SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年4月26日号

***************************************************************
 サイバー空間のハッキンググループの動向と最近の特徴
***************************************************************
ハッキンググループとは文字通りコンピューターやインターネットなどについて高度な知識や高い技術を
有するハッカー達の集まりで、ハッカー集団とも呼ばれている。
通常、同様の目的意識を持った仲間が集まり、ハッキンググループが構成されている。

ハッカーはサイバー攻撃やサイバー犯罪を実行する悪意のハッカーもいれば、法律的に許される範囲
で悪意のハッカーと戦うホワイトハッカーもいて、その中間を意味するグレーハッカーなどもいる。
ハッカーは目的ごとに分類する意味で、帽子の色に例えて「ブラックハット」「ホワイトハット」「グレー
ハット」「ブルーハット」などの表現でも呼ばれ、3種類、6種類、9種類などに分けられている。

ハッキンググループには、サイバー犯罪行為を行わない善意のホワイトハッカー集団も同様に分類され
ているが、今回は主に悪意のハッキンググループの分類と動向をみることにする。

先ず目的で分類すると【金銭】を目的とする集団と【政治的背景】の集団が存在する。
金銭目的は、ハッキング技術を使ったサイバー攻撃やサイバー犯罪を行い、最終的に自分たちが
金銭を得る事が目的の集団である。
そして、政治的背景のハッキンググループとは、国家のサイバー軍もしくは国家が支援するハッキング
グループを指し、主にスパイ目的でハッキングを行い、様々な情報を窃取している。

また、別の見方で分類すると、攻撃手法によって分類される事もできる。
システム内に侵入しデータを盗みデータを暗号化して脅迫してお金を脅し取るランサムウェアグループ
ターゲットに対して高度な持続的攻撃を執拗に行う標的型攻撃をするAPTグループ。
C&Cサーバを駆使してボットネットを構築し攻撃するグループ。
フィッシング攻撃を専門とし、メールアドレスやメールサーバをレンタルして利益を上げるグループ。
更にはマルウェアを作成し、そのマルウェアを別のサイバー攻撃者に販売するグループなど様々である。

これらのハッキンググループは攻撃手法や目的は異なるが、皆共通しているのは綿密な計画を立て
順序立てた攻撃を実行するという事である。
例えばフィッシング攻撃の場合、偽サイトのコンテンツ、偽サイトを運用するWebサーバ、誘導する
ためのメール本文、メールを送るメールアドレス、更にはセキュリティ製品を回避する為のプログラムなど
様々な情報や環境が必要になるため、これら各々の情報は時間をかけて収集する、もしくは闇市場
で売買されているデータを使って攻撃の準備を進める。
メールアドレス一つを見ても、現在利用されていないメールアドレスにフィッシングメールを送ったところで
意味がない。現在利用されているメールアドレスを抽出し、そこに送る事に意味があるのである。

昨今急増しているフィッシング攻撃も事前に入手したこれらの情報を使って攻撃しているのである。
千葉県警では、2021年に発生したサイバー犯罪に関する相談件数が、6905件と過去最多で
特にクレジットカード情報などを盗み取る「フィッシング詐欺」が急増しているという。

ハッカー達が準備段階で行う、情報収集には主にマルウェアを利用する攻撃が多い。
メールの添付ファイルやWebのダウンロード機能を利用して、システム上では分からないような不正プロ
グラムを侵入させて初期段階の情報を窃取するのである。
代表的なものはPassword Stealer呼ばれるログインパスワードを窃取するマルウェアやメールアドレス
を窃取するEmotetなどがある。

つまりこれらのマルウェアに感染したという事は、既に攻撃者のターゲットになり、次なる攻撃の準備を
されていると考えてよいのである。
気がついた時にはインジェクション攻撃やXSS攻撃、ランサムウェア攻撃などの被害を受けてしまう。

一方、国家支援のハッキンググループはマルウェアやハッキング行為によって様々な情報を収集して
いて、それぞれの国が政治的、経済的に優位になるように情報収集を行っている。
そしてここに政治的な思想や宗教が絡むと、大きな問題に発展する可能性がある。
現在のロシアのウクライナ侵攻に関連するサイバー戦が一つの例である。

しかし、ロシアとウクライナだけの問題ではなく、西側諸国からのロシアに対する経済制裁の影響により
ロシアやロシアを支援する国やハッキンググループから西側諸国への攻撃も増加しているという事だ。

