ロシアのウクライナ侵攻がもたらしたサ イバー犯罪社会情勢の変化

脅威インテリジェンスアナリスト  エリーナ コルドブスキー

ロシアとウクライナは長きにわたり緊張関係にありましたが、2022年2月24日、ついにロシア軍がウクライナに侵攻する事態となりました。この侵攻が始まる直前、ロシアのウラジミール・プーチン大統領は、ウクライナがネオナチによって統治されているとの誤った非難を展開していました。また彼は、NATOがロシアの国家安全保障に対する脅威を形成していると主張し、ウクライナの加盟を禁止するようNATOに要請していました。

このようなロシアの挙動をうけて、多くの国々はロシアが西側諸国の組織や企業に対してサイバー攻撃を仕掛けてくる可能性があると推測し、米国にいたっては、NATOがロシアのサイバー攻撃に備えることができるよう「セキュリティ担当機関の幹部」を派遣しました。しかしこういった予想に反して、ロシアが大規模なサイバー攻撃を実行することはなく、ウクライナや欧州の国々が懸念していた大規模なサイバー攻撃は、過度な心配であったことが明らかとなりました。それでもロシアはウクライナの政府機関やインフラ、電気通信企業、その他の組織に対し、大規模な攻撃の代わりにDDoS攻撃やワイパー攻撃を実行しています。一方ウクライナは、自国防衛を目的として有志による「IT軍」を立ち上げ、今日にいたるまで世界中のハクティビスト組織とともにロシアの企業や組織を攻撃しています。

そしてこういった変化の波は、アンダーグラウンドのサイバー犯罪社会にも訪れています。以前は存在していなかった新たな違法サービスが登場し、政治に無関心であったはずのサイバー犯罪フォーラムで戦争に関する議論が交わされ、ハクティビストがロシアの有名なランサムウエアグループのソースコードを使用してロシアの企業を攻撃するなど、もはやサイバー犯罪社会の情勢は、これまでとは大きく様変わりしています。

今回のレポートでは、ロシアのウクライナ侵攻により、アンダーグラウンドのサイバー犯罪社会に生じた様々な変化を検証します。サイバー犯罪社会における繊細な地政学を理解し、現実社会に生じた危機がアンダーグラウンドのサービスやビジネスチャンスにどのような影響を与え、新たなトレンドを生み出すのかを理解する一助としてご活用ください。


「非サイバー関連」サービスの出現

アンダーグラウンドのサイバー犯罪社会は、一般的に違法とされるサービスを提供していることで知られており、そういったサービスの中には人倫に背くようなものもあれば、他では手に入らないようなものもあります。これまでアンダーグラウンドで提供されてきたサイバー関連以外のサービスや商品としては、金銭で雇われる殺し屋や臓器売買などのサービス、武器や文書、ドラッグ、クレジットカードの販売などが挙げられます。しかしロシアによるウクライナ侵攻によって新たな制限や禁止令が課された結果、これまでになかった種類のサービスが登場しました。大抵、違法なサービスというものはその分野と関連のあるソース(ダークウェブのマーケット「ASAP Market」など)で販売されるものです。しかし興味深いことに、ウクライナ侵攻後はハッカーフォーラムやカーディングフォーラム、ハッカー関連フォーラムなどで、違法サービスに対するニーズが多数確認されました。


ウクライナからの脱出方法

2022年2月24日、ウクライナでは侵攻が始まってわずか数時間後に戒厳令が敷かれ、同国の国家国境庁が18歳から60歳までの男性の出国を禁止すると発表しました。そのような状況下で、多くの男性が戦争地帯を離れて愛する人と安全な場所へ避難したいと願った結果、「ウクライナの国境を超える手段」という、それまでにはなかった新たなニーズが生まれました。

アクター「wwostok55」がロシア語話者用フォーラム「Dublikat」に掲載した投稿。「18歳以上の男性1人と1歳の子供がウクライナからEU諸国へ脱出できる方法」を購入すると語っている(KELAのサイバー犯罪インテリジェンスプラットフォームより)。



ウクライナ脱出支援に関するリクエストが確認されたのは、主に侵攻直後の時期であるものの、ウクライナで立ち往生している人々は現在も国境を超える手段を模索しています。



ユーザー「morganchase1592」が、ロシア語話者用フォーラム「Dublikat」でウクライナを出国する手段を探している投稿。
「もし手段があるならダイレクトメッセージを送ってくれ。価格が8,000ドル以下ではあわない。それと、もし誰か森や畑を
横断できた人がいるなら、ダイレクトメッセージを送ってくれ」


