【ダークトレース /メディアアラート/欧州 】米国中間選挙予備選が本格化、ロシアのサイバー干渉可能性とリスク管理

AIサイバーセキュリティのグローバルリーダーであるダークトレースより、メディアアラートをご案内いたします。
 
米国の上下両院議員や州知事を改選する11月の中間選挙に向け、各州での予備選が本格化する中、ダークトレースで戦術的リスク対応を統括（VP, Tactical Risk and Response）するジャスティン・フィア（Justin Fier）は今回の選挙戦に対するロシアの干渉可能性について、下記の論考を発表しました。
 
2016年、ロシアが支援する脅威者が、組織的なサイバー攻撃、データ漏えい、および偽情報キャンペーンを通じて米国の大統領選挙に干渉したとされています。このアメリカの民主主義プロセスへのサイバー侵入は、国民国家のサイバー犯罪を取り巻く変化と、破壊の強力なツールとしてのディスインフォメーション（偽情報）の台頭を示しました。もし米国が主要な大統領選挙で効果的な形で有害な干渉の犠牲になってしまったとするなら、どの国家も、そして将来の選挙も、免れることはできないでしょう。
 
注目すべきは、2016年半ばの米国民主党全国委員会（DNC）の個人データや通信の漏えい・盗難など、ロシアの勢力が米国大統領選の結果を自分たちに有利になるように影響を及ぼそうとしたことです。これらの悪意あるアクターは、アメリカ民主党と当時の大統領候補、ヒラリー・クリントン氏の権威を貶めるために、サイバー犯罪と意図的な公的欺瞞を用い、違法に入手した個人情報を公開し、クリントン陣営の信用を失墜させたのです。
 
この干渉が選挙結果にどの程度影響したかを推定することは不可能ですが、クリントン陣営に対するメディアや国民の態度には持続的な影響がありました。ロシア連邦は、トランプ大統領の誕生が彼らの地政学的目標にとってより有利、あるいはより妨害的でないことを認識し、サイバー犯罪を通じてこの結果に影響を与えようと意図的に試みたとされますが、これは危険な世界的前例となりました。
 
敵対者がサイバースペースで政治的利益を追求できるのであれば、選挙プロセスが真に公正で安全であることはもはやあり得ません。重要な米国中間選挙を今秋に控え、ロシアとウクライナの紛争が続く中、地政学的緊張はすでに高まっており、サイバー防御者は、政治プロセスを損なう試みが今度は米国議会で繰り返されることを警戒しています。
 
偽情報の台頭
インターネットに接続されたデバイスがあれば、ほぼ瞬時に情報を入手することができるようになりました。ニュースは瞬く間に広がり、情報を適切に検証・評価することは、かつてないほど複雑になっています。意図しない不正確な情報の結果であることが多い誤報や、意図的に真実でない情報を流す偽情報は、ありふれたものであり、消費者が識別することはますます困難になっています。
 
2016年の米国大統領選挙を受け、地政学上のあらゆる分野の国家が、世論形成におけるメッセージの力（真実か虚偽か）をより良く理解しています。WikiLeaksを通じて盗んだ情報をクリントン氏に不利な方法でオンライン公開したことに加え、米国大統領選挙の結果に影響を及ぼすためのロシアの努力とされるものには、クリントン氏を誹謗し、トランプ氏を宣伝する大規模なソーシャルメディアキャンペーンが含まれています。このような攻撃は、DNCやクリントン氏のEメール通信の漏えいのようにデータの盗難から始まるかもしれませんが、偽情報キャンペーンは従来のサイバー攻撃の形を取らないこともしばしばです。
 
偽情報は、旧東欧圏およびそれ以外の地域の脅威アクターにとってのツールになっています。攻撃者は、アトリビューションや発見のリスクをほとんど負うことなく、ソーシャルメディア上で嘘や誤った情報を流すことによって、メディアサイクルを形成し、政治的偏向を煽り、選挙全体を決定することさえ可能です。このような真実でない情報は、数秒のうちに何百万人もの一般市民（その多くはデジタル時代の正確なニュースを得るためにソーシャルメディアに依存している）に到達し、影響を与える可能性があります。
 