英国、米国、オーストラリア、カナダ、ニュージーランド5か国から構成される「ファイブアイズ」と呼ばれる
インテリジェンスによる機密情報共有によると、重要インフラを狙うロシア関連からのサイバー攻撃に
最近注意喚起を行った。

ファイブアイズの5か国のセキュリティ機関・組織は、ウクライナに支援を行う国や組織に対してサイバー
攻撃を仕掛けると脅迫している、または実際に攻撃を実行するハッキンググループがあると言う。
このため、これらサイバー脅威から保護するよう、重要インフラ組織に対して、直ちに予防策を講じる
よう具体的な対策を例に挙げて注意を促している。

このような国家支援のサイバーテロ攻撃は、重要なインフラを崩壊させることで恐怖と混乱を作り出し
経済的なダメージを与える最も危険なサイバー攻撃と言える。

SIPSでも金銭目的、国家支援のサイバー攻撃目的など様々な脅威情報を日々入手しているが
この1年でロシア、中国、北朝鮮のサイバー脅威は爆発的に増大している。
最近ではRedLine Stealerと呼ばれるログイン情報を窃取するマルウェアを使って窃取した日本の
大量のログイン情報が流出しているのが確認されている。
この中には日本政府が指定する重要インフラ分野に該当する企業や組織等の流出情報が大量に
確認されていて、危機感を覚えざるをえない。

どのようなサイバー攻撃をするかによって、準備する手順も利用するハッキングツールも変わってくる。
そしてブラックハッカー達が利用するハッカーズフォーラムでは、攻撃の手法や事例、手順、注意事項
など多数の情報が存在し、情報交換されている。
正にサイバー攻撃のためのフォーラムで、その内容からは目的とするサイバー攻撃を成功させるための
情報が満載なのである。

中国ブラックマーケットでは、新たなハッキングツールも大量にアップされている。
パスワードをクラックするツール、攻撃変数を入力してインジェクションの脆弱性を確認するツール、
Trojanをサポートするwebshell管理ツール、リモートデスクトップで利用するバックドア、Remote
Access Trojan、セキュリティ検知回避ツール、そして流出したランサムウェアソースコードなどである。

コロナ禍のリモートアクセスを狙うかのように、様々なログインパスワードを検出し、そのログイン情報を
使って侵入し内部にマルウェアを挿入、そしてリモートコントロールされて様々な情報が更に窃取され
最終的には重要機密情報が盗み出され大きな被害となる。
そして一連の計画立てた攻撃を確実に成功させる為の注意情報まで存在しているのである。
悪意のハッカー達は用意周到で綿密な計画の下、確実にターゲットに迫っている。

このような状況の中で、日本のインターネット環境は本当に大丈夫なのだろうか?
実際に攻撃を受けて被害を受けた会社や個人は、その苦労を知っているが、被害を受けていない
会社や個人の意識は全く変わっているようには見えず危機感すら感じない。
もし生活インフラ企業に攻撃が起きてサービスが停止してしまったら、国民一人一人が大変な事に
なってしまう。砲弾こそなくても、ウクライナの地下生活のような事になってしまう可能性でさえある。

世界のサイバーセキュリティのトップクラスの国々が、危機感を覚えて大々的な注意喚起をしていて
その具体的な対策まで公開し警告している。日本はどうするのか?

19世紀は海を制するものが世界を制し、20世紀になると空を制する者が世界を制してきた。
しかし21世紀はサイバー空間を制するものが世界を制する時代になってきている。
日本がサイバー空間をコントロールし理想のデジタル社会ができる時代はいつ来るのだろうか・・・?
何かが起きないと動かない日本のスタイルは変えなければならない。
--------------------------------------------------------------------------------
 <参考URL>
ZDNet Japan:2022/4/22
ファイブアイズ、重要インフラ狙うロシア関連のサイバー攻撃に注意喚起
https://japan.zdnet.com/article/35186665/

産経新聞:2022/4/25
相次ぐサイバー攻撃 人材、捜査…守りだけでは勝てない
https://www.sankei.com/article/20220425-RULRBK4G55KIBJBF4IACSKYKNI/

Forbes JAPAN:2022/4/23
イスラエルの諜報出身者が警告、日本企業に迫る「サイバー攻撃」の脅威
https://forbesjapan.com/articles/detail/47151

YAHOOニュース:2022/4/24
中国も注視、ウクライナ侵攻をめぐって各国が繰り広げる「サイバー大戦2022」の実態とは
https://news.yahoo.co.jp/byline/yamadatoshihiro/20220424-00292941


                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved