クマル・リテシュ
<かつてシンプルなDDoS攻撃が主流だったハクティビストによるサイバー攻撃だが、近年ではその手法も目的も大きく変化しつつある>
最近、「ハクティビスト」の動きが注目されている。
ハクティビストとは、「hacking」と「activist」のという単語を組み合わせた造語で、サイバー空間で政治的な主張をするためにサイバー攻撃を行う集団のことを指す。
最近では、政府機関や企業などが受けるサイバー攻撃が、実は国家間の摩擦や、政治的・社会的な理由で受けるハクティビストらによって行われているケースを、われわれサイファーマ社でも確認している。
以前なら、ハクティビストの攻撃と言えば、シンプルなDDoS攻撃が主流だった。DDoS攻撃では、攻撃者はターゲットに大量のデータを送りつけて相手の機能を麻痺させる。近年、国際紛争にからむ企業幹部らの言動によって、企業のウェブサイトが改竄されたり、SNSなどで国を挙げた対企業のボイコット活動に発展することもあった。
ところが最近では、こうした「妨害活動」を超えて、攻撃は多岐にわたっている。この動向はサイバーセキュリティでは非常に重要な流れであり、政府や企業はしっかりとその実態を認識しておく必要がある。
2023年7月、米国財務省は米国の重要なインフラに対するサイバー攻撃を行なったとしてロシアのハクティビスト・グループ「Cyber Army of Russia Reborn(CARR)」のメンバー2人に制裁を課したと発表した。
このグループは、2023年後半から、欧米の複数のインフラの産業制御システムへサイバー攻撃を始めている。さまざまなサイバー攻撃技術を使用して、給水や水力発電、廃水、エネルギー施設で産業制御システム機器にハッキングして不正操作したことが確認されている。
これまでなら、CARRは主にDDoS攻撃を仕掛けて抗議活動をしていたが、今ではインフラに侵入するなど巧妙なサイバー攻撃でハクティビスト活動を行っている。
ハクティビスト・グループは今、政府機関や企業などを標的にする中で、組織のデータベースへのハッキング 、ネットワーク・セキュリティの侵害、ウェブの脆弱性の悪用などといった手法を用いて内部の機密情報を入手し、それを一般に公開することでターゲットにダメージを与える。さらに注目を集めるために、すでに流出したデータを修正して、新たな情報漏洩として共有し、偽の主張を行うこともある。
最近、ロシアがウクライナの病院を空爆したことに抗議してロシアの医療機関からデータを奪って流出させた「Glorysec」や、親ウクライナのハクティビスト集団「Cyber Anarchy Squad」がロシアに拠点を置くIT請負業者のデータを流出させている。
Glorysecの犯行声明
標的となった国の有名人のPII を流出させるドキシング
また、ドキシングという攻撃も頻発している。ドキシングとは、攻撃したい国の有名人などの電話番号や電子メールアドレス、SNSの情報、個人的なチャット、さらには家族や友人に関するデータなど、個人を特定できるPII(個人識別用情報=Personally Identifiable Information)を本人の同意なしに暴露する行為だ。政治家や公人、敵対するハクティビスト・グループなどを相手に、個人情報を晒す攻撃的な戦術として用いられることが多い。
ドキシングの意図は、嫌がらせや脅迫、政治的主張など様々である。場合によっては、ターゲットの評判を傷つけたり、混乱を招くために、意図的に虚偽の情報や誤解を招くような情報を含めることもある。
ハクティビストはまた、注目度の高いイベントをターゲットにすることで知られる。最近では「ゼウス」と呼ばれる新しいハクティビスト・グループが2024年7月30日に、パリオリンピック2024に参加するイスラエル選手のPII情報を公開した。イスラエルがパレスチナ自治区ガザを空爆しているからだ。ドクシングは、深刻な倫理的・法的影響を及ぼす可能性があり、ハクティビストらにとって、物議を醸すことができる戦術のひとつと考えられている。
現在、ハクティビスト・グループの間では国境を超えて協力関係を築く傾向が強まっている。親パレスチナのハクティビストは親ロシア派のグループと手を組み、インドのハクティビストはネパールのグループと組み、パキスタンのハクティビストはバングラデシュのハクティビストと協力している。
例えば、主要な協力グループのひとつに「聖なる同盟」というのがあり、現在70以上の親ロシアや親パレスチナのグループが協力し、マレーシアのグループも参加している。こうした勢力同士が、大規模なDDoS攻撃で協力し合うことで、敵のデジタル・インフラに多大な影響を与え、長時間のダウンタイムを引き起こすことができる。また協力しながら脆弱性を発見し、知識を共有し、攻撃の速度と効果を高めるためにお互いをサポートしている。
