サイバー攻撃を仕掛けるハッカーの実態

コロナに便乗ベトナムのハッカーの目的は               

松原 実穂子 : NTT チーフ・サイバーセキュリティ・ストラテジスト

　　　　　　　　　　　　　　　　　2020年05月21

新型コロナウイルスが世界に多大な影響を与える中、さまざまな政府系ハッカー集団が他国のワクチン開発や政策に関する情報を盗もうと活動を活発化させている（参考：「中露北がサイバー攻撃で狙う『コロナ対応』情報」）。

4月22日、アメリカのグーグルは、新型コロナウイルス絡みのサイバー攻撃を仕掛けている政府系ハッカー集団を12以上見つけたと発表した。どの国の政府かについては明らかにしなかったが、被害国には、日本、アメリカ、イギリス、オーストラリア、カナダ、中国、ドイツ、フランス、ロシアなどが含まれている。

サイバー攻撃の77％が中小企業を狙っている

5月5日にアメリカ政府とイギリス政府が共同で出したサイバーセキュリティ報告書にも、政府系ハッカー集団による新型コロナウイルスに乗じたサイバー攻撃への懸念が述べられていた。医療機関、製薬会社、学術機関、医療研究機関、政府機関にサイバー攻撃を仕掛け、新型コロナウイルス関連の医療政策や情報を盗もうとしているという。

サイバーセキュリティ上のネックとして両政府が挙げているのは、世界中に広がるサプライチェーンとテレワークへの切り替えだ。急遽テレワークに移行した組織が多く、社員のテレワーク用IT環境に十分サイバーセキュリティ対策が施されている訳ではない。

また、海外の子会社や下請け企業は、本社と個人情報や設計・技術情報などを共有している一方、規模が小さく、サイバーセキュリティのための予算がそれほど取れないことが多い。そのため、強固なサイバーセキュリティ対策を取っている大企業より、サイバー攻撃で狙われやすい。アメリカのサイバーセキュリティ企業のファイア・アイの調査では、サイバー攻撃の実に77％が中小企業を狙っている。

アメリカ政府とイギリス政府が5月5日に共同で出した報告書では、サイバー攻撃をしている国名までは踏み込んでいない。同日、報告書について報じたBBCは、中国、ロシア、イランなどではないかと分析した。5月3日付の英ガーディアン紙などの報道でも、新型コロナウイルスの研究に従事している大学や研究機関、科学者や医者から情報を盗もうとしてサイバー攻撃を仕掛けているイランやロシアの政府系ハッカー集団に言及している。

世界では、そのほかにベトナムとパキスタンによる新型コロナウイルス関連のサイバー攻撃が報じられている。

サイバー攻撃能力を高めるベトナム

近年、急速にサイバー攻撃能力を高めていると言われるのが、ベトナムだ。ベトナムの国内総生産（GDP）成長率は、2018年も2019年も7％を超えた。イスラエルのサイバーセキュリティ企業イントサイトは、ベトナムの政府系ハッカー集団が、アジアのほかの経済大国に対抗するため、サイバー攻撃をライバルの多国籍企業に仕掛け、情報を集めていると考えている。

いつ頃からこのハッカー集団が活動してきたかについては、サイバーセキュリティ企業によって見解が分かれる。サイバーセキュリティ企業サイバーリーズンは、2012年に遡ると考えているが、ファイア・アイは、このベトナム政府系ハッカー集団が企業へのサイバー攻撃を始めたのは2014年からと見ている。

サイバー攻撃の対象には、アメリカや中国、ドイツ、フィリピンの製造業や消費財、サービス業などの企業や、中国政府やフィリピン政府などがある。2017年には東南アジア諸国連合（ASEAN）が複数のサミットを開催している際に、ASEANのウェブサイトをサイバー攻撃した。

ベトナムの政府系ハッカー集団の特徴は、海外の政府機関や企業だけでなく、国内のメディアやジャーナリスト、反体制派にもサイバー攻撃を仕掛けていることだ。ベトナム政府は、インターネット導入当初から、情報統制や反体制派の取り締まりへの悪影響を懸念していたと言われる。