このような越境に対するニーズが生まれると、それに対する供給もすぐに登場しはじめました。そして、これまではクレジットカード詐欺や不正行為に従事していた多数のアクターが、今度は国境を超える手段を売り出すようになったのです。


かつて米国や欧州の使用済みクレジットカードを探していたことが確認されているアクター「stunt11」が、ウクライナの国境を
超える方法を売りに出している投稿。「1万ドル。支払いは越境後。興味があるならダイレクトメッセージで連絡のこと」


2022年4月29日、ユーザー「Kuklus_One71」がロシア語話者の集うフォーラム「WwhClub」に、「男性のウクライナ脱出サポート」を販売するとのメッセージを投稿しました。彼はウクライナを離れる男性を支援しており、地図を使う、または国境警備隊と連携するなどの方法を駆使して「顧客」に国境を越えさせると説明していました。またガイドに越境を先導してもらう方法があるとも記載しており、その際には費用がより高額になるということでした。


ユーザー「Kulkus_One71」が、ウクライナの国境を超えるサービスを売りに出している投稿


送金サービスに対するニーズ

ロシアとウクライナは国境を共有していますが、その事実に加えてソビエト連邦時代に存在した移民政策や、ロシア帝国時代に導入された様々な政策が、両国の社会、政治、経済、文化面におけるを育み、また両国民の間にも多くのつながりを生み出しました。実際、ウクライナとロシアでは、国境の反対側に親戚や友人が住んでいることが多く、また両方の国で事業を行っている企業も数多く存在します。

ウクライナ侵攻が始まるとロシアは、国民が外国の政府や組織、そしてそれらの代表者に対し、財政的、物的、技術的な支援を提供することを禁止する一連の法律を可決しました。新たな法の下では、そのような支援はロシア連邦の安全保障に反する活動とみなされ、最大20年の懲役刑が科されます。同様に、ウクライナでもロシア及びベラルーシからの送金と、ロシアルーブル及びベラルーシルーブルでの送金を禁じています。その結果、ロシアの国民はウクライナに住む親戚や友人に経済的サポートを行ったり、ウクライナの国民や企業とビジネスを行うことが法律上できなくなりました。そのため彼らは、ロシアからウクライナへ送金する代替手段を探しています。


2022年4月12日、ユーザー「Heisenberg112」がロシア語話者用カーディングフォーラム「CCCC」で、
ロシアからウクライナへ送金する手段を探している投稿


さらに2022年3月1日、ロシアは、個人がロシアの銀行にある自分の口座から、1万米ドル以上(または外国通貨でこれに相当する額)の資金を海外口座に移したり、海外に居住する人物に送金することを禁止する法令を発行しました(現在この上限は5万米ドルに引き上げられています)。その結果、貯金を持って国外に脱出したいと切望している多くのロシア人が、国外に送金する手段として暗号資産に注目するようになっています。


2022年5月2日、ユーザー「Middas」がフォーラム「CCCC」に掲載した投稿。約50万ロシアルーブルをトルコに送金するため、まず最初にロシアでルーブル資金をビットコインに変換し、その後トルコで米ドルに変換するという必要があるものの、どうすればビットコインの取引所に「台無し」にされずに実行できるかと尋ねている。


2022年4月16日、ユーザー「Empty14」がロシア語話者用ハッカーフォーラム「Exploit」に掲載した投稿。ロシアから
セルビア、またはフィンランドへ送金する方法について質問している。これに対し複数のユーザーが、資金を暗号資産に
変換し、P2P暗号資産取引所を使うよう提案している。


ロシアが国民に課した制限措置に加え、世界がロシアに対して行った制裁も、個人が行うロシアへの送金方法に影響を及ぼしました。まずEUとその同盟国が、ロシアの複数の銀行をSWIFT(迅速な国際送金を可能にする国際決済システム)から外し、ロシアの国際的な活動能力に打撃を与えました。次いで国際送金サービス事業者「Western Union」社が、3月24日からロシア及びベラルーシ国内の送金業務を停止すると発表しました。これに加えてWise社やRemitly社、Visa社、Mastercard社をはじめとする企業がそれぞれ独自の制限を追加した結果、ロシアへの送金はもはや不可能ともいえる状態になりました。現在、海外からロシアへ送金しようとする人々の多くは、暗号資産取引所を介した送金方法を模索しており、アンダーグラウンドのサイバー犯罪社会で情報を探しています。


2022年5月5日、ユーザー「21twentyone」がロシア語話者用フォーラム「lolzteam」で、米国からロシアに送金する方法
について質問している投稿。この質問に対する回答の大半は、暗号資産を使うよう提案している。


