Cisco Japan Blog

国家が容認、保護するハッカー集団

1 min read



今、脅威ランドスケープが変化しようとしています。組織は絶えず進化する攻撃者から身を守らなければなりません。これまで、国家が支援するハッカー集団とそれ以外の線引きは明確でしたが、今やそれも過去の話です。手口は犯罪組織と似ているものの、国家が支援するハッカー集団のように振る舞うグループが登場しているからです。組織の置かれているリスクの状況次第では、これらのグループはさらに行動範囲を広げ、危険度が増します。つまり、より一層の注意が必要となり、防御する側の組織は新たな課題を突きつけられることになります。

最近の出来事を踏まえて、ランサムウェアの攻撃者が政府からある種の保護を(意図的でないにしろ)受けている場合は新しいカテゴリに分類すべきだと考えました。そこで Talos は、政府が活動に対して目をつぶるか、実質的に政府が支援しているが、必ずしも政府の直接の管理下にない攻撃者に対して「国家容認のハッカー集団」という用語を提唱します。国家容認のハッカー集団を保護するか、見て見ぬふりをするだけだとしても、国家としての政府の責任が軽くなるわけではありません。

国家関連の脅威

国家関連の組織は、米国国家安全保障局、APT28、APT29、APT1 のように国家体制と直接関連している組織と、特定の国家と直接関連していないものの、情報セキュリティコミュニティにおいて国家支援の恩恵を受けていると広く認められている組織という、2 種類に大きく分類できます。

前者の動機は一般に金銭的なものではなく、収益化の仕組みもありません。インフラは小規模な場合が多く、活動を終了するか、何らかの形で活動が明るみに出ると、インフラが完全に解体されます。これらの組織は、自分たちに注目が集まらないよう、できる限り秘密裏に活動します。SolarWindsCCleanerVPNFilter などに対する攻撃では、準備・偵察段階で可能な限り隠れて行動していました。また、最終段階で発覚する可能性が高いことを理解し、その前に目標を達成しようとします。

後者の例には、Gamaredon(一部では Armageddon または Arma として知られている)が挙げられます。この組織の起源は複雑で、ロシアによるクリミア併合をきっかけにウクライナで誕生しました。従来型のロシアの諜報機関の一角ではありませんが、活動で収集された情報の多くがロシアの国益のために流されていると考えられます。この国家関連の脅威の場合、支援国家の構成要素ではありませんが、支援国家から積極的な支援と指示を受けています。

Gamaredon は攻撃対象を絞らず、大勢のユーザを標的にします。攻撃インフラは大規模で、何百ものドメインを抱えています。発覚してもマルウェアやインフラを大幅に変更することはありません。しかし国家が抑制しないという点では、第 1 のグループと共通しています。

他にも国家関連のカテゴリが 2 つあります。特定の行動を実行するために国家が雇う「傭兵」グループと、この後詳しく説明する「国家容認のハッカー集団」です。依頼された通りに攻撃を忠実に実行する傭兵グループは第 1 のグループに分類されることが多いため、ここでは詳しく説明しません。

「国家容認のハッカー集団」

国家容認のハッカー集団は国家から直接の支援を受けているわけではなく金銭的な動機がありますが、国家の直接的、間接的な保護による恩恵を受けています。他国から通常の外交ルートを通じて引き渡しを要求された場合でも法は執行されないため、国家の恩恵を受けていることは明らかです。これらのグループから支援国が直接利益を得ることはありませんが、攻撃の対象となることはありません。多くの場合、グループの標的となるのは支援国の地政学的な敵対者です。また、特定の活動を実行したり、特定の団体を標的にしたりするように、国家容認のハッカー集団に支援国が圧力をかける場合もあります。

国家容認のハッカー集団以外でこのレベルの保護を受けるのは、国家の関与の下で直接活動を行う攻撃者だけです。たとえば、信用調査会社の Equifax 社に対するサイバー攻撃で米国司法省に起訴された攻撃者は、中国人民解放軍第 54 研究所と直接関係がありましたpopup_icon。同省は他にも、WannaCrypopup_icon 事件に関与した Lazarus グループの北朝鮮人 1 名、複数のコンピュータハッキングに関与したロシア軍参謀本部情報総局(GRU)の当局者popup_icon 6 名などの国家が支援する攻撃者を起訴しています。

