Japan
サイト内の現在位置
攻撃者がサイバー攻撃の成果を主張する事例に着目してみる
NECセキュリティブログ2024年4月5日
NECサイバーセキュリティ戦略統括部の郡です。2024年3月、ドイツ軍のビデオ会議の音声がロシアの国営メディアRTの編集長によってソーシャルメディアに投稿されるという事件が発生しました [1]。ドイツ側は会議に不正侵入されたことを認め、Web会議システムに安全でない接続を利用した参加者がいたことを説明しています [2]。ロシアの国営メディアから情報が出たことから、同国の諜報機関が関与している可能性が指摘されていますが、そもそも彼らは何故窃取した情報を公開(成果を主張)したのでしょうか。この「意図」に関しては既に専門家により議論が行われています [3]。また、本件に留まらず、サイバー攻撃の成果を主張する事例は、国家が直接関与していないと思われる領域でも発生しています。
情報を公開する際、何らかの「目的」や「意図」があり、行われることがほとんどと思われます。(備忘録やメモの場合もありますが。)今回のブログでは、こういった攻撃者やその関係者によるサイバー攻撃成果の主張について、「意図」などの観点から考えていきたいと思います。
ランサムウェアによる攻撃成果の主張
サイバー攻撃成果の主張と聞いて、もっとも思い浮かびやすいのがランサムウェアによるリークサイトへの掲載でしょう。ここ数年、一般メディアでの注目度も上昇しており、ランサムウェアによるシステム停止が発生したというニュースを新聞やTVニュースで見かけたことのある方も多いかと思われます。
こういったリークサイトへの掲載は、「二重脅迫」や「二重恐喝」とも呼ばれており、2019年末ごろより手法として登場しました [4] [5]。それまでのランサムウェア攻撃の身代金交渉は、攻撃者と被害者間で完結していましたが、第三者がその状況を垣間見えるようになったという点で非常に特徴的です。
そもそも何故第三者が身代金交渉の結果を確認出来るようにする必要があるのでしょうか。ランサムウェア攻撃者の目的は金銭の獲得であることを考えると、被害を受けた組織の窃取情報の掲載予告はさらなる圧力を加える「意図」のように思われます。しかし、こういった露骨な脅迫は被害者が交渉を打ち切る材料になりえますし、機密でないデータしか流出していないのであれば、交渉の追加材料にもなりません。事実、リークサイトに掲載された組織の支払い率は2割に満たないという報告もあります [6]。
この2割未満という数字は、ランサムウェア支払い率の調査の数字と比較して低く [7]、追加の脅迫としての効果は限定されていると考えられます。(これは二重脅迫に支払い圧力がないのではなく、ファイルの暗号化には数段劣るであろうという意味です。)であるならば、その他推測されるリークサイト掲載の意図は何でしょうか。仮説として考えられるのは、これから暗号化被害を受ける可能性のある組織、つまり未来の被害者への脅迫です。ランサムウェア被害を受けた際、身代金交渉の打ち切りがリークサイト掲載による被害周知に繋がると知っていれば、攻撃者は被害者の身代金支払いに対する心理的ハードルを下げることができます。要は、未来の被害者は被害隠匿+暗号化解除の二重の恩恵が受けられることとなるのです。
このため、リークサイトに掲載される組織はそもそも交渉が望めないなど、偏って選択されている可能性があり、リークサイトの観測だけではランサムウェア被害の全体像は把握できません。(サイバーセキュリティ企業への嫌がらせや [8] 、リークサイトがうまく機能していなかった可能性が指摘された事例あり [9])また、我々セキュリティ研究者もリークサイト掲載の情報を拡散しがちですが、この行為が未来の被害者への脅迫に加担しているかも、と一瞬立ち止まる必要があるかもしれません。
ハクティビストによるDDoS攻撃成果の主張
この2年の間に、ハクティビストによる日本へのサイバー攻撃の報道が注目を集めた時期がありました。そのほとんどはDDoS攻撃であり、中長期的な影響を与えるものでなかった点がランサムウェアとは対照的と言えます。IoT 機器を改ざんするような事例も報告されていますが、今回はDDoS攻撃の公開意図に関して考えてみることとします。
DDoS攻撃は大量の通信等でリソースを意図的に消費させることで、Webサービスなどの正常稼働を妨害する手法です。攻撃用に通信を発するボットが複数必要となりますが、この大量の通信を提供する攻撃代行サービスも存在しており、手元にボットが無くとも攻撃が可能な点も特徴の一つです。(余談ですが、これらのDDoS提供サービスは自らを正当な負荷検証サービスと騙っていることが大半です。ただし、悪意ある攻撃を支援したとして、活動を摘発された事例もあります [10]。)
専用の攻撃ツールを開発しているハクティビストも存在しますが、攻撃の多くはこのような代行サービスを活用していると思われ、技術的な知識を持たなくとも活動可能です。また、攻撃が日本の定時より後(ハクティビスト居住地のオンタイム)であったり、攻撃結果をcheck-host.netなどのサービスによるオンライン判定に頼っているなど、あまり正確性は求められていないように見受けられます。
