Facebookが、イランに関係するハッカーグループのネットワークに対処したとして、その取り組みについて明らかにした。このグループは、架空の人物が共有する悪意あるリンクを介してマルウェアを拡散させるなどしていたという。Facebookの諜報活動調査チームは、このグループのアカウントを削除するなどの対策を取り、標的となった可能性のあるユーザーに通知した。
このハッカーグループは、「Tortoiseshell」として知られている。以前は主に中東のIT業界にフォーカスして活動していたとされている。活動地域を拡大しているとみられ、主に米国の軍関係者のほか、航空宇宙産業や軍需産業の企業を標的とするようになっているという。このグループは悪質な手法を駆使し、標的のデバイスを諜報活動用のマルウェアに感染させようとしていた。ソーシャルエンジニアリングの手法を駆使し、何カ月もかけて標的と関わろうとしていた例もあるという。また、フィッシングや認証情報の盗難の活動で、大手電子メールプロバイダーなどを装った攻撃者の支配下にあるドメインに標的を誘導するなどしていた。
Facebookはブログ記事の中で、「このアクティビティーは、豊富なリソースと持続的な活動という特徴を備えているとともに、背後にいるアクターを隠ぺいするために比較的強力なセキュリティ手法を利用していた」とし、「われわれのプラットフォームは、複数のプラットフォームを横断するより幅広いサイバー諜報活動の一環として利用される要素の1つとなっており、Facebookでのアクティビティーはマルウェア自体を直接配布するというものではなく、主にソーシャルエンジニアリングと、人々をプラットフォームの外部(例えば電子メールやメッセージングサービス、コラボレーションサービス、ウェブサイト)に誘導するためのものとなっていた」と説明している。
またFacebookは、このグループが複数の独特なマルウェアファミリーを利用していたことを明らかにした。一部のマルウェアは、イスラム革命防衛隊(IRGC)と関わりのあるテヘランのIT企業Mahak Rayan Afraz(MRA)が開発したという。Facebookによると、MRAの現在の幹部や元幹部は、米政府が制裁措置を取った企業とつながりを持っている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
