2020年米国大統領選挙に対するロシア関連の脅威
編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
本レポートでは、Recorded Futureが、2020年の米国大統領選挙に関連するロシアとネクサスのサイバースパイ活動と影響工作活動の概要を説明しています。これには、大統領候補、政党、選挙インフラ、メディアプラットフォーム、投票活動、および米国民全体を狙った、先進的持続的脅威(APT)グループ、情報操作(IO)組織、およびフロントエンティティや非国家グループが含まれます。 本レポートで提供される評価は、Recorded Future Platform®のコンテンツと、2020年1月1日から2020年8月25日までに入手可能なソーシャルメディアサイト、ローカルおよび地域のニュースサイト、学術研究、情報セキュリティレポート、その他のオープンソースからのデータに基づいています。 これを過去のデータと比較し、戦術、技術、手順(TTP)の変化を判断し、サイバー脅威、情報運用(IO)、およびサイバーアクションとIOアクションの両方の側面を組み込んだハイブリッド脅威を明らかにしました。
Executive Summary
来たる選挙の脅威の状況は、2016年と2018年とは異なります。これまで選挙を標的にしていた脅威アクターや活動グループは、ほとんど傍観者として活動しています。 しかし、2016年と2018年と一貫しているのは、ロシアが2020年の米国大統領選挙に対して最大の脅威であり続けていることであり、これは過去のフィッシングやサイバー攻撃作戦の成功、米国の民主的な制度や組織を直接標的にすることへの執拗な執拗な取り組み、従来のメディアやソーシャルメディアを通じた米国の有権者を対象とした情報操作の実施に基づいているということです。
現代のロシア主導の対米情報工作は、少なくとも2016年から続いており、その活動は国際的により分散化している。 さらに、ロシアの脅威活動グループは、インフラストラクチャを拡大し、マルウェアやエクスプロイトを開発し続けていますが、選挙関連のエンティティを標的にすることにはあまり積極的ではありません。 2020年1月以降、ロシア政府が支援するハッキング・アンド・リーク作戦が観測可能な形で行われていないにもかかわらず、2016年の投票前にそのような活動がどれほど損害を与えていたかを考えると、11月の選挙前にリークが出現する可能性を排除することはできません。 ロシアの脅威アクターや活動グループは、選挙日まで、あるいは選挙後も、米国の有権者に対してサイバー攻撃を行い、情報操作を行う可能性が高いでしょう。
選挙に対する脅威も依然として大きな懸念事項であり、その中でも最も顕著なのは、急成長している陰謀論とその信奉者であるQアノンやブーガルー運動である。 さらに、サイバー犯罪者やその他の要素による原因不明の活動は、米国の選挙を混乱させたり害したりする能力を持っており、ダークウェブや地下の情報源に常に警戒する必要があります。
主な判断
- ロシアの高度で持続的な脅威グループは、2020年の米国大統領選挙で最大の脅威となる可能性がありますが、これらの標的に対する活動はこれまでに確認されていません。この評価は、2016年と2018年の米国大統領選挙に対する過去の取り組みと、 特定された米国 および 英国 の諜報機関による再編成、開発、および進行中の活動に基づいています。
- 情報操作は、選挙を前に米国内の社会的および政治的環境を混乱させる上で引き続き主要な役割を果たす可能性があります。 スタンフォード大学サイバーポリシーセンター、 グラフィカなどによる継続的な研究イニシアチブは、これらの取り組みが2016年以降どのように 進化 したかを説明し、そのような活動が虚偽の情報を広めるために 国際的に 選挙を標的にし続けていることを示しています。
- ロシアの脅威アクターに関連する選挙関連のハッキング&リーク作戦はこれまでに確認されていませんが、そのようなコンテンツが選挙前に出現する可能性は依然として高いです。APT28のような企業がそのようなデータを遅延的に配布した歴史的な 前例 があります。
- ランサムウェアは、選挙関連のインフラストラクチャにさらなる脅威をもたらす可能性があります。主要な激戦州内でのタイミングを慎重に計ったランサムウェア攻撃は、いくつかの制限を引き起こす可能性がありますが、2020年の選挙を完全に混乱させる可能性は低いと考えられています。