ハクティビストの目的は、自分たちの支持する団体(国家やハッカーグループなど)の政治的な目的を達成するために、そのメッセージを拡散することとされています。しかし、攻撃対象組織へのメッセージの拡散と捉えるとDDoS攻撃のような比較的短期間の障害で活動方針を変える組織があるとは考えにくく、支持団体の政治的な目的達成には沿っていないように思われます。
彼らの意図が攻撃の成功でないならば、どこに重点が置かれているのでしょうか。DDoS攻撃をメインとするハクティビストは、SNSやニュースサイトをかなり意識して観察しており、自分たちの活動がどの程度認知されているのかを一つのパラメーターとしているようです。SNS上に「成果」を誇る事例を見られた方もいるでしょう。あるグループの構成員がかなり若い年齢層で占められていると指摘する調査もあり [11]、「目立つ」ことを第一としているなら、活動や団体名の露出こそが目的であると考えられます。
一時期親露派ハクティビストと呼ばれるグループの話題が大きく取り上げられましたが、メディアも攻撃者の「意図」に気づき、以降ほとんど表立って取り上げなくなりました。事実、以降も散発的にDDoS系のハクティビストによる攻撃宣言は行われていますが、黙殺に近い状態にあり、「目立つ」というある意味ハクティビストらしい動機はなかなか達成できなくなりつつあります。
国家支援のサイバー攻撃による、偽代理人を用いた攻撃成果の主張
ハックアンドリークと呼ばれる手法がたびたび話題になります。その名の通り、ハッキングによって入手したデータや情報をあえて公開することで、ハッキング被害者やその関係者に圧力を加える、評判を落とすといった工作に使用される手法です。暴露型のランサムウェアや、冒頭紹介したドイツ軍の事例がまさに該当しますが、この手法は国家支援のサイバー攻撃者と思われるグループによって使用されている事例が時折指摘されています。
この際、暴露を行う代理人を用意する事例が複数確認されており、ハクティビストになりすまして攻撃元の身元を隠そうとしているようです。イランやロシア支援を疑われる攻撃者などで、この偽代理人とも言うべき手法が何度か確認されており [12] [13]、ロシアによるウクライナ侵攻開始後もこの手法が使用されています。
このときの攻撃者の「意図」は、攻撃を行った事実は公開したいが、それを自分の仕業と堂々と宣伝はしたくないといったところでしょうか。サイバー攻撃は被害の実態が掴みにくく、故に被害を隠し通せてしまう場合があり、被害者側がしらを切り通せば攻撃者が意図したとおりの騒ぎを起こせないかもしれないからです。
しかし、多くのハクティビストは政府機関などを侵害できるような能力は持っていないと思われ、このような偽代理人手法は国家支援の攻撃であることを匂わせることとなってしまいます。ただ、このような手法で全員を騙せるとは最初から考えておらず、匂いがつくことをためらっていないというのも「意図」とすれば、一部の人間の情報空間を汚染できればよいと考えている可能性は否定できません。物理世界でも、偽代理人活動をしている事例が報道されており [14]、これらの手法をサイバーの世界に持ち込んだのが実情かもしれません。
一方、この偽代理人手法を使わずにサイバー攻撃の成果を堂々と主張する国家組織の事例も最近出現しています。2023年末ごろより、ウクライナ軍情報総局は、サイバー攻撃の実施とその成果を自身のWebページで公開しています [15] [16]。攻撃の真偽は不明なこともあり、今のところこのような真正面からの主張は広がりを見せていませんが、ウクライナが堂々主張を続けるのか、偽代理人手法に切り替えるのか、今後も注目したいと思います。
おわりに
今回は、攻撃者側の成果主張について考えてみました。機密情報を窃取するのが目的の場合、攻撃成果の主張は防御側に有利に働くと思われるため、一見合理性がないように見えます。しかし、攻撃者も自身の名前を売るだけでなく、未来の被害者を脅迫したり、サイバー攻撃の被害を隠せないように宣伝したりと、私達がついニュースを拡散したがる情報を提示しているようです。また、その「意図」の演出は一般的に想起されるサイバー攻撃者だけでなく、国家の行うパブリックアトリビューションや、警察によるテイクダウンにも当てはまると考えられます。
拡散して欲しいという「意図」にどこまで付き合っていくのかは、我々も考え続ける必要があるでしょう。反射的に投稿してしまう前に、その拡散は誰の誘導なのかは一度考える癖があるとよいのかもしれません。何故成果の主張をするのかの側面からも、サイバー攻撃に注目してみてください。
参照文献
- [1]“ドイツ軍会議の音声、ロシア側がSNSに投稿 ウクライナ支援を議論,” :
https://www.bbc.com/japanese/articles/ce5edymdpe7o. - [2]“Berlin blames Taurus call leak on officer logging in via insecure Singapore hotel line,” :