送金は、法を順守して素朴な生活を送る人々はもとより、サイバー犯罪者にとっても不可欠な行為です。ロシアは長年にわたり、ロシア国外を標的としている限りはサイバー犯罪者の違法行為に目をつぶることで知られており、その結果ロシアは「サイバー犯罪天国」と化していました。しかしロシアのウクライナ侵攻と、プーチン大統領を国際社会から隔絶しようとする世界的な試みが、サイバー犯罪者にも制裁をもたらすこととなりました。

例えば2022年4月5日には、ドイツの法執行機関と米司法省が、ロシア最大のサイバー犯罪マーケット「Hydra」を閉鎖しました。その他2022年4月3日には、米財務省外国資産管理室(OFAC)が、ロシアのサイバー犯罪活動と関連のある暗号資産のアドレス100件超に制裁を科しました。これに加えて暗号資産取引所「Garantex」も、サイバー犯罪者の違法取引を助長したとして制裁を科されました。今やこれらの制裁は、サイバー犯罪者が不法行為で得た暗号資産を他の通貨に交換しようとする際の妨げとなっており、サイバー犯罪者も自分達が商品を販売して不法に稼いだ金銭を送金するために、別の方法を模索せざるを得ない状況に追い込まれています。


2022年4月13日、ユーザー「richy」がロシア語話者用マーケットプレイス兼フォーラム「RuTor」に掲載した投稿。
今はなきマーケットプレイス「Hydra」の代わりを見つけようと提案している。この投稿は、代わりのプラットフォームの
あるべき姿や、そもそも代わりのプラットフォームを作成する必要性があるのか等、大きな議論を巻き起こした。


多くの人が送金手段を模索してはいるものの、これまでのところ、アンダーグラウンドのサイバー犯罪フォーラムでそのようなサービスが提供されている状況は確認されませんでした。また送金手段について質問している投稿に対しては、暗号資産取引所など正規の手段を利用するようアドバイスする回答が大半を占めています。しかし、今後ロシアで暗号資産取引所に対して制裁が科された場合には、アクター自身も暗号資産以外の送金方法を利用せざるを得なくなるかもしれません。そうなった場合には、サイバー犯罪社会で何らかの送金方法がサービスとして登場する可能性が考えられます。


VPNサービス

ウクライナ侵攻を開始して間もなく、ロシアは今回の戦争を理由に検閲法を可決しました。その中にはウクライナ侵攻を「戦争」と呼んだり、この戦争に関する「フェイクニュース」を流した個人や組織に対し、最大15年の懲役刑を科す法律も含まれています。またMetaのサービスであるFacebookやInstagramも禁止され、その結果ロシアでのVPNサービスに対する需要が1,000%超で増加しました



アンダーグラウンドのサイバー犯罪サイトのユーザーは、そこで主流となっている活動の性質から考えて、大半がVPNサービスに精通しているはずです。それにもかかわらず、2022年2月24日にロシアがウクライナ侵攻を開始してから2022年5月11日までの期間、我々の監視するロシア語話者サイトで、VPNサービスに関する投稿の件数が急増したことが確認されました(ウクライナ侵攻前の2021年12月10日~2022年2月24日の投稿件数との比較)。


2022年3月11日、ユーザー「Old_Yoda」がフォーラム「Exploit」に投稿したメッセージ。ロシアのインターネット主権法(ロシアを海外のインターネットから遮断することを目的として2019年に可決された一連の法律)関連プロジェクトが現実になりつつあるとして、この問題を回避する方法を議論しようと提案している。この投稿により、ロシアで利用可能なものやブロックされているものも含め、様々なVPNサービスに関する議論が交わされた。


マルウエア、フォーラム、ランサムウエア

旧ソビエト連邦諸国は、サイバー犯罪者の起訴・有罪判決率の低さから、サイバー犯罪の温床とみなされています。ロシアは、そういった「サイバー犯罪天国」として最も有名な国ですが、ウクライナも有名な国の1つとして知られています。したがってロシアのウクライナ侵攻が、ウクライナに居住するサイバー犯罪者に一定の影響を及ぼすことは、当然の流れでもありました。