- また、非国家団体は、情報操作、影響力、または抗議活動の脅威を選挙にもたらす可能性が高い。ロシアの脅威アクターとは直接関係ありませんが、ロシアの公然および秘密の影響工作はこれらのグループに関心を持ち、その内容を増幅しており、これらのグループを乗っ取ったり、破壊的な活動を行ったりする可能性があります。
- 実際の、または認識されたサイバー作戦に対する米国の 防御態勢 と対応は、攻撃者になる可能性のある者にとって課題となる可能性がありますが、断固とした脅威グループを完全に抑止する可能性は低いです。
ロシアが支援する選挙干渉の取り組み:2016年と2018年
2016年と2018年には、ロシアの国家支援を受けた脅威アクターが、米国大統領選挙と中間選挙に反対する前例のないキャンペーンを実施し、投票に関連する政党、候補者、インフラを標的にしました。 ロバート・ミュラー3世が実施した侵入、情報操作(IO)、およびその他の対応する活動に関する米国政府の調査では、この取り組みは主に、情報調査局(IRA)などの組織の支援を受けて、主要情報局(GRU、主要総局[GU]とも呼ばれる)に関連する組織によって主導されていた ことが明らか になりました。 ロシア軍参謀本部(Russian Main Directorate/Main Intelligence Directorate of the General Staff of the Armed Staff)は、ロシア連邦内の主要な軍事情報機関である。 この組織は 、 ロシア政府のために戦略的および戦術的な対外諜報任務を実施しています。 これはサブユニットで構成されており、そのうちのいくつかは暗号化、信号情報、偽情報、および侵入活動に従事しています。 IRAは、ソーシャルメディアの影響力操作に 特 化して従事している商業メディアエンティティです。
脅威アクター
2016年の米国大統領選挙に先立ち、ロシア政府が支援する3つのAPT(Advanced Persistent Threat)グループが標的型侵入活動に関与していました。これらの脅威アクターの一部は、情報操作や標的型侵入に関与しているため、「ハイブリッド脅威」としても機能していました。 主な脅威アクターは、APT28、APT29、およびSandwormとして追跡されているMain Intelligence Directorate/Main Directorate(GRU/GU)Unit 74455として特定されました。
APT28とAPT29は、DNC、DCCC、その他の選挙関連の個人や組織に対する標的型侵入に関与していました。 さらに、GRU/GUユニット26165の人員は、APT28の活動と個別の情報運用活動の両方に関連して、司法省(DoJ)の起訴状で特定されました。 GRU/GUユニット74455(Sandwormの活動に関連する組織)の職員も、選挙干渉活動(ハッキング・アンド・リーク作戦など)に関与したとして司法省に 起訴 された。ただし、Sandwormに起因するカスタムマルウェアは、侵入の影響を受けたネットワークでは特定されませんでした。 そのため、この組織が実施する2016年の選挙を妨害する取り組みは、脅威活動グループ指定子(Sandworm)ではなく、ユニット名(Unit 74455)で識別されます。
他のいくつかのロシアのグループは、選挙干渉活動に関連しているとされています。
- 2018年1月25日、オランダ情報局(AIVD)は、民主党全国大会(DNC)への侵入に関与したAPT29の運営者を特定し、ロシア対外情報局(SVR)と関連付ける情報を公表しました。SVRは、外国のスパイ活動、積極的な措置、外国での電子監視の実施などを担当しています。
- また、2018年には、エストニア情報局が、APT29の作戦がSVRとロシア連邦保安庁(FSB)の両方に関連していると報告したと発表しました。
- 司法省の起訴状によると、APT28とSandwormに関連する2つのGRU/GU軍事部隊(それぞれユニット26165とユニット74455)が、偽のフロントアクターであるDCleaks、Guccifer 2.0、AnPolandを使用し、漏洩したデータをロンダリングし、標的となるリソースへの侵入の責任を主張しました。
- 最後に、ロシアを拠点とするトロールファーム(特にインターネットリサーチエージェンシー(IRA))は、選挙に先立って米国内の社会環境を不安定化させるために偽情報や扇動的な資料を大量に流布し、APT28、Sandworm、APT29が実施する他の作戦の戦力増強剤として機能しました。