また、ハクティビスト・グループの中には近年、自分たちのアジェンダを推進するための戦術として、ランサムウェアの開発に目を向けているものもある。ランサムウェアは従来、金銭的な利益のためにサイバー犯罪グループによって使用されてきたが、一部のハクティビスト・グループは政治的またはイデオロギー的な目的のためにランサムウェアを使用している。
「聖なる同盟」の投稿
サイバー攻撃テクニックの訓練プログラムを販売
2022年にハクティビスト・グループ「ベラルーシ・サイバー・パルチザンズ」がベラルーシ鉄道のサーバーを暗号化したのがその例だ。典型的なランサムウェア攻撃とは異なり、彼らは身代金を要求しなかった。その代わり、彼らは暗号を解く復号鍵を被害者に提供する代わりに、囚人の釈放とベラルーシからのロシア軍の撤退を要求した。
ハクティビスト・グループ「Azzasec」や「Cybervolk」、フランスを拠点とする「Lapsus$」グループなど、いくつかのグループは、独自のランサムウェアを作成し、政治的イデオロギーを宣伝しながらカネを稼ぐためにランサムウェアを開発している。
ハクティビスト・グループの新しいトレンドとしては、サイバー攻撃テクニックを教え、ウェブ・アプリの搾取、DDoS攻撃、ウェブサイト改竄など、さまざまなトピックをカバーするトレーニング・コースの作成と販売を行なっていることがある。このようなコースを販売することで、活動資金を生み出している。
ハクティビスト・グループは、独自のコースを提供するだけでなく、世界のサイバーセキュリティ研究者が作成した正規のコースの海賊版を配布し、これらの教材に無料でアクセスできるようにする。彼らはチャットチャンネルを開設して議論したり、ユーザーの質問に答えたりすることで、参加者がサイバー攻撃のスキルを学んだり磨いたりできるコミュニティを育成している。
ここまで見てきたようなハクティビストによる攻撃に対応する防御側には、脅威情報の共有、外交的関与、サイバーセキュリティ研修、定期的な訓練と演習が必要だ。
攻撃者はさまざまな手を使って攻撃を繰り広げている。破壊行為、情報窃取、政治的な活動──狙われる側の政府も企業も、ますます対策には力を入れ、賢くなっていく必要がある。
<かつてシンプルなDDoS攻撃が主流だったハクティビストによるサイバー攻撃だが、近年ではその手法も目的も大きく変化しつつある>
最近、「ハクティビスト」の動きが注目されている。
ハクティビストとは、「hacking」と「activist」のという単語を組み合わせた造語で、サイバー空間で政治的な主張をするためにサイバー攻撃を行う集団のことを指す。
最近では、政府機関や企業などが受けるサイバー攻撃が、実は国家間の摩擦や、政治的・社会的な理由で受けるハクティビストらによって行われているケースを、われわれサイファーマ社でも確認している。
以前なら、ハクティビストの攻撃と言えば、シンプルなDDoS攻撃が主流だった。DDoS攻撃では、攻撃者はターゲットに大量のデータを送りつけて相手の機能を麻痺させる。近年、国際紛争にからむ企業幹部らの言動によって、企業のウェブサイトが改竄されたり、SNSなどで国を挙げた対企業のボイコット活動に発展することもあった。
ところが最近では、こうした「妨害活動」を超えて、攻撃は多岐にわたっている。この動向はサイバーセキュリティでは非常に重要な流れであり、政府や企業はしっかりとその実態を認識しておく必要がある。
2023年7月、米国財務省は米国の重要なインフラに対するサイバー攻撃を行なったとしてロシアのハクティビスト・グループ「Cyber Army of Russia Reborn(CARR)」のメンバー2人に制裁を課したと発表した。
このグループは、2023年後半から、欧米の複数のインフラの産業制御システムへサイバー攻撃を始めている。さまざまなサイバー攻撃技術を使用して、給水や水力発電、廃水、エネルギー施設で産業制御システム機器にハッキングして不正操作したことが確認されている。
これまでなら、CARRは主にDDoS攻撃を仕掛けて抗議活動をしていたが、今ではインフラに侵入するなど巧妙なサイバー攻撃でハクティビスト活動を行っている。
ハクティビスト・グループは今、政府機関や企業などを標的にする中で、組織のデータベースへのハッキング 、ネットワーク・セキュリティの侵害、ウェブの脆弱性の悪用などといった手法を用いて内部の機密情報を入手し、それを一般に公開することでターゲットにダメージを与える。さらに注目を集めるために、すでに流出したデータを修正して、新たな情報漏洩として共有し、偽の主張を行うこともある。
