悪意のあるハッキンググループが、ロシアによるウクライナ侵攻に乗じて、世界中でサイバー攻撃を仕掛けている。ログイン認証情報、機密情報、金銭などを被害者から盗み取ることが目的だ。
Googleの脅威分析グループ(Threat Analysis Group:TAG)によると、ロシア、中国、イラン、北朝鮮などの国家が関与するグループのほか、独立的に活動しているさまざまなグループやサイバー犯罪者が、ウクライナ紛争に関連した話題を悪用し、人々を被害に巻き込もうとしている。
同社はこの2週間だけでも、幾つかのハッキンググループが情報や金銭の窃盗など、悪意のある目的のために、ウクライナ侵攻を悪用しているのを発見した。
そうしたグループの1つに、同社が「COLDRIVER」(別名「Calisto」)と呼ぶ脅威アクターがある。米国に拠点を置く複数のNGOやシンクタンク、東欧諸国やバルカン諸国の軍部、ウクライナの防衛関連企業、そしてNATOのCentre of Excellenceなどがこのグループの標的になっている。
攻撃者は、新たに作成した「Gmail」アカウントを使ってフィンシングメールを送りつける。メールのリンクは、ユーザー名やパスワードを盗み取り、それを悪用して諜報活動やマルウェアを仕掛けたりすることを目的としている可能性がある。
ほかにも、ベラルーシを拠点に活動しているとみられる「Ghostwriter」が、ロシアによるウクライナ侵攻につけ込もうとしている。このグループのフィッシング攻撃は「Browser in the Browser」という手法で、ブラウザー内でブラウザーをシミュレートして、正規のドメインであるかのように偽装し、ログイン認証情報を盗み取ろうとする。
ユーザーがユーザー名とパスワードを入力してしまうと、攻撃者が管理するドメインに送信される。そこで保存され、将来さらなる攻撃を行なう時に悪用される恐れがある。
またGoogleは、「Curious Gorge」というハッキンググループのキャンペーンについても警告している。中国軍のサイバーおよび電子戦闘部門である人民解放軍戦略支援部隊に関連しているようだ。
TAGによると、このグループもロシアによるウクライナ侵攻に関連したおとりを使い、ウクライナ、ロシア、カザフスタン、モンゴルの政府機関や軍事組織に対して、キャンペーンを展開している。
しかし、ウクライナ紛争を取り巻く関心や混乱につけ込んで、サイバー攻撃を仕掛けようとしているのは、政府を後ろ盾とするグループだけではない。犯罪者もこうした動向に便乗しているという。軍関係者になりすまし、ウクライナに取り残された親族を救出するための支払いを要求しているサイバー犯罪者がいるとGoogleは指摘した。
Google TAGのセキュリティエンジニアBilly Leonard氏は、「われわれは、こうした問題に対する認識を高め、ユーザーを守り、将来の攻撃を阻止するために、犯罪者を特定して、関連情報を業界や政府機関と共有するための取り組みを続けていく」と述べている。
また、複数のランサムウェアブローカーも、やはり普段通り活動しているとGoogleは指摘した。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
