Facebook、有名ハッキング集団APT32とベトナム企業の関与を指摘

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-12-14 12:48

 Facebookのセキュリティチームは米国時間12月10日、国家の支援を受けている最も活動的なハッカー組織の1つ「APT32」が、ベトナム政府とつながりがあるとみられると発表した。

Facebookのロゴ
提供:Alex Haney

 Facebookは、APT32が同社のプラットフォームを利用して、マルウェアを拡散し、ユーザーを感染させようとしていたことを検出したことから、調査を実施したとしている。

 Facebookのサイバーセキュリティポリシー責任者Nathaniel Gleicher氏と、サイバー脅威インテリジェンス担当マネージャーMike Dvilyanski氏は、「調査の結果、この活動がベトナムのIT企業CyberOne Group(CyberOne Security、CyberOne Technologies、Hanh Tinh Company Limited、Planet and Diacausoとしても知られ、ウェブサイトのアーカイブFacebookページのアーカイブがある)と関連していることが明らかになった」と述べた。

 米ZDNetはCyberOneからコメントを得られていない。以前の電話番号につながらず、広報担当者に連絡を取ることができなかった。同社宛ての電子メールは、不達で返ってくる。

APT32は標的へのアプローチにFacebookを利用

 Gleicher氏とDvilyanski氏によると、APT32はFacebookで架空の人物などのアカウントやページを作り、活動家や企業を装って活動していた。

 このハッキンググループは恋愛関係などで標的を誘惑し、ハッキングした、あるいは自らが運営するさまざまなドメインへのリンクをその標的と共有するという手段をしばしば用いている。

 それらのリンクは通常、フィッシングサイトやマルウェアへと誘導するものとなっている。同グループが公式の「Google Play」ストアにアップロードした「Android」アプリに誘導するものもある。これらのアプリは、同グループが標的を監視できるようにするものだ。

 Facebookはこの活動に関する調査に基づき、同グループが以下のような対象を狙っているとした。

  • ベトナム国内外の人権活動家
  • ラオスとカンボジアにあるものを含む、外国政府の機関
  • 非政府組織
  • 報道機関
  • IT、接客業、農業、日用品、病院、小売、自動車、モバイルサービスに携わる企業

 FacebookはCyberOne GroupのFacebookアカウントとページを停止し、同グループのドメインもブロックしたという。APT32が将来新しいアカウントを作成したとしても、このドメインを使うことはできない。

 またFacebookは、YARAルールとマルウェアのシグネチャーを共有し、ほかのソーシャルネットワークやセキュリティ企業が対策を取り、ユーザーを保護できるようにしている。

長く続くハッキング

 APT32は2014年に活動を始めたと考えられており、OceanLotusと呼ばれることもある。

 これまでに多種多様な活動が確認されており、ベトナム政府が関心を持っている対象に向けたほぼすべての攻撃は同グループが関与しているとされている。

 その攻撃の矛先には、係争中の近隣諸国だけでなく、反体制派や政治活動家、さらにはベトナム政府が関心を持っていると同グループが判断したと思われる私企業が含まれている。

 その好例は、2019年に仕掛けられた、自動車メーカーに対する広範な攻撃だ。この攻撃は専門家らによると、ベトナム政府の支援を受けた新興自動車メーカーであるVinFastを後押しする目的で、知的財産を盗もうとする継続的な活動だったという。同グループはこの活動で、BMWや現代自動車(ヒュンダイ)、トヨタ自動車といった企業を立て続けに攻撃し、短期間のうちにデータを盗んだとされている。

 さらに、2020年に入り、新型コロナウイルスのパンデミックが世界を襲った際に、APT32は新型コロナウイルス感染症のデータを収集することに軸足を向け、この感染症の情報を求めて中国の武漢の政府当局をも標的とした。

 このように状況に応じて標的を変更するというのは、成熟した脅威アクターの証とも言える。しかもこの柔軟性はハッキングツールについても言えることだ。このグループは、ソーシャルエンジニアリング、ドライブバイダウンロード、Officeの脆弱性、カスタムマルウェア、オープンソースツールの悪用、公開されているエクスプロイト、「macOS」のマルウェアを全て利用している。

 このグループは、何年にもわたってハッキングの戦略やツールを変えてきていることで知られている。つまり、状況に適応するだけの豊富なリソースと知識を有しているということだ。

Facebookの主張は議論を呼ぶ可能性も

 Facebookによると、こういった成熟ぶりは、APT32の背後には実在のサイバーセキュリティ企業がいるという事実を示すものだという。しかし、Facebookのこの主張が正確であるかどうかは今のところ分かっていない。

 同社の行動は、控えめに言っても驚くべきものであり、ベトナムやハッキングされた国家の政府関係者からだけでなく、サイバーセキュリティ業界からも厳しい目を向けられるはずだ。

 というのも今日に至るまで、国家を後ろ盾とするグループの正体を暴くという行為は、検察当局や匿名の人物が手がけるのみとなっていたためだ。

 サイバーセキュリティ企業は通常の場合、政府を指差す行為に慎重な姿勢をとる。さまざまな諜報機関や、政府機関と契約している現地企業についても同様だ。

 米司法省と、IntrusionTruthとして知られるグループを除けば、誰もこの境界線を踏み越えようとはしてきていない。

 しかし、同省は国家を後ろ盾とするグループの関与が公にされた際に、その内容を読んで調査することが分かっている。実際のところ、IntrusionTruthが名指しした4件のうちの3件は、最終的に同省による公式の調査対象となっている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]