偽情報に関する規制がほとんどないため、こうしたキャンペーンを特定することは難しく、立証することはさらに困難です。そのため、サイバー犯罪者は秘密裏に活動を続け、消費者の信頼を得ることができるのです。偽情報が拡散している現在、ソーシャルメディア企業は、ユーザーが消費する情報をより良く評価できるように、プラットフォーム上に存在するコンテンツを徹底的に調査し始める必要があります。
 
ロシアは、ウクライナへの軍事侵攻に関するシナリオに異議を唱え、さらなる世界的な経済制裁を回避しようと苦闘しているため、サイバーツールボックスにあるこの以前から有効なツールに注目する可能性が高いです。今後数週間のうちに、ロシア連邦は偽情報キャンペーンを活用して、経済制裁に対する報復や経済制裁から目をそらし、中間選挙期間中に米国内の政治的分裂に火をつけ、将来の立法プロセスを混乱させるために「有利」とされる議員の選出に貢献しようとする可能性があります。
 
拡大する脅威の状況
偽情報は米国で急速に拡大している脅威ですが、サイバー防御者にとって懸念材料はこれだけではありません。米国土安全保障省傘下のサイバーセキュリティ諮問機関、サイバーセキュリティインフラストラクチャ安全保障局（CISA）は、米国の組織に対し、ロシアの国家支援および非国家支援による報復的な悪意のあるサイバー活動に対して「盾を構える」必要性が高まっていると警告を発し続けています。CISAは、ファイブ・アイズ各国の情報機関とともに、重要インフラを運用する組織に対する「破壊的なマルウェア、ランサムウェア、DDoS攻撃、サイバースパイなどの」サイバー脅威のリスクを強調しています。
 
重要インフラへの攻撃は、国家と経済の安全保障を脅かし続け、エネルギー、ヘルスケア、食糧、水といった一般市民にとって不可欠な資源へのアクセスさえも危うくします。このように高いコストがかかるため、米国の16の重要インフラ分野でサービスを提供している組織は、悪意のある、しばしば国家に支援されたサイバー犯罪者の標的となりつつあり、1回の攻撃で最大の経済的利益を得て、可能な限りの混乱と損害を与えようとします。
 
昨年、石油・ガス供給会社であるコロニアルパイプライン社が、ロシア国家の支援を受けたランサムウェア集団「REvil」によって侵害された事件は、最も肝要な重要インフラ提供者の多くがサイバー脆弱であることを証明するものでした。重要インフラを運用する組織は、情報技術（IT）と運用技術（OT）が混在していることが多く、OTとITの融合により、さらに脆弱性が高まっています。
 
こうしたデジタル環境では、従来は物理的な障壁によって改ざんやサイバー攻撃から守られていた非常に古いレガシーインフラが、ITシステムとの相互運用やインターネットへの接続によって、より効率的な運用を行うようになっています。この接続により、脆弱な産業用システムは、IT環境を標的とするあらゆる脅威にさらされることになります。コロニアルパイプライン社では、ITシステム内のデータを暗号化するランサムウェアの脅威が同社の産業用技術に広がる可能性があるため、同社はOTシステムを停止させ、さらなる混乱を防ぐために多額の身代金を支払うようにまで誘導されたのです。
 
今年2月のロシアのウクライナ侵攻以降、サイバー犯罪は急増し、このようなランサムウェアも蔓延しています。侵攻直後には、多くのサイバー専門家が予測したロシア主導の重要インフラ攻撃は実現しませんでしたが、脅威は予測した通りに広がっており、組織は「シールドアップ」を維持することが必要不可欠です。
 
ランサムウェアは減少傾向にあるとの見方もありますが、むしろ攻撃者は、既存のマルウェアを活用するための新たな方法を模索し、革新を続けている可能性が高いと考えられます。最近の報告では、ウクライナとの紛争の中でロシアへの忠誠を公言したContiのようなハッカー集団が、ファームウェアをターゲットにしてステルス攻撃を行い、サイバー犯罪者がすべてのデータを消去し、任意のデバイスに取り返しのつかないダメージを与えるか、「レンガ」にしてしまうことまで指摘されています。
 
