ブログ(脅威調査)

問題の枠組み:サイバー脅威と選挙

2019年、カナダ、ヨーロッパの諸国では、重要な選挙が行われる予定です。そのような中、選挙を妨害したり攻撃したりするサイバー空間を利用した脅威の存在が、世界中の政府や国民に知られるようになってきています。サイバー攻撃から選挙を保護するためのソリューションやセキュリティ・プログラムを開発するには、まず脅威を適切に分類することが重要です。このブログ記事では、これまでFireEyeが観察した選挙に対するさまざまな脅威を調査し、これらの攻撃を分類するために組織に役立つフレームワークを提供します。

選挙のエコシステム:標的

FireEyeはこれまで、選挙に関係して標的にされた、さまざまな組織を観察してきました。これらの企業は、選挙のプロセスに対する役割および重要性から、選挙のコアとなるインフラ、選挙陣営に関与する支援組織、選挙のプロセスに参加する役割を持つグループの3つのカテゴリーに分類することができます。これらのすべての組織は、選挙のプロセスおよび参加者に影響を及ぼしたり、それらの情報を収集したりするためのさまざまな理由から、標的にされる可能性がありました。

最初のカテゴリ(図のブルーの部分)において、FireEyeは標的にされる組織のごくわずかな兆候を認識しています。とはいえ、国または地域の主要な選挙において、投票を記録したり集計したりするためのシステムまたはハードウェアに攻撃者が侵入し、選挙のプロセスを操作したという直接的な証拠を、FireEyeは観察していません。これらのシステムは複雑すぎて、FireEyeはシステムがまったく侵害されなかったと断定的に述べることはできません。

図のグレーの部分を見ると、このカテゴリーに分類される組織は、選挙の管理に関与する組織が含まれます。これらの組織は、投票システムおよび集計プラットフォームとは別個にネットワークを維持する一方、選挙を監督し、結果を国民に伝える際に重要な役割を果たします。インテリジェンス収集を目的にするようなケース、または干渉工作の一環として、公開されているシステムで偽の情報を取り入れたり表示したりするようなケースなど、FireEyeはこれらのさまざまな組織への侵害を目の当たりにしました。

最後に、FireEyeは、選挙のキャンペーンやニュース報道に関与する組織が標的にされたことを観察しました。FireEyeが目の当たりにした戦術には、攻撃者が維持するインフラやソーシャル・メディア・プラットフォーム上での偽情報キャンペーンが含まれています。例えば、2017年8月には、サハラ以南のアフリカの国の大統領選挙に先立ち、合法的な地域や国際的なメディア組織を模倣して作成されたいくつかの偽のニュース・サイトを観察しました。偽造ドメインのサブセットは、同じ攻撃者によるものではないにしても、対抗陣営の大統領指名者の信用を失墜させようとして、互いに協力して作成されているように見えました。

脅威活動

反撃したり、選挙のリスクを軽減したりするには、特定の活動や意図を適切に分類することが重要です。「選挙妨害」のような用語は、この分野でのすべての脅威を説明しようとして頻繁に使用されますが、FireEyeが目の当たりにした不正な活動のいくつかは、この定義の範囲外になると考えられます。選挙に関連する脅威の大半は、4つのカテゴリーに分けて考えることができます。すなわち、ソーシャル・メディア関連の偽情報、サイバーエスピオナージ、「ハック・アンド・リーク」キャンペーン、そして重要な選挙インフラに対する攻撃です。

