスと政府のWebサイトへのサイバー攻撃の組み合わせを用いてウクライナに侵攻を始めました。政府当局者は、重要なインフラストラクチャに対する報復的なサイバー攻撃が、ロシアに制裁を課しているアメリカと欧州連合の諸国に対し行われるとの複数の警告を発しています。この政治的な紛争に対し、外交的な解決を待ち望む一方で、各国は、事態がさらにエスカレートし、世界大戦に発展する可能性に備えて準備を進めています。しかし、この戦争どのような形で進むのでしょうか？この世界的な紛争は、初の公式なサイバー戦争として歴史に刻まれるのでしょうか？

国が後援するAPTが、セキュリティの専門家にとってすでに一定の懸念事項になっており、ロシアとウクライナの間の現在の政局の影響は、ハイブリッド戦争や仮想的な前線にわたる大規模な組織的攻撃が行われる可能性を憂慮するところまで来ています。この懸念は、ゲラシモフ教義－ハイブリッドな戦術を使用してロシアの政治的目標をサポートする方法により裏付けされており、この教義は、ジョージアへのサイバー攻撃で2008年に開始され、2014年以来ウクライナで、2015年にシリアで用いられています。 

重要なインフラストラクチャへのロシアのサイバー攻撃は、犯罪者のグループか国が後援するAPTかに関わらず、今に始まったことではありませんが、何をもって「サイバー戦争」とするかははっきりとしていません。昨年のColonialパイプラインへの攻撃が、重要なインフラストラクチャへのロシアのハッカーの破壊能力を実証していることで注目を集めていますが、この攻撃は、国際法上で戦争行為をみなされるのに必要な明確な国家的なアクターと敵意のある武力行使に欠けたものでした。同様に、ウクライナで進行中の、HermeticWiperとWhisperGateを含みDDoSとマルウェアによる攻撃は、ロシアにもっともらしい否認の隠れ蓑を与え、過度のリスクなしに混乱と内紛を引き起こすように調整された破壊的な停電を引き起こす抑制の効いた暴力となるものです。

ロシアには、偽情報の拡散や政治同盟を分断するための通信チャンネルへの干渉などの秘密戦略を使用してきた立証された歴史があります。今日、その形式が仮想的になり、ロシアにとっては、より戦略的な目標へのアクセスとより優れたインテリジェンスを得るなどの幅広い目標を達成するためのプラットフォームを立ち上げることで、合法的な企業と使用のための情報源を不正侵入することはかつてないほど容易になっています。2月16日、CISAAlert AA22-047Aは、ロシアが前述の戦術を使用して小規模な防衛関係の請負業者へ不正侵入することに集中し、2020年1月以来アメリカの防衛ネットワークから機密性の高い情報をどのように入手していたかを詳細に説明しています。

セキュリティの専門家は、「サイバー戦争」とみなされるかどうかに関わらず、攻撃の増加の可能性に対し用意を整える必要があります。多くの組織にとってこれは難しい課題で、すでにサイバーリスクの管理は複雑で圧倒的な問題でとして立ちはだかっているのです。以下に、お客様の組織に不正侵入が起こる可能性を劇的に低下させるためにセキュリティリスクポスチャを簡素化し改善するために行くつかのガイダンスを紹介します。 

サイバーリスクを低下することで攻撃から組織を防御

ロシアのウクライナへの進出から生じる政治的緊張の影響を予測して、1月に公表されたCISA Alert AA22-011Aでは、アメリカのサプライチェーンに対する将来のサイバー攻撃の差し迫った脅威に対して組織はそのセキュリティポスチャを強化すべきだと勧告しています。このアラートは、ロシアの支援を受けたアメリカの重要なインフラストラクチャへの報復攻撃の可能性を警告しており、昨年マスコミに大きく取り上げられたColonialパイプラインの閉鎖を凌ぐ可能性があります。CISA、FBIとNSAは、アラートと共に AA22-011A Joint Cybersecurity Advisory, Understanding and Mitigating Russian State Sponsored Cyber Threats to U.S. Critical Infrastructureを公表し、これにはそのセキュリティポスチャを強化することを求めている企業へのガイダンスと推奨事項が掲載されています。要約すると、これらの政府関係企業は以下について幅広い助言を提供しています： 

1. 準備を万端に。（重要な事業とセキュリティ継続プランを策定）
2. 組織のサイバーポスチャを強化。（強力なセキュリティ慣行、ポリシーとテクノロジーを実装）
3. 組織的な警戒を高める。（常に情報を入手）

CISAの公式チェックリストを使用することで、組織は、現在のセキュリティポスチャを評価する場を得て、ゼロトラストアーキテクチャを実装し、脅威ハンティングの優先順位を付け、最先端の脅威インテリジェンスの主要な情報共有源を活用する助言を用いて防御を固め始めることができます。組織のセキュリティポスチャを向上し、強力な慣行とプログラムを開発するための組織の共通の使命をサポートしているZscalerには、Zscalerのお客様に革新的なソリューションを提供しセキュリティ実現を簡素化し、幅広いサイバーリスクの削減を加速するインテリジェンスを提供することに関して折り紙付きの実績があります。

サイバー攻撃を防御するためにゼロトラストアーキテクチャを実装する

巻き添え被害から組織を保護するには、サイバーリスクに対処するためのしっかりとした土台を築き、攻撃ベクトルを排除することが重要です。特定の種類の脅威を防御できる既存のセキュリティツールは多くありますが、完全なゼロトラスト戦略を実装することが全体的なリスクを削減する上で最も効果的な方法です。

Zscalerは組織がゼロトラストを採用するお手伝いをしています。ユーザーとワークロード向けのZscaler Zero Trust Exchangeは、お使いの社内と社外のアプリケーション全体へのアクセスを安全に保護するためサイバー防御とユーザーエクスペリエンスを強化し、以下をサポートします：

• 攻撃対象の最小化。アプリがインターネットで見えないようにし、発見できなくする。
• セキュリティ侵害を防止。完全なインラインインスペクションと世界最大のセキュリティクラウドからの脅威インテリジェンスを使い攻撃を阻止 
• 水平方向の移動を阻止ネットワークを公開せずに、ユーザとデバイスを直接アプリに接続することが可能。
• データ損失の阻止。データ窃取と管理されたデバイスと管理されていないデバイス、パブリッククラウド、SaaSの偶発的な公開を防止。 

ランサムウェアの攻撃チェーンを考慮：まず、攻撃者はアセットとセキュリティ管理を理解するために偵察を行います。次に、攻撃者はシステムを侵害し（おそらく、フィッシング、エクスプロイトあるいはクレデンシャルスタッフィングを使用する）、横方向に移動して特権を昇格し、できるだけ多数のシステムを感染させ、恐喝の目的で使用したいデータをひそかに抽出し、そしてデータを暗号化します。

ゼロトラストは、インスペクションとポリシー駆動型の条件付きアクセスを使用し、これら各ステップそれぞれの成功を最小限に抑え、耐性を最大化します。上記の例では、Zscaler Zero Trust Exchangeが、攻撃対象領域を隠し、すべてのトラフックをインスペクションして解析し、侵入と、攻撃者が水平方向に移動するのを防止し、機微なデータがコンマンドサーバーとコントロールサーバーから流出するのを阻止します。これらの多層構造の防御はランサムウェア攻撃チェーンのすべての段階を邪魔し、攻撃者が害を及ぼす前に迅速に発見し、高度な脅威のアクターを阻止します。 

ゼロトラストアーキテクチャを利用することでサイバー攻撃を防御しセキュリティポスチャを強固にする方法の詳細は、 このページにアクセスしてください。

脅威ハンティングは、成熟したセキュリティ戦略の重要な部分

ランサムウェアに成りすますワイパー型マルウェアであるWhisperGateのような新種の脅威が常に数多く発見されている中で、可視性を強化し、新種のエクスプロイトや高度な脅威行動を検知するための専門家の判断が必要です。大多数のセキュリティチームには、脅威ハンティングのための専任の人員がおらず、そのため、通常は、組織全体の主要なメンバーが、その場限りもしくは定期的に脅威ハンティング活動を行うように計画しています。この戦略を成功させるには、チームが発見したことを検証し状況を解釈できるようにする追加のインサイトを活用することが重要です。Zscalerのお客様は、世界最大のセキュリティクラウドであるZscalerクラウドからリアルタイムのテレメトリにアクセスでき、脅威ハンティングプログラムが、順調に進捗しセキュリティプログラムの隙間を埋めるために必要な環境を用意することができます。

信頼できる情報源を活用する

信頼できる情報源からの最新情報を利用して最近の発見と進歩を常に把握しておくことが不可欠です。CISAは、新しいセキュリティ対策や脅威に関する通知を受信するために、そのメーリングリストとフィードの購読を推奨しています。Zscalerが、お客様と大規模なSecOpsコミュニティをサポートする一つの方法として、ThreatLabzからの最新のセキュリティ調査の結果を共有することが挙げられます。チームが信頼できる情報源からインテリジェンスを収集し選別する方法や、最も効率的な方法で重要なアップデートを可能にするように対応する方法を含めた公式なSecOpsプランを制定することが重要です。ThreatLabzの持つ多数のリアルタイムのサンプルに及ぶ継続的な脅威調査における発見に裏付けられた Zscaler Security Advisoriesからの最新の脅威を調べ、重要な見識を発見いただけます。

Zscalerは、お客様のセキュリティを一緒に守ります

セキュリティ環境がますます複雑さを増し、新しい脅威が世界中で進化を遂げている中で、Zscalerのチームは、お客様の組織を安全に保つ最適な方法に関して方向性とガイダンスを提供しています。政治的な紛争問題に直面する中、Zscalerのミッションは、世界で最先端の脅威に対抗して防御を固めるという困難な任務を負っているサイバーセキュリティの専門家コミュニティ全体をサポートすることです。このため、Zscalerは、Zscalerのお客様とコミュニティ、そしてすべての人々、インフラストラクチャ、サプライチェーン、そして皆が保護するサービスを安全に保つため、精力的な研究、タイムリーな情報共有と迅速な評価に専念し続けます。

ウクライナへのサイバー攻撃の詳細は、以下にアクセスしてください：

ThreatLabz 技術分析: HermeticWiperとウクライナへの標的型攻撃の再発

ThreatLabz 技術分析: HermeticWiperにリンクしたPartyTicketランサムウェア