情報窃取マルウエア「Raccoon Stealer」の活動停止

Raccoon Stealer」を運営していたグループも、ロシアによるウクライナ侵攻の影響を受けました。Raccoon Stealerは情報窃取型トロイの木馬であり、マルウエア・アズ・ア・サービスとして週75米ドルまたは月200米ドルで提供されていました。このサービスに申し込んだ脅威アクターは、Raccoon Stealerのカスタマイズ、窃取データの取得、新たなマルウエアビルドを作成する管理パネルの利用といった機能を使用することができました。またこのRaccoon Stealer は広範な情報を窃取する機能があったことから、脅威アクターの間でも高い人気を誇っていました。しかし2022年3月2日、Raccoon Stealerを運営するアクターが、オペレーションを停止するとのメッセージを複数のロシア語話者用ハッキングフォーラムに投稿しました。また彼らはその理由として、主要な開発者が「特別作戦」のせいで「グループにいなくなった」ことを挙げており、それらの人物については恐らくウクライナで殺害されたものと思われます。


「親愛なる顧客の皆さん、残念ですが、我々は「特別作戦」のせいでRaccoon Stealer プロジェクトを閉鎖しなければならなくなりました。この製品のオペレーションで重要な部分を担当するチームメンバーが去ってしまったのです。このプロジェクトを閉鎖することは非常に残念ですが、Raccoon Stealerを安定的に運営することが物理的に不可能になってしまいました」
(原文からの翻訳)


Raccoon Stealerのオペレーションが停止したことを受け、脅威アクターらは類似のサービスである「Mars Stealer」に移行しているようです。その他にも「Vidar」が、Raccoon Stealerに代わる選択肢として浮上しています。


2022年4月7日、ユーザー「v3n0m1」がフォーラム「Exploit」に掲載した投稿。「Raccoon Stealerの類似品を探している。Raccoon Stealerが終わってしまった今は、どのマルウエアでもいいからとにかく探しているんだ」


「旧ソビエト連邦諸国が一致団結したフォーラム」ではなくなった「XSS」

XSSは、エクスプロイトや脆弱性、マルウエア、ネットワークへの侵入に関する知識を共有するために立ち上げられたロシア語話者用のサイバー犯罪フォーラムであり、高い人気を誇っています。同フォーラムでは長年にわたり、ユーザーが「人種差別的、国家的、政治的、宗教的プロパガンダ」などに関連する政治的議論を行うこと、またロシア及び旧ソビエト連邦内(FSU)で違法行為を行うことを禁じていました。


フォーラム「XSS」で明示されているルール


しかし我々は、最近同フォーラムのユーザーの間で「ウクライナは少し前から旧ソビエト連邦の国ではなくなっていた」との主張や、「ウクライナは西側の国だ」という発言がなされており、またウクライナへの攻撃が容認できるものかについての議論が起こっていることを確認しました。この流れは主要なメディアの間だけではなく、今やサイバー犯罪フォーラム内でもロシア人のウクライナに対する認識が変化していることを表しています。


「フォーラムの仲間に質問がある。最近の事件に関与している国のアクセスを販売したら問題になるだろうか?
管理者は怒るだろうか?管理者の意見を聞きたい」


XSSのモデレーター「moderator」からの返信。「ウクライナのアクセスを販売することは禁止されている。旧ソビエト連邦や兄弟国に関する議論を始めるつもりはない。さもなければ20ページを超える政治的議論が始まることになるだろう。そういった行為はとにかく禁止している。ジョージアについても同じく。バルト諸国については許可している」


一方を支援するランサムウエアグループやその他のサイバー犯罪グループ

ロシアによるウクライナ侵攻を受けて、一部のランサムウエアグループがいずれかへの支持を公に表明した一方で、中立の立場に留まることを選択したグループもありました。

その1例を挙げてみましょう。Contiはロシア政府に対する支持を表明し、ロシアのインフラを標的とする者のインフラを攻撃すると脅迫しました。Contiは、ロシア語話者が運営するランサムウエア・アズ・ア・サービス(RaaS)オペレーションであり、ランサムウエアオペレーション「Ryuk」の後継であると考えられています。Contiのサービスを利用してランサムウエア攻撃を行った場合、受け取った身代金は攻撃を指揮したアフィリエイトとContiのマネージャーの間で分配されます。Contiのアフィリエイトは多くの場合、標的とする企業のデバイスをBazarLoaderまたはTrickbot(不正アクセスしたシステムへのリモートアクセスを確立する機能があるマルウエア)に感染させ、その後ネットワークを侵害します。またContiとそのアフィリエイトについては、ロシアの企業を標的にしないが故に、ロシアで自由に活動できていると言われています。

Contiがロシアを支持する発表を行った数日後の2022年2月27日、ウクライナ人研究者と思われる人物がContiのグループ内の会話をリークしました。またこの時リークされた情報の中にはContiのソースコードも含まれており、このソースコードは後にハッカーグループ「NB65」がロシアの組織を攻撃する際に利用されました。2022年4月、NB65がContiのソースコードを使ってロシアの組織に不正アクセスし、ウクライナ侵攻に対する報復としてデータを窃取し、オンライン上で公開したのです。まさに、ロシアが自国のランサムウエアグループのソースコードで攻撃されるという皮肉な事態となりました。


Contiがロシアの支持を表明している投稿(Contiのデータリークサイト)


興味深いことにロシア・ウクライナ間の戦争に触れるContiの言葉使いにも、この数カ月の間に変化が生じています。2022年3月31日、同グループは「『2日以内の制圧』の2カ月目を迎えたぞ」と投稿していました。ロシアはキーウを2日で制圧できると考えていたものの、その計画が実現することはなく、キーウが陥落することはありませんでした。Contiは自らをキーウのその状況になぞらえて、「自分達は何者かに内部情報をリークされたが、それでもリーク直後にオペレーションを終了することなく現在も活動している」ということをほのめかしていたのです。

その他にはCoomingProjectも、ロシアを支持すると決めたグループの1つでした。CoomingProjectはデータリークサイトを運営しており、そのサイトについては「ランサムウエアと関連がある」と主張しています(ただしこれまでのKELAの調査で、同グループがランサムウエアグループやハッカーグループのプロファイルとは一致しないことが判明しています)。CoomingProjectは2022年2月25日に発表した声明の中で、ロシアに対してサイバー攻撃が行われた場合は、「ロシア政府を支援する」と述べていました。これを受けて2022年2月27日、通常は中国共産党とつながりのある企業や、中国政府を標的としているハッカーグループ「AgainstTheWest」が、CoomingProjectを攻撃したと主張しました。なおAgainstTheWestによると、CoomingProjectはフランス在住の10代及び若い成人6人で構成されたグループだということでした。またAgainstTheWestは、様々なロシア企業を攻撃したとも主張していました


CoomingProjectがロシア政府の支持を表明している投稿


その他のランサムウエアグループは、中立の立場を維持したいと考えているようです。例えばランサムウエアグループ「LockBit」は2022年2月27日、自分達は「全員単純で平和な人間」であり、自分達の活動は「単なるビジネスだ」と語っていました。さらに彼らは、「いかなる状況においても、いかなる国の重要インフラに対する攻撃にも参加しない」とも述べていました

その他に中立でいることを選んだランサムウエアグループは、「ALPHV(別名BlackCat)」です。2022年2月28日、同グループのメンバーが内部用のサポートチャット経由で、「Contiやその他の個人、グループが、我々共通のエコシステムに政治を持ち込んだことを断固非難する」とのメッセージを公開しました。また彼らは、「インターネットは政治の場所ではないし、インターネットの影の側面はなおさらだ」とも述べていました。


結論

ロシアによるウクライナ侵攻は数千人もの死者を出し、数百万人が国外脱出を余儀なくされるなど、関係する人々の生活を永久的に変えることとなりました。アンダーグラウンドのサイバー犯罪社会は、普通の生活を送るほとんどの人とは接点のない、ある種並行した領域にあるものと考えられがちです。しかし今回世界に生じた深刻な変化は、これまで法を順守して素朴な生活を送ってきた人々が、数カ月前までは単なる日常の行為とみなされていたはずの活動を行うために、違法サービスをも模索しなければならなくなるという状況を生み出しています。ウクライナからの脱出や、ロシアの友人から送られる金銭の受取を切望するウクライナ人、戦争について声を上げ、海外への送金やロシアからの脱出を望むロシア人は、まさにそういった状況に追い込まれています。そしてその一方で、サイバー犯罪者の集うフォーラムやコミュニティの情勢にも、似たような影響が生じているようです。戦争は、ハッカーや脅威アクター、サイバー犯罪者が関与すべき領域ではないと考えられているものの、今や彼らも今回の侵攻の影響を受けており、戦いで命を落とす可能性もあるのです。

世界情勢の傾向について理解を深めるとともにその変化に精通し、世界的な問題の最新情報を得ることで、アンダーグラウンドのサイバー犯罪社会におけるトレンドや変化をより正確に理解することが可能となります。KELAの包括的なプラットフォームは、インターネットの世界でもアクセスすることが困難な領域に存在する動的なソースからリアルタイムにデータを取得し、アンダーグラウンドのサイバー犯罪社会の深堀調査、詳細分析、インテリジェンス検証を支援しています。皆様が脅威の先を見越した対策を取り、サイバー犯罪者が使用する最新の戦術を知り、自らを守る取り組みを実行するための一助として、弊社のプラットフォームを是非ご活用ください。


KELAのサイバー犯罪調査プラットフォームの14日間トライアルに是非お申し込みください。