サイバーリスクの管理
このような攻撃者の技術革新は、セキュリティ対策の更新を上回るペースで進んでいます。重要インフラ事業者を含む米国の組織や政府機関は、直接的に、またはソフトウェアのサプライチェーンや開発者のインフラにおける予期せぬ脆弱性を介して、常にサイバー脅威の犠牲になっています。これらの組織は、侵害を完全に回避することは望めませんが、国家や非国家による攻撃者の先を行くために、サイバーリスクを評価し、最小限に抑えることを優先させなければなりません。
 
米国は、敵対者が国家の安全保障、民主主義のプロセス、重要なインフラ、そしてあらゆる業界の企業を標的にし続けることを予期しなければなりません。経済不況と中間選挙が迫る中、米国は有害なサイバー攻撃を受ける余裕がない一方、すべての侵害を予期することは不可能です。その代わり、政府機関や民間企業を巻き込んで、サイバーリスクを評価し、軽減することに注力する必要があります。これらの組織は、どのような侵害があったとしても、混乱やデータ損失の可能性を低減し、ビジネスの回復力を維持することを重視すべきです。
 
米国の政府機関や民間企業は、将来のサイバー攻撃を防ぐために、積極的にシステムのハード化に取り組む必要があります。そのためには、内部および外部の攻撃対象領域を完全に可視化し、脆弱性をマッピングし、攻撃者がシステムに侵入する可能性が最も高いチョークポイントをハード化する必要があります。最終的に防衛側に優位性を取り戻したいのであれば、組織はセキュリティ強化を最優先することが必要です。
 

＜英語原文＞
The U.S. Midterm Elections Are Kicking Off: Should We Expect Russian Interference?
By Justin Fier, Vice President of Tactical Risk and Response at Darktrace
 
In 2016, Russian-sponsored threat actors allegedly interfered with the United States presidential election through systematic cyber-attacks, data leaks, and disinformation campaigns. This cyber intrusion into the American democratic process marked a shift surrounding nation-state cyber-crime and the rise of disinformation as a powerful tool of disruption. If the United States could effectively fall victim to damaging interference in a major presidential election, then no state – or future election – would be immune.
 
Notably, beginning with the compromise and theft of private data and communications from the United States Democratic National Committee (DNC) in mid-2016, Russian forces sought to influence the outcome of the U.S. presidential election in their favor. These malicious actors employed cyber-crime and intentional public deception to subvert the authority of the American Democratic Party and then-presidential candidate Hilary Clinton, releasing private, illegally obtained information to discredit the Clinton campaign.
 
While it is impossible to estimate the degree to which this interference affected the election outcome, there was a sustained impact on media and public attitudes toward the Clinton campaign. The Russian Federation’s alleged perception that a Trump presidency would prove more advantageous or less obstructive for their geopolitical goals and deliberate attempts to influence this outcome through cyber-crime set a dangerous global precedent.
 
Electoral processes can never be truly fair and secure if adversaries can pursue political interests in cyberspace. With significant U.S. midterm elections on the horizon and geopolitical tensions already high amid the ongoing Russia-Ukraine conflict, cyber defenders are wary of a repeated attempt to undermine the political process – now in the American legislature.
 
The rise of disinformation
Information is now available almost instantaneously with an internet-connected device. News spreads quickly, and adequately verifying or evaluating information is more complicated than ever. Misinformation, often the result of unintentional inaccuracies, and disinformation, the deliberate dissemination of untruths, are commonplace – and increasingly challenging for consumers to identify.
 
In the wake of the 2016 U.S. election, nation-states across the geopolitical spectrum better understand the power of messaging – true or false – in shaping public opinion. In addition to releasing stolen information damaging Clinton online via WikiLeaks, the alleged Russian effort to influence the result of the U.S. presidential election included an extensive social media campaign denigrating Clinton and promoting Trump. While these attacks might begin with data theft, as in the compromise of the DNC and Clinton’s email communications, disinformation campaigns often do not take the form of traditional cyber-attacks.
 
Disinformation has become a tool for threat actors within the former Eastern Bloc and beyond. With little risk of attribution or discovery, attackers can shape media cycles, stoke political polarization, and even decide whole elections by lying or misrepresenting information on social media. In a matter of seconds, these untruths can reach and impact millions of civilians, many of whom rely on social media for accurate news in the digital age.
 
