最近ではサイバー犯罪グループのハッキング活動が非常に巧妙になっており、国家はそれらのグループを利用して自分たちの関与を隠蔽しながら攻撃を行うようになっている。
BlackBerryのサイバーセキュリティ研究者が発表したレポートでは、洗練された「サービスとしてのクライムウェア(crimeware-as-a-service)」などの仕組みが登場したことで、国家が攻撃を代理で実行してくれるグループと連携する選択肢が生まれたと警告している。
こうしたサイバー犯罪活動は、フィッシング、マルウェア、ネットワークの侵害などの悪質なハッキング攻撃を実行する対価として金銭を得るもので、その活動を指示した国の側は、必要とする情報や対象へのアクセスを得る。
その上、その際の攻撃はサイバー犯罪グループが持つ独自のインフラやテクニックを使用して実行されるため、攻撃と活動を命じた国を結びつけることが難しくなるという副次的効果も得られる。
「BlackBerry 2021 Threat Report」では、「サービスとしてのクライムウェアの台頭、高度化、匿名性は、国家が自らの行為を第三者の請負業者や反論が難しい『もっともらしい否認(plausible deniability)』の壁の裏側に隠せるようになったことを意味している」と述べている。
研究者らは、サイバー犯罪活動が高度化していることを示す例として、「BAHAMUT」などが行っている大規模なハッキング行為を挙げた。
BlackBerryは2020年にサイバー犯罪グループBAHAMUTについて詳しく紹介した。同グループは、世界中の政府や私企業を標的としてフィッシング、ソーシャルエンジニアリング、悪質なアプリ、専用のマルウェア、ゼロデイ攻撃を利用した攻撃を行っており、発見されるまで何年もハッキング行為を続けていた。
研究者らは、「被害を受けた組織の特徴や地理的な位置は、単一の攻撃グループが関心を持つ対象としては幅広すぎる」と指摘し、BAHAMUTはさまざまな顧客のために活動しており、大きな金銭報酬をもたらす仕事を探していると示唆した。そして、一部の国はハッキング活動の実行に多額の資金を投じている。
顧客になった国家は、最終的にハッキングされたネットワークや秘密情報へのアクセスを得られるだけでなく、その行為が自国と結びつけられる可能性を減らすことができる。つまり、攻撃を実行することで発生する問題や非難を回避できる可能性があるということだ。
レポートでは、「インフラの重複、標的の共通点の欠如、一般的ではない戦術などの複数の要因によって、脅威研究者が脅威アクターを特定するのが難しい場合がある。攻撃キャンペーンの一部だけがアウトソースされた場合、特にその傾向が強くなる」と述べている。
BAHAMUTの活動は2020年に情報が開示されてからも続いており、中東全域の外交や国防に関係する政府機関を標的として攻撃キャンペーンを行っているという。このグループは、南アジアでも、偽のスマートフォンアプリを利用した攻撃を中心としてさまざまな標的を対象に活動を展開している。
確固たる意思を持ったサイバー攻撃者からネットワークを守り切ることは難しい場合もあるが、侵入を防ぐ上で役立つサイバーセキュリティ対策はいろいろとある。これには例えば、秘密情報に対するリモートアクセスはどうしてもその情報が必要な人物だけに限定することや、疑わしい異常な活動がないか常にネットワークを監視することなどが含まれる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。