チェコとドイツは、ロシアのAPT28によるサイバースパイ活動の標的になった。チェコ共和国外務省は、Microsoft Outlookのセキュリティ脆弱性CVE-2023-23397を悪用され、国内組織が攻撃されたと述べた。この脆弱性は、特権エスカレーションのバグで、Net-NTLMv2ハッシュへのアクセスと中継攻撃による認証が可能である。

APT28の活動に対し、EU、NATO、英国、米国から非難が相次いだ。NATOはロシアのハイブリッド行動が安全保障に脅威をもたらすとし、EU理事会はロシアの無責任なサイバー行動のパターンを指摘した。米国務省はAPT28を悪質な行動を行う存在として非難し、安全保障と国際秩序の保護に尽力していると述べた。

ロシアのサイバー脅威活動は、データ窃盗、破壊的攻撃、DDoSキャンペーン、影響操作を含み、選挙にリスクをもたらす。APT28は2016年の米国大統領選挙前に民主党組織やキャンペーン委員長のアカウントを侵害し、リークキャンペーンを行った。スウェーデンのNATO加盟後にはDDoS攻撃が急増し、フィンランド加盟時と同様のパターンが観察された。

プロロシアのハクティビストグループは、2022年以来、産業制御システム（ICS）や運用技術（OT）システムへの攻撃を続けている。攻撃対象は、水と廃水システム、ダム、エネルギー、食品・農業部門などの重要インフラセクターである。これらの攻撃は、リモートアクセスの獲得、パラメータの改ざん、アラーム機構の無効化、管理者パスワードの変更によるオペレータのロックアウトなどを含む。対策としては、人間と機械のインターフェースの強化、OTシステムのインターネット露出の制限、強力かつ一意のパスワードの使用、OTネットワークへのアクセスに対する多要素認証の実装が推奨されている。

【ニュース解説】

チェコ共和国とドイツが、ロシアに関連する国家支援型ハッカーグループAPT28による長期にわたるサイバースパイ活動の標的となったことが明らかになりました。この攻撃は、Microsoft Outlookに存在したセキュリティ脆弱性CVE-2023-23397を悪用することで実行されました。この脆弱性を利用することで、攻撃者は特権エスカレーションを行い、Net-NTLMv2ハッシュを取得し、中継攻撃によって認証を行うことが可能になります。

この攻撃は、政治的なエンティティ、国家機関、そして重要なインフラに対するものであり、民主的プロセスと自由社会の基盤を脅かすものとして非難されています。APT28は、ロシア連邦軍情報局GRUの軍事部隊26165に関連していると評価されており、サイバーセキュリティコミュニティ内では複数の名前で知られています。

この事件は、EU、NATO、英国、米国からの非難を受けており、ロシアのハイブリッド行動が同盟国の安全保障に対する脅威であるとの声明が出されています。また、ロシアのサイバー脅威活動は、データ窃盗、破壊的攻撃、DDoSキャンペーン、影響操作などを含み、特に選挙期間中には重大なリスクをもたらすとされています。

このような攻撃は、民主的な価値観や国際秩序を損なうことを目的としており、特に政治的な選挙プロセスに対する干渉を試みることで、国家間の緊張を高める可能性があります。また、APT28による攻撃は、サイバー空間における国際的な規範やルールの重要性を再確認させる出来事とも言えます。

さらに、プロロシアのハクティビストグループによる産業制御システム（ICS）や運用技術（OT）システムへの攻撃は、重要インフラセクターに対する物理的な脅威をもたらす可能性があります。これらの攻撃は、水と廃水システム、ダム、エネルギー、食品・農業部門など、社会の基盤となる部門を標的にしています。

このような脅威に対処するためには、産業制御システムのセキュリティ強化、インターネットへの露出の制限、強力かつ一意のパスワードの使用、そして多要素認証の実装など、包括的なセキュリティ対策が必要です。これらの対策は、サイバー攻撃による被害を最小限に抑えるために、国家レベルでの取り組みだけでなく、企業や組織においても積極的に実施されるべきです。

from Microsoft Outlook Flaw Exploited by Russia's APT28 to Hack Czech, German Entities.