DarkSide は、こうした「国家容認のハッカー集団」の 1 つと考えられます。最近、米国の主要な石油パイプラインを攻撃したpopup_iconこのランサムウェアファミリは、標的のキーボード設定を確認し、キーボードがキリル文字であるユーザを避けていました。Lockbit もまた国家容認のハッカー集団である可能性があります。というのも、ロシアやロシアの同盟国は標的にしないpopup_iconと同グループのメンバーが Talos に明かしたからです。

過去、独立国家共同体(CIS)の加盟国を標的にしない限り、ランサムウェア攻撃者が共同体内で拘束されたことはありません。ただし、加盟国のいずれかを標的にすると、そのランサムウェアグループは調査、排除されます。この例としては Lurk が挙げられます。Angler エクスプロイトキットpopup_iconに関連するとされていたグループです。Lurk がロシアの銀行を標的にした後、同グループのメンバーがロシアで逮捕されました。

通常、これらのグループはクライムウェアのカテゴリに分類されますが、単なるクライムウェアのギャングではありません。高度に組織化されたグループであり、関連グループにさまざまな支援を提供しています。これらのグループの活動を国家が抑制することはないため、コミュニティにとって絶えざる脅威となっています。つまり、一般的なスパム送信者やパスワード窃取者とは呼べないのです。「国家容認のハッカー集団」は、何百ギガバイトもの情報を盗み出す「大物狙いの攻撃者」の範疇に入ります。これはある程度高度化されていることを意味します。「国家容認のハッカー集団」は、国家の支援を受けているトップクラスのグループには入りませんが、通常のクライムウェアグループよりもはるかに高度化しているため、別のグループとして分類されるべきです。

「国家容認のハッカー集団」の該当基準

「国家容認のハッカー集団」は新たな分類であるため、該当する要素について説明します。「国家容認のハッカー集団」に該当する基準は以下の通りです。この他にもありますが、少なくとも以下の基準を満たす必要があります。

  1. 直接的、間接的に国家が保護または容認していることによって恩恵を受けている。
  2. 国家が外国の法執行機関や諜報機関に協力したり、身柄を引き渡したりすることはない。
  3. 大物狙いの攻撃者であり、大企業や政府機関を標的にする。
  4. 高度に組織化されていて、関連グループや第三者が関与している。
  5. 社会的混乱を引き起こす可能性がある。

上記の基準すべてを満たしていないグループもあり、この基準は変更される可能性があります。しかし、上記の基準を満たす攻撃者のみを「国家容認のハッカー集団」と呼ぶことにします。

まとめ

「APT(高度サイバー攻撃)」という用語は幅広く使用され、意味も多岐にわたります。多くの場合、この用語には国家が支援するグループという意味があります。ただし、国家支援というより国家関連と呼ぶべきであり、3 つの異なるグループに分類すべきだと Talos は考えます。1 つ目が、特定の国家組織に代わって活動するグループ、2 つ目が、国家攻撃者に深く関連していても明確に組織的なつながりがあるわけではなく、金銭的な動機がないグループ、そして 3 つ目が、国家組織に直接的には関連していないものの、国家の保護の恩恵を直接的、間接的に受けているグループです。

第 1 のグループには Lazarus グループ(別名 APT38)などの攻撃者が含まれます。このグループは、国家の支援を受けて、国家が直接利益を得る攻撃を実行します。第 2 のグループには Gamaredon や PROMETHIUM などのグループが含まれます。国家組織と直接関連しているようには見えませんが、国家のために働いていると考えられます。主要な APT ほど高度化されているわけではなく、金銭的な動機はありません。

最後に、「国家容認のハッカー集団」と呼ばれる DarkSide のようなグループが存在します。国家の直接関与はないものの、一定レベルの国家の保護や容認という恩恵を受けています。このような国家容認のハッカー集団は一段と増加しており、今後数年間で脅威ランドスケープを大きく変える可能性さえあります。

 

本稿は 2021 年 05 月 26 日に Talos Grouppopup_icon のブログに投稿された「Elizabethan England has nothing on modern-day Russiapopup_icon」の抄訳です。

 

 

コメントを書く