With little existing regulation of disinformation, these campaigns can be challenging to identify and even harder to prove, allowing the cyber-criminals to continue operating in secret and earning consumer trust. At a time when disinformation proliferates, social media organizations must begin to thoroughly interrogate content present on their platforms so that users can better evaluate the information they consume.
 
As Russia struggles to challenge the narrative about its military aggression in Ukraine and avoid further global economic sanctions, it will likely look to this previously effective tool in its cyber toolbox. In the coming weeks, the Russian Federation could potentially leverage disinformation campaigns to retaliate against or distract from economic sanctions, ignite political divisions in the U.S. during midterm elections, and potentially contribute to the election of allegedly ‘favorable’ legislators to disrupt future legislative processes.
 
An expansive threat landscape
While disinformation is a rapidly growing threat in the U.S., it is not the only cause for concern for cyber-defenders. The Cybersecurity and Infrastructure Security Agency (CISA) continues to warn American organizations of the growing necessity to keep their ‘Shields Up’ against malicious cyber activity, both retaliatory and otherwise, from Russian state-sponsored and non-state threat actors. CISA, alongside its Five Eyes intelligence partners, has highlighted the risk of cyber-threats, “including destructive malware, ransomware, DDoS attacks, and cyber espionage” to organizations operating critical infrastructure.
 
Attacks on critical infrastructure continue to threaten national and economic security, even jeopardizing access to essential resources like energy, healthcare, food, and water for civilians. Given this high cost, organizations offering services in one of the United States’ 16 critical infrastructure sectors are increasingly targeted by malicious, often nation-state-sponsored cyber-criminals, seeking to maximize financial gain and exact the most disruption and damage possible from a single attack.
 
Last year’s watershed breach of oil and gas supplier Colonial Pipeline by allegedly Russian state-sponsored ransomware gang REvil, demonstrated the cyber-vulnerability of many of the most vital critical infrastructure providers. Often characterized by a mixture of information technology (IT) and operational technology (OT), organizations operating critical infrastructure are made more vulnerable by OT/IT convergence.
 
In these digital environments, incredibly old, legacy infrastructure, previously protected from tampering or cyber-attacks by physical barriers, increasingly interacts with IT systems and connects to the internet for greater efficiency. This connection exposes vulnerable industrial systems to all the threats that may target an IT environment. For Colonial Pipeline, the potential for the ransomware threat encrypting data within their IT systems to spread to their industrial technology forced the organization to shut off OT systems and even induced them to pay a substantial ransom to prevent further disruption.
 
Since the Russian invasion of Ukraine this February, cyber-crime has increased sharply, including this kind of pervasive ransomware. While the Russian-sponsored critical infrastructure attack that many cyber professionals projected immediately after the invasion never came, the threat is just as prevalent, making it necessary for organizations to keep their ‘Shields Up.’
 
Though some posit that ransomware is on the decline, it is more likely that attackers are continuing to pivot, innovate, and find new ways to leverage existing malware. Recent reports even point to hacker gangs like Conti, which publicly announced allegiance to Russia amid the conflict with Ukraine, targeting firmware to leverage stealthy attacks allowing cyber-criminals to wipe all data and irrevocable damage or ‘brick’ any given device.
 
Managing cyber risk
These attacker innovations continue to outpace updates to security posture; U.S. organizations and government institutions, including critical infrastructure operators, consistently fall victim to cyber-threats either directly or via unforeseen vulnerabilities in their software supply chains or developer infrastructure. While these organizations cannot hope to avoid a breach entirely, they must prioritize evaluating and minimizing their cyber risk to stay ahead of state-sponsored and non-state attackers.
 
The U.S. must expect adversaries to continue targeting its national security, democratic process, critical infrastructure, and businesses across industries. With a looming economic recession and ongoing midterm elections, the U.S. cannot afford a damaging cyber-attack and cannot possibly anticipate every breach. Instead, it must focus on engaging government institutions and private sector organizations to assess and mitigate cyber risk. These organizations should emphasize maintaining business resilience by reducing the potential for disruption or data loss, no matter the breach.
 
U.S. government and private institutions need to focus on proactively hardening systems to prevent future cyber-attacks by gaining complete visibility into their internal and external attack surfaces, mapping vulnerabilities, and hardening chokepoints where an attacker is most likely to breach systems. Organizations must move security to the left if we want to give the advantage back to the defenders finally.