2018年には、これらの同じ脅威活動グループの一部と影響工作が米国の中間選挙を標的にしました。 APT28は、立法府に立候補している3人の候補者を狙った スピアフィッシング 作戦を実施しました。 これらの取り組みが成功したかどうかは不明ですが、Microsoftは、この活動のターゲットとして考えられるのは、米国上院、政治シンクタンク、および政治的非営利団体を特定する情報を公開しました。 司法省はまた、ロシアの影響力工作 組織に対して「 ...ソーシャルメディアプラットフォームでの広告、ドメイン名の登録、プロキシサーバーの購入、「ソーシャルネットワークでのニュース投稿の宣伝」など。 伝えられるところによると、米国はサンクトペテルブルクに拠点を置くIRAを標的にし、一時的にオフラインにすることで、IRAを抑止する 措置を講じ た。 彼らの作戦の一部は中断されたとされているが、アメリカの民主的プロセスを標的とするロシアの取り組みはほとんど阻止されず、その時点でも、ロシアが支援する脅威アクターが彼らの戦略を適応させていることは明らかだった。
戦術、技術、手順(TTP)
2016年と2018年の選挙の両方でこれらの脅威グループによって実施された主なTTPの一部は、次のように分類できます。
被害者学
これらのグループは、米国の 広範な 民主主義制度を標的にしていました。 2016年の大統領選挙では、脅威アクターは、政党、候補者、選挙スタッフ、選挙請負業者(VR Systemsなど)、州の選挙管理委員会、有権者登録データ、慈善団体、シンクタンク、そしてアメリカ国民全体を標的にしました。2018年の中間選挙では、対象範囲が 候補者や選挙スタッフ 、ソーシャルメディア上のアメリカ人に大きく絞り込まれました。 対象範囲が狭まったのは、脆弱な選挙インフラ周辺のセキュリティ強化による脅威アクターの運用制限、中間選挙が脅威アクターにとって重要性が低いと見なされた副産物、または必要性の欠如(つまり、有権者登録データをホストするインフラストラクチャに頻繁に侵入する必要がないため、その情報は短期間で大幅に変化しない)の結果である可能性があります。time)です。
2020年1月以降の脅威アクターの活動
2020年1月以降、ロシアのいくつかのAPTグループは、選挙に関係のない米国を拠点とする団体や、選挙と関係がある可能性のある国際的な団体に対して活動しています。 Recorded Futureは、この記事の執筆時点で、2020年の大統領選挙に先立って、米国の選挙インフラ、候補者、政党、または投票活動に対する脅威活動グループによる直接的な侵入活動を特定していませんが、それはそのような取り組みが具体化することを妨げるものではありません。 Recorded Futureは、この同じ期間に、ロシアのAPTグループが選挙関連のエンティティを標的にする可能性のあるマルウェアを開発していたことを発見しました。 さらに、Recorded Futureは、この同じ期間におけるインフラストラクチャの開発、TTPの進化、マルウェアの変化を特定しました。
ロシアの脅威アクターが業務を改善した可能性は非常に高いですが、これらの脅威グループは、これまで適用してきたのと同じアプローチを侵入に対しても使用し続けています。 したがって、運用の変更や動作の変化は、以前のツールを全面的に放棄することを意味するのではなく、必要に応じて運用を適応させる柔軟性と、ミッションを成功裏に完了するための実用主義の両方の一例である可能性が高いです。
候補者や政党を対象とした活動
脅威アクターは、選挙運動での役割や選挙関係者との関係から、候補者やその関係者、さらには米国の政党に対して、より広範な関心を持ち続けている可能性があります。 この評価は、ロシア政府が2020年の米国大統領選挙に干渉しようとしていることを示す 報告書 に一部基づいています。 報告書は、干渉の努力が何を伴うかについては詳しく説明していない。しかし、Recorded Futureは、2020年1月以降、現職のドナルド・トランプ大統領とその家族、または選挙運動に関連する著名人を狙ったロシアの国家支援の脅威アクター活動を検索しましたが、この記事の執筆時点では、そのような取り組みに関する言及は見つかりませんでした。 オープンソースの検索でも同様に、関連するコンテンツは見つかりませんでした。 また、2020年1月以降、ジョー・バイデン前副大統領、カマラ・ハリス上院議員、バイデン家、ハリス家、またはこのキャンペーンに関連するその他の著名人を狙った、ロシア政府が支援する脅威アクターによる活動も検索しました。 これらの個人に対する侵入活動の兆候はありませんでした。