最近、ロシアがウクライナの病院を空爆したことに抗議してロシアの医療機関からデータを奪って流出させた「Glorysec」や、親ウクライナのハクティビスト集団「Cyber Anarchy Squad」がロシアに拠点を置くIT請負業者のデータを流出させている。
Glorysecの犯行声明
標的となった国の有名人のPII を流出させるドキシング
また、ドキシングという攻撃も頻発している。ドキシングとは、攻撃したい国の有名人などの電話番号や電子メールアドレス、SNSの情報、個人的なチャット、さらには家族や友人に関するデータなど、個人を特定できるPII(個人識別用情報=Personally Identifiable Information)を本人の同意なしに暴露する行為だ。政治家や公人、敵対するハクティビスト・グループなどを相手に、個人情報を晒す攻撃的な戦術として用いられることが多い。
ドキシングの意図は、嫌がらせや脅迫、政治的主張など様々である。場合によっては、ターゲットの評判を傷つけたり、混乱を招くために、意図的に虚偽の情報や誤解を招くような情報を含めることもある。
ハクティビストはまた、注目度の高いイベントをターゲットにすることで知られる。最近では「ゼウス」と呼ばれる新しいハクティビスト・グループが2024年7月30日に、パリオリンピック2024に参加するイスラエル選手のPII情報を公開した。イスラエルがパレスチナ自治区ガザを空爆しているからだ。ドクシングは、深刻な倫理的・法的影響を及ぼす可能性があり、ハクティビストらにとって、物議を醸すことができる戦術のひとつと考えられている。
現在、ハクティビスト・グループの間では国境を超えて協力関係を築く傾向が強まっている。親パレスチナのハクティビストは親ロシア派のグループと手を組み、インドのハクティビストはネパールのグループと組み、パキスタンのハクティビストはバングラデシュのハクティビストと協力している。
例えば、主要な協力グループのひとつに「聖なる同盟」というのがあり、現在70以上の親ロシアや親パレスチナのグループが協力し、マレーシアのグループも参加している。こうした勢力同士が、大規模なDDoS攻撃で協力し合うことで、敵のデジタル・インフラに多大な影響を与え、長時間のダウンタイムを引き起こすことができる。また協力しながら脆弱性を発見し、知識を共有し、攻撃の速度と効果を高めるためにお互いをサポートしている。
また、ハクティビスト・グループの中には近年、自分たちのアジェンダを推進するための戦術として、ランサムウェアの開発に目を向けているものもある。ランサムウェアは従来、金銭的な利益のためにサイバー犯罪グループによって使用されてきたが、一部のハクティビスト・グループは政治的またはイデオロギー的な目的のためにランサムウェアを使用している。
「聖なる同盟」の投稿
サイバー攻撃テクニックの訓練プログラムを販売
2022年にハクティビスト・グループ「ベラルーシ・サイバー・パルチザンズ」がベラルーシ鉄道のサーバーを暗号化したのがその例だ。典型的なランサムウェア攻撃とは異なり、彼らは身代金を要求しなかった。その代わり、彼らは暗号を解く復号鍵を被害者に提供する代わりに、囚人の釈放とベラルーシからのロシア軍の撤退を要求した。
ハクティビスト・グループ「Azzasec」や「Cybervolk」、フランスを拠点とする「Lapsus$」グループなど、いくつかのグループは、独自のランサムウェアを作成し、政治的イデオロギーを宣伝しながらカネを稼ぐためにランサムウェアを開発している。
ハクティビスト・グループの新しいトレンドとしては、サイバー攻撃テクニックを教え、ウェブ・アプリの搾取、DDoS攻撃、ウェブサイト改竄など、さまざまなトピックをカバーするトレーニング・コースの作成と販売を行なっていることがある。このようなコースを販売することで、活動資金を生み出している。
ハクティビスト・グループは、独自のコースを提供するだけでなく、世界のサイバーセキュリティ研究者が作成した正規のコースの海賊版を配布し、これらの教材に無料でアクセスできるようにする。彼らはチャットチャンネルを開設して議論したり、ユーザーの質問に答えたりすることで、参加者がサイバー攻撃のスキルを学んだり磨いたりできるコミュニティを育成している。
ここまで見てきたようなハクティビストによる攻撃に対応する防御側には、脅威情報の共有、外交的関与、サイバーセキュリティ研修、定期的な訓練と演習が必要だ。
攻撃者はさまざまな手を使って攻撃を繰り広げている。破壊行為、情報窃取、政治的な活動──狙われる側の政府も企業も、ますます対策には力を入れ、賢くなっていく必要がある。