敵性国家によるハッキング活動が増えている。これは、サイバー諜報活動に投資する新たな国が出てきているのに加え、国家の指示を受けている既存の攻撃グループが、クラウドアプリケーションを導入する組織が増加していることにつけ込んでいるためだ。
CrowdStrikeのレポート「2022 Global Threat Report」では、この1年でサイバー脅威の状況がどう変化したかについて詳しく説明している。紹介された大きな変化の1つが、トルコやコロンビアなどをはじめとして、攻撃的なサイバー活動を行う国が増えたことだ。
CrowdStrikeは、同社の命名規則で、トルコ政府の指示を受けている攻撃者には「WOLF」という名前を付け、コロンビアの攻撃者には「OCELOT」という名前を付けている。同社のサイバーセキュリティ研究者は、これまでもロシア政府の指示を受けた攻撃者を「BEAR」と呼び、 中国の攻撃者を「PANDA」と呼んでいたが、それと同様だ。
レポートでは、新たに登場したグループの活動を詳しく紹介している。研究者らが「COSMIC WOLF」と名付けたトルコのハッキンググループは、Amazon Web Services(AWS)のクラウド環境内に保管されている、名前が明らかにされていない被害組織のデータを標的とした活動を行っていた。CrowdStrikeが2021年4月に観測した。
COSMIC WOLFは、盗まれたユーザー名とパスワードでAWSのクラウド環境に侵入し、この認証情報を使って、コマンドラインの変更に必要とされる特権を獲得した。これによって、このグループはセキュリティ設定を変更し、AWSに対する直接的なSSHアクセスを獲得してデータを盗んだという。
各国は、サイバー攻撃は従来の諜報活動よりも簡単に行える諜報手段だと考え、これらの技術に投資している。
CrowdStrikeのインテリジェンス担当シニアバイスプレジデントAdam Meyers氏は、米ZDNetの取材に対して、「多くの国が今の状況を見て、こちらの方が安くて、簡単で、もっともらしい言い逃れが可能であることに気づいている」と語った。
「それが今起こっていることだ。多くの国でこうしたプログラムが開発されており、それらのプログラムは後になるほど改善されていくだろう」