2020年1月以降、ロシアのAPTが共和党全国委員会(RNC)、全国共和党議会委員会(NRCC)、全国共和党上院委員会(NRSC)を標的にした兆候はありません。 ロシアのAPTグループがDNCまたは民主党全国大会委員会(DNCC)を標的にした同様の調査では、合計20の事例が特定されました。DNCまたはDCCCを狙った現在または差し迫った脅威を示すものはありませんでした。 これらの調査は、政党に対する進行中の、または差し迫った脅威を明らかにしているようには見えないが、この記事を書いている時点では、そのような取り組みを潜在的な脅威のリストから排除するものでもない。 これらの参照は、一般的に次のように要約できます。
- 2つの結果は、2016年のDNCへの侵入に関連する過去の報道へのソーシャルメディアでの言及でした。
- これらの言及のうち少なくとも6つは、2016年の米国大統領選挙干渉作戦をロシアのAPTグループに帰する情報コミュニティと情報セキュリティ業界の評価と調査結果に異議を唱えることに焦点を当てたフォーラムの投稿で見つかりました。
- ある地元のニュースサイトも、諜報機関の調査結果に異議を唱えている。
- 10件は、2016年の米国大統領選挙に対するロシアのAPT活動の報道に関連するニュースウェブサイトや裁判所の文書に関するものでした。
- この活動に言及していた1つのアイテムは、その後ソーシャルメディアから削除されました。
脅威アクター
APT28の
2020年1月以降、APT28はインフラ開発、スピアフィッシング未遂、マルウェア開発など、さまざまな活動を行ってきました。 これらのうち、スピアフィッシングのみが選挙に関連している可能性があり、具体的には Burisma Holdingsに対するフィッシング攻撃の疑いがあります。
スピアフィッシング未遂
2020年1月13日、サイバーセキュリティ企業のArea 1は、ウクライナのキエフにあるエネルギー企業Burisma Holdingsに対するGRU/GUによるスピアフィッシングの試みについて、「Phishing Burisma Holdings」と題する レポート を発表しました。 報告書によると、少なくとも2019年11月から実施されているこのキャンペーンは、ブリスマホールディングスに関連する正当なパートナーまたは子会社が使用しているドメインを模倣したドメインを使用していました。 ジョー・バイデン氏の息子ハンター・バイデン氏が以前ブリスマ・ホールディングスの取締役を務めていたため、ブリスマ・ホールディングスは特に興味深い企業です。 ワシントン・ポスト紙が 報じ たように、フィッシングの試みとは無関係の同時の取り組みとして、現米政権の関係者が、ウクライナのペトロ・ポロシェンコ元大統領に関連するバイデンの音声録音に関する情報を求める複数の試みが詳述されています。 この活動には、ロシア同調グループとつながりのあるウクライナの国会議員であるアンドリー・デルカチからの情報提供の要請が含まれていた。
Area 1 レポートで説明されている TTP の 1 つには、標的となるエンティティの資格情報を取得するために、複数の攻撃対象領域にわたって正規のログイン ページを反映する Web サイトの使用が含まれています (たとえば、Roundcube のインストールや SharePoint 経由の Outlook 365 ログインを模倣するなど)。 このTTPは、2018年の米国中間選挙および2016年の米国大統領選挙でAPT28が採用した以前の方法論と一致しています。 キャンペーンの過程で、脅威アクターはさまざまな電子メール関連の認証技術を活用して正当性を確立しました。 特に、脅威アクターは、受信者が送信者の身元を確認するために使用するSender Policy Framework(SPF)とDomainKeys Identified Mail(DKIM)(暗号化ハッシュ)を使用していました。 その際、脅威アクターはSPFをyandex[.]網 Mail Exchange(MX)レコードは、このアクションがロシアを拠点とする脅威アクターによって行われたことを示唆しています。
APT28はこれまで、エンティティを標的にして機密情報を取得し、後でターゲットエンティティまたは関連組織や個人に危害を加えるためにダンプする「ハックアンドリーク」タイプの操作を行っていました。 その中には、2016年の米国大統領選挙でのヒラリー・クリントン元国務長官の 選挙運動 に対する取り組みや、2016年のオリンピックでの国際スポーツに関連する組織などが含まれている。 これらのキャンペーンへの関与と、ブリスマ・ホールディングスと米国およびウクライナの政治情勢との結びつきを考えると、この脅威活動グループは、情報操作の一環として後で配布するための情報を取得するために、このキャンペーンを実施している可能性さえあります。