https://www.politico.eu/article/german-defense-minister-blames-taurus-call-leak-officer-logging-via-insecure-hotel-line/. - [3]“【深層NEWS】ドイツ空軍会議音声漏えい…ロシア盗聴の手口▽SNSで仕掛けるロシア「偽情報プロジェクト」チーム高額報酬も…ウクライナ支援国へプーチン氏仕掛ける“分断のワナ”,” :
https://www.youtube.com/watch?v=2_ZHaH5DmdY. - [4]“二重脅迫ランサムウェア攻撃の増加について,” :
https://jpn.nec.com/cybersecurity/blog/200731/index.html. - [5]
- [6]“アンダーグラウンド調査から解明したランサムウェア攻撃グループの実態,” :
https://www.trendmicro.com/ja_jp/jp-security/23/b/securitytrend-20230220-01.html. - [7]“ランサムウェアの現状 2023年版,” :
https://news.sophos.com/ja-jp/2023/05/10/the-state-of-ransomware-2023-jp/. - [8]“Darktrace: Investigation found no evidence of LockBit breach,” :
https://www.bleepingcomputer.com/news/security/darktrace-investigation-found-no-evidence-of-lockbit-breach/. - [9]“Ransomware Diaries: Volume 3 – LockBit’s Secrets,” :
https://analyst1.com/ransomware-diaries-volume-3-lockbits-secrets/#Secret_1_LockBit_Sucks_at_Publishing_Victim_Data. - [10]“Federal Prosecutors in Los Angeles and Alaska Charge 6 Defendants with Operating Websites that Offered Computer Attack Services,” :
https://www.justice.gov/usao-cdca/pr/federal-prosecutors-los-angeles-and-alaska-charge-6-defendants-operating-websites. - [11]“有事と連動して発生するサイバー行為の手口,” :
https://logmi.jp/business/articles/327626. - [12]“RGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities,” :
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a. - [13]“Cadet Blizzard emerges as a novel and distinct Russian threat actor,” :
https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/. - [14]“「親露派は操り人形」元幹部がロシア関与証言,” :
https://mainichi.jp/articles/20160529/k00/00m/030/105000c. - [15]“Defence Intelligence of Ukraine conducted a cyber operation against Rosaviatsia - sanctions accelerate Russia's aviation collapse,” :
https://gur.gov.ua/en/content/voienna-rozvidka-ukrainy-zdiisnyla-kiberspetsoperatsiiu-shchodo-rosaviatsii-sanktsii-pryskoriuiut-aviakolaps-rf.html. - [16]“Софт, шифри, секретні документи — кіберфахівці ГУР зламали міноборони росії :
http://gur.gov.ua/content/soft-shyfry-sekretni-dokumenty-kiberfakhivtsi-hur-zlamaly-minoborony-rosii.html.
執筆者プロフィール
郡 義弘(こおり よしひろ)
セキュリティ技術センター インテリジェンスグループ
脅威情報の収集や展開、活用法の検討とともに、PSIRTとして脆弱性ハンドリングに従事。CISSP、情報処理安全確保支援士(RISS)、GIAC(GCTI)を保持。
山の上からセキュリティを見守りたい。
執筆者の他の記事を読む
アクセスランキング