4月22日、ファイア・アイは、ベトナム政府系ハッカー集団が、新型コロナウイルス対応に当たっている中国政府機関の応急管理部と武漢当局になりすましメールを送っていたと発表した。少なくとも2020年1月から4月にかけて、サイバー攻撃によるスパイ活動を行っていたとみられる。

ファイア・アイによると、最初のサイバー攻撃は1月6日にあり、「第1四半期のオフィス備品入札の結果についての報告」という件名のメールが応急管理部に送られていた。そのほかにも、新型コロナウイルスに関心を持つ人々を狙い、関連文書をメールに添付して送りつける手法も取られている。添付文書として、アメリカ・ニューヨーク・タイムズ紙の2月13日付の記事「中国は湖北省からの旅行者を追跡している」が使われていた。

1月13日に、中国国外で初めてとなる新型コロナウイルスの感染者がタイで見つかり、ベトナムで感染者が確認されたのはその10日後の1月23日だった。新型コロナウイルスの感染が中国国外に拡大したと報道される前から、ベトナム政府系のサイバー攻撃集団は、中国政府の対応に高い関心を寄せていたことになる。

ベトナム外務省の報道官は、ファイア・アイのブログが出た翌日の4月23日、定例記者会見で「事実無根」と報道を一蹴した。「ベトナムはあらゆるサイバー攻撃を禁じている。サイバー攻撃は非難されるべきものであり、法で厳しく取り締まらなければならない」と断じている。

なお、中国外交部の耿爽報道官は、4月24日の定例記者会見で、ファイア・アイが出したブログについてロイターから質問を受けた。しかし、サイバー攻撃が成功したかどうかとの問いへの直接の回答を避け、「新型コロナウイルスの感染が世界に拡大する中、対応に当たっている政府機関にサイバー攻撃するなどということは、世界中の人々から非難されるべきだ」とかわした。そして、「中国はサイバー攻撃で大変な被害を受けている」と主張した。

インド政府を装うパキスタンのなりすましメール

2016年からインド政府や、大使館、国防系組織にサイバー攻撃を仕掛け、情報を盗んでいるパキスタン政府系ハッカー集団がある。このハッカー集団が、インド政府を装ったなりすましメールを送っていたことが3月中旬に報じられた。

「新型コロナウイルスに関する衛生勧告」と題したエクセルファイルが添付されていた。これを開くと、被害者のブラウザーから認証情報が盗まれてしまうだけでなく、スクリーンショットが撮られ、被害者のアンチウイルスソフトの情報も収集されてしまう。

このパキスタン政府系ハッカー集団は、以前も、インドの軍や政府のデータベースから陸軍の戦略や訓練に関する文書、公式書簡を盗んだ。また、パスポートをスキャンした写真、個人情報、ショートメッセージや連絡先なども盗んだと言われる。

インド電子IT省は、位置情報を用いて、新型コロナウイルス感染者との接触履歴を追跡するためのアプリ「アローギャ・セトゥ（健康への架け橋）」の無償配布を4月2日から開始した。ところが、パキスタンの情報機関が偽アプリを作り、インドの軍人に無料メッセージアプリのワッツアップでイギリスから送っていたことが明らかになった。世界最大のワッツアップ利用国であるインドでは、利用者数が4億人以上にのぼる。

偽アプリをスマートフォンにダウンロードすると、スマートフォンに入れている連絡先などの機微な情報がパキスタンの情報機関に盗まれてしまう恐れがある。インドのオンラインニュースサイト「プリント」の4月27日付の記事が、インドの防衛当局者の見解として報じた。

インドの日刊新聞「ニュー・インディアン・エクスプレス」によると、パキスタンの情報機関はインド系の名前でソーシャルメディアを使い、インド陸軍関係者を狙う。例えば、「アノシュカ・チョプラ」という偽名を用いたパキスタン情報機関のソーシャルメディア・アカウントが、インド陸軍人にこの偽アプリを送っていたことが判明した。

インド政府は、正規の「アローギャ・セトゥ」アプリを政府のウェブサイトまたはグーグル・プレイ、アップストアからダウンロードするよう呼びかけた。

しかし、インド陸軍がこうしたサイバー攻撃の脅威をまったく予想していなかった訳ではない。軍人に対し、「アローギャ・セトゥ」アプリをスマートフォンに入れる場合、合わせてアンチウイルスソフトも入れ、OSを最新にしてサイバーセキュリティを強化するよう当初から助言していた。さらに、アプリの位置情報とブルートゥースの機能は公の場所を訪れている時のみオンにし、軍事施設や野営地にいるときは使わないよう要請していた。アプリを使う際、職務や階級、勤務地の非開示も求めている。

重要ポストの軍人にFBアカウントの削除を勧告

また、インド陸軍は、フェイスブックやワッツアップが情報機関による情報収集のターゲットになっていると憂慮し、2019年10月、重要なポストにある軍人に対し、フェイスブックのアカウントを削除し、仕事でワッツアップを使わないよう勧告した。軍人だけでなく、その家族に対しても、軍服を着用している時の写真や位置情報のわかる写真をフェイスブックなどのソーシャルメディアに投稿しないよう用心を呼びかけている。

報道では、パキスタン情報機関の情報収集の試みが成功したかどうかは明らかにされていない。しかし、ワッツアップを使って、アプリに見せかけた情報抜き取りツールを送ってきたということは、インド陸軍の2019年10月のサイバーセキュリティ勧告に従わない軍人が少なくないことを示唆している。

インド・パキスタン間のサイバー攻撃の応酬は、この20年近く続いてきた。例えば、2000年、パキスタンのハッカーたちは、インド連邦議会、カシミール地方に駐留するインド陸軍、テレビ局や新聞社など40以上のインドのウェブサイトを改ざん、パキスタンを熱烈に支持するメッセージとカシミール地方の領有権がパキスタンに属している理由を書き残している。

インドのハッカーたちもパキスタンの新聞社のウェブサイトなどにサイバー攻撃を仕掛けた。しかし、それほど大規模な攻撃ではなかったという。

2008年11月26日にインド西部ムンバイで発生した同時多発テロでは、ホテルや駅など10カ所が襲撃され、日本人1人を含む170名以上が死亡した。インド政府は、パキスタンを本拠地にカシミール地方の分離独立を求める活動を行う過激派組織が起こしたテロと見なしており、両国間の緊張関係は再び高まった。

以来、テロの発生した11月26日には、インドの複数のハッカー集団が、報復のためパキスタンのウェブサイトを改ざんするようになった。

新型コロナウイルスが収束するまで、関連する政策やワクチン、医薬情報を盗もうとするサイバー攻撃が世界中で止むことはないだろう。日本で新型コロナウイルスに取り組んでいる政府関係者、医療関係者、研究者たちも注意が必要だ。

なりすましメールのクリック率が激増

また、サイバー攻撃を仕掛けてくるのは、政府にとどまらない。金銭目的で個人情報やクレジットカード情報を盗むほか、身代金要求型ウイルスを使うサイバー犯罪者もいる。新型コロナウイルスの最新情報に飢えている人々の心理的な隙に付け込み、サイバー攻撃を行う。

今年4月のフォーブス誌の報道によると、新型コロナウイルスの感染拡大が始まる前と後では、なりすましメールのクリック率が5％未満から40％以上に激増した。サイバー攻撃の脅威が増す一方、厳しい経済状況に置かれている企業はなかなかサイバーセキュリティ予算を増やせない。世界の企業の4割はサイバーセキュリティ予算を削っている。アメリカのサイバーセキュリティ企業のバラクーダネットワークスが、5月6日に明らかにした。

サイバー攻撃の脅威が高まる一方、サイバーセキュリティ予算の増加がなかなか難しい今だからこそ、一般社員、特に今回初めてテレワークをしている社員のサイバーセキュリティの意識向上が大切だ。内閣サイバーセキュリティセンター、警視庁、独立行政法人 情報処理推進機構などが、テレワークで留意すべきサイバーセキュリティのポイントや最近のサイバー攻撃の手口を公開している。こうした一般公開情報も活用したサイバーセキュリティ強化がが求められる。

※ メール・BLOG の転送厳禁です!!  よろしくお願いします。