  • ソーシャル・メディアを利用した偽情報:このカテゴリーには、ロシア関連のInternet Research Association(IRA)およびイランによるさまざまな偽情報操作からFireEyeが追跡した活動を含みます。いくつかのケースでは、論争中の問題に関する不正なコンテンツを作成し、ソーシャル・メディア・プラットフォーム全体でそれをプロモーションしようとしていました。他のケースでは、偽情報キャンペーンは、有料でない既出の記事の拡大に注力していました。これらのキャンペーンのいくつかは、特に注目される選挙イベントのない選挙の前に、ソーシャル・メディア・プラットフォーム上で政治的に動機付けられたメッセージングに関与している可能性もあります。
  • サイバーエスピオナージ:ロシアが関与するAPT28やSandworm、中国が関与するAPT40のような国家レベルの攻撃グループは、選挙エコシステムにおけるさまざまなタイプの標的に対してサイバーエスピオナージ操作を行っています。これは、政治のキャンペーンから選挙委員会まで、さまざまな理由で、あらゆるものへの侵入に及んでいます。いくつかのケースでは、これらの攻撃グループは、候補者や政党の政策スタンスに関する情報を入手しようとしている可能性があります。特に選挙管理者またはシステム・ベンダーに対する他のケースでは、これらの侵入は、ネットワーク・レイアウトを理解してさらに重要なインフラに移動できるようにする、さらなる攻撃の偵察である可能性があります。
  • 「ハック・アンド・リーク」キャンペーン:FireEyeが観察した攻撃グループの中には、エスピオナージ活動による侵入で入手したデータを活用し、世論の認識に影響を及ぼすことを意図してその情報を漏洩したものもあります。このようにして、攻撃グループは、先に説明した2つのカテゴリーの活動を組み合わせます。特に、この戦術は、2016年の米国での選挙において、Guccifer 2.0およびDC Leaksによって採用されました。いくつかのケースでは、同様の戦術により、侵害されたインフラを活用して偽情報を操作しています。たとえば、2014年のウクライナ大統領キャンペーンでは、ロシアが関与する攻撃グループが、侵害されたウクライナ選挙委員会のWebサイトから偽の選挙結果を投稿しました。
  • 重要な選挙インフラへの攻撃:選挙管理システム、投票システム、電子選挙人名簿など中枢にある重要インフラの侵害は、投票内容の改ざんまたは投票者の権利を無効にする可能性があり、選挙に対する最も重大なリスクを表します。これは頻繁に議論されるリスクですが、選挙インフラの中心部分を標的とする侵入攻撃の証拠がわずかにあります。

ここで説明した攻撃のうち、組織への侵入やデータの窃取、窃取したデータをオンライン上の人物やフロントを通じて漏洩、選挙インフラの標的攻撃など、FireEyeはロシアが関与する攻撃者によるさまざまなキャンペーンを観察しました。観察結果はわずかですが、2018年カンボジア選挙の攻撃についてFireEyeが報告した攻撃のケースに見られるように、中国はほとんどの活動を、サイバーエスピオナージのみに注力してきました。さまざまな動機からは、FireEyeはまた、選挙エコシステムの攻撃された部分において、ハクティビストや犯罪組織からの攻撃のわずかな証拠を目の当たりにしました。

結論

選挙に対する脅威について世界中で認識が高まる一方、選挙管理者や関係者は、引き続き、投票の完全性の保証という課題に直面しています。選挙に対する脅威に適切に対処するために、選挙プロセスに関与する個人および組織は、以下のことを行う必要があります。:

  • 攻撃者の戦略を詳細に知る:プロアクティブな組織は、他の選挙で明らかにされた攻撃グループの活動から学習し、新しいツールやTTPを適応するセキュリティ管理を実施します。また、政治キャンペーンなどでは、一部の主要APTグループで使用されている一般的なスピアフィッシング戦術について、スタッフや請負業者を教育する必要があります。
  • コンテキストのための脅威インテリジェンスを組み込む:セキュリティ組織は運用上、脅威インテリジェンスを利用して優れた差別化を実施し、標的を定めていない一般的なマルウェア攻撃から最も重要なアラートをトリアージすることができます。
  • 外部脅威の予測:郡政府や政治キャンペーンの内部ネットワークの域を超えて、選挙に関与する選挙管理者やリスク管理の専門家は、データの漏えいおよび侵害に対処するための計画を準備し、攻撃グループが偽情報キャンペーンにこれらのデータを利用する方法を理解する必要があります。

FireEye Virtual Summitでサイバーの脅威と選挙について話す予定です。内容を詳しく知りたい方は、今すぐご登録ください。

本ブログは、米FireEyeが公開した「Framing the Problem: Cyber Threats and Elections」(英語)の日本語抄訳版です。英語オリジナル版と内容に齟齬がある場合には、英語版の内容が優先します。