今後の展望
米国の当局者や組織は、2020年11月の選挙に対する外国の干渉の可能性について、より大きな認識を持ち、より備えている。 ロシアの脅威アクターや活動グループは、米国が2020年の選挙を防衛するために講じた措置に敏感であり、それを彼らの計算に織り込んでいる可能性があります。 これらの変化を踏まえると、2020年の米国大統領選挙に対抗してロシアから出現する可能性のある脅威活動は、これまでの取り組みとは異なる形で現れる可能性が高い。
2016年と2018年に政党や候補者に対する侵入や作戦を行ったロシアの脅威活動グループは、本稿執筆時点では、ほとんど行動を控えている。 ロシアの脅威活動グループによる選挙関連団体に対する活動はまだ確認されていませんが、これらのグループによるマルウェア開発や米国内の他の団体への侵入に関連する活動が行われています。 これらの取り組みが成功したかどうかは、本稿執筆時点では不明です。 Recorded Futureは、別の取り組みとして、バイデンに関連すると思われる一部のオーディオコンテンツがリリースされ始めていると述べていますが、このコンテンツは第三者によって本物または変更されていないと検証されていません。 APT28のような脅威活動グループは、これまで標的型侵入によって取得した情報の公開を待っていたため、その影響を最大化するために、情報公開を遅らせる同様のアプローチが選挙前に行われる可能性があります。
情報操作は、脅威アクターの匿名性にはるかに従順であり、対抗するのが非常に困難です。 Recorded Futureは、そのような作戦が2020年の米国大統領選挙に対する継続的かつ現実的な脅威であり続けると見ています。 Recorded Futureは、One Africa、One Success WhatsAppグループ、EBLA、ナイジェリアとガーナのトロールファームが実施するロシアの国内および海外事業の存在が、より中央集権的で制御された運用から分散型で回復力のある情報運用ネットワークへの移行をどのように明らかにしているかを特定しました。 そのような取り組みの多くが特定され、中止されましたが、まだまだ残っており、目に見えない形で活動している可能性があります。 このような作戦の断片化は、2018年の米国中間選挙でIRAの影響力行使を阻止する米国の作戦が成功したことを示している可能性がある一方で、短期的には、これらの作戦のある程度の持続性と回復力も明らかにする可能性が高い。
ロシアの脅威アクターや活動グループは、米国内の資産を積極的に使用して、ソーシャルメディアの外国人に対する広告制限を回避し、虚偽のペルソナや悪意のある目的の影響を受けたペルソナを正確に検出することを困難にしようとしました。 ソーシャルメディアプラットフォームが広告の利用可能性と外国人が米国の政治的言説に参加する能力を制限し続ける中、広告制限を回避するためのロシアの影響工作資産、諜報資産の確立、およびアストロターフの分裂的なコンテンツによるアメリカ人との関与が引き続き優先されると予想しています。
Qアノンのような陰謀集団やブーガルー運動のような反政府集団の拡大は、選挙にさらなる脅威をもたらしている。 これらのリーダーのいないグループは、選挙を妨害しようとする外国の脅威アクターに潜入され、取り込まれる可能性があります。 Qアノンの陰謀論の信奉者たちはすでに「情報戦」に積極的に参加しており、彼らの信奉者の中には犯罪行為を犯した者もいる。 同様に、ブーガルー運動の支持者の中には、彼らの反政府信条に基づいて行動し、第二次アメリカ内戦を引き起こすことを期待して、殺人や殺人未遂、国内テロ未遂を犯した者もいる。 このグループは、最近の「再開」やBLMの抗議行動で目に見える存在感を示しており、ボディアーマーを着て重武装して登場しています。 このグループは、選挙関連の資産や投票所を標的にすることを選択した場合、選挙のセキュリティに対する物理的な脅威であると同時に、偽情報の拡散に対するオンライン上の脅威であり、最終的には反政府的な言説で選挙関連のトピックに偏る可能性があると自負しています。
エディターズノート この記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
関連