世界的なハクティビスト集団であるAnonymousとは別の脅威グループ「Anonymous Sudan」

ロシアによるウクライナへの侵攻が続く中、2023年4月15日、スーダンの首都ハルツームで、国軍(SAF)と準軍事組織である迅速支援部隊(RSF)との戦闘が発生しました。防衛省自衛隊をはじめ、一丸となって実施した在スーダン法人の救出作戦を多くの人が目にしたことでしょう。

実は、この背後では非常に複雑なサイバー犯罪エコシステムの地殻変動が起こっています。Anonymous Sudanというサイバー攻撃グループをご存知でしょうか。同名を名乗るグループは、2023年に入り、スウェーデン、デンマーク、オランダ、ドイツ、オーストラリア、フランス、イスラエル、米国、英国、ケニア等、各国にサイバー攻撃を行っています。

同年6月には、Microsoftへのサイバー攻撃を行い、Outlook、Teams、OneDrive、SharePoints、Azure等の主要サービスで障害が発生しました。そのグループの名前から、世界的なハクティビスト集団であるAnonymousのサブグループがスーダンで活動しているのかと思うと、事態はそんなに単純ではありません。

旧Anonymous Sudanと新Anonymous Sudanの違い

Anonymous Sudanを名乗るグループは二種類あり、その他の類似するグループを含め、3つのグループが異なる背景で設立され、活動していると見られています。まずは、元々スーダンで活動していたと見られるグループです(旧Anonymous Sudanと呼称します)。

2019年にバシール大統領の独裁政権がSAFによる軍事クーデターで打倒されました。RSFは元々このようなクーデターに対処するための準軍事組織でしたが、SAFに協力し、ともに民主化の道を探ることとなりました。今回の内戦は、結局両者が相容れずに発生した衝突です。

この過程で、民主化移行政府に反対して活動していたのが、旧Anonymous Sudanであり、政府機関等へのDDoS攻撃を行っています。この活動はOpSudanと呼ばれ、ロシア・ウクライナ戦争において、ウクライナを支持し、ロシアにサイバー攻撃を行うGhostSecが関与しているとみられています。

一方、2023年1月に設立されたAnonymous Sudanは、ロシアとの関係が深いと言われています(新Anonymous Sudanと呼称します)。最初に標的となったのは、スウェーデンのスカンジナビア航空(SAS)です。デンマークの極右政治家Rasmus Paludan氏がスウェーデンにあるトルコ大使館前でコーランのコピーを燃やした事件の報復として、サイバー攻撃が行われました。

Paludan氏の主張は、トルコのエルドアン大統領が表現の自由を侵害しているというものですが、妙だったのは、事件のあった1月21日の直前である18日に新Anonymous Sudanが設立されたというタイミングです。Paludan氏は事前に活動を予告しているものの、同グループの結成と報復攻撃までの流れがあまりにもスムーズでした。

フィンランドのPekka Haavisto外相はPaludan氏とロシアとの関係を証明する証拠あると発言しており、トルコが渋っていたスウェーデンのNATO加盟の動きの中で発生していることからも、ロシアの関与、つまりロシアが同氏を使って引き起こした可能性が疑われても不自然ではありません。

直近では、トルコが戦争終結までトルコに滞在するという条件でロシアが捕虜交換に応じたり、ウクライナの軍事組織アゾフ連隊の元司令官をウクライナに帰国させたり、米国からのF-16譲渡の見返りにスウェーデンのNATO加盟を支持する立場に転じたりと、ロシアにとって好ましくない政策を行っていることから、再度何らかの工作を受ける可能性もあります。

そして、なんと新Anonymous Sudanは、親ロシア派民間アクターとして最も有名なグループの一つであるKillnetとの関与が指摘されています。Killnetは2022年2月24日のロシア・ウクライナ戦争の勃発後、1年以上にわたってウクライナを支援する西側諸国に対してサイバー攻撃を行っているグループであり、2022年9月には日本に対してもサイバー攻撃を行いました。

2023年1月以降、Killnetは、ドイツがウクライナへのレオパルト2の供与を決定したことに対しての報復的なサイバー攻撃を行ったが、新Anonymous Sudanがこれに協力していました。また、その後のスウェーデン、オーストラリアへのサイバー攻撃でも両者が協力しています。

そして、6月には、Killnetと新Anonymous Sudanに加え、悪名高いランサムウェアグループであるREvilが「Darknet Parliament(ダークネット議会)」という枠組みを設立し、会議を開催したといいます。そこでは、大々的に西側諸国のロシア制裁への反発が議論され、SWIFTをはじめとする国際的な銀行送金システムへのサイバー攻撃を決定しました。

また、新Anonymous Sudanの使用するTelegramアカウントのロケーション情報はロシアとなっていることも踏まえ、同グループはロシアの息がかかっているか、ロシア人で構成されている可能性すらあります。

ややこしいのは、OpeSwedenという攻撃キャンペーンを掲げるグループです。新Anonymous Sudanと同様に、Paludan氏のコーランに抗議する意図があり、トルコ系のハクティビストであるTurkHackTeamが関与しています。新旧Anonymous Sudanとは関係ない第三勢力と見られますが、特徴としてはAnonymousにより近い点です。

ロシアとスーダンの関係とは

ここでロシアとスーダンの関係に着目してみます。プーチンの料理人で知られる民間軍事会社ワグネルのプリゴジン氏は、スーダンのバシール前大統領を支援していましたが、後にRSF支援に鞍替えしています。ワグネルは2014年以降のリビア内戦で、スーダンと共に民兵を派遣し、2019年以降はスーダンに民兵を派遣する見返りとして、金の採掘権を獲得しています。

その後、ワグネルの工作員が金の採掘、加工の監督をするようになり、生産した金はロシアに輸送されています。金の生産に関わるメロエ・ゴールド社は、ワグネルとの関与を理由に、米国から制裁指定もされています。ワグネルは民兵の派遣だけでなく、軍人の訓練も支援しており、民主化運動の弾圧に貢献する見返りという形で、スーダンを豊かにするはずだった金がロシアに出ていくのです。

2023年2月にロシアのラブロフ外相がスーダンを訪問しています。ポートスーダンにロシア海軍の基地を建設することで合意し、後に彼は、スーダンがワグネルを利用する権利があると述べています。このように経済、軍事面での関係が深い両者でしたが、サイバーの分野でも協力関係を構築している可能性は否定できません。

経済、軍事的関係構築に一役買っていたのが、ワグネルであり、プリゴジン氏でしたが、6月23日にショイグ国防相とゲラシモフ参謀総長の解任を要求する反乱を起こしました。その後、ワグネルがベラルーシに拠点を移し、現在は勢力が衰退しているとも見受けられます。

この背後で起こっているサイバー情勢を見ていきましょう。実は、KillnetのリーダーであるKillmilkは、プリゴジンの反乱自体を非難する一方で、プリゴジン氏の発言を支持しています。Killnetは3月に(サイバー空間における)民間軍事会社化を表明しましたが、このモデルがワグネルでした。プリゴジンの反乱の際には、ワグネルと合流する声明もあリましたが、実態は不明です。

一方で、プリゴジンの反乱の後、ワグネルを名乗るサイバー攻撃者がロシアに対して牙をむき始めました。ワグネルという名前の新しいランサムウェアが登場しました。一般的なランサムウェアとの大きな違いは、身代金の支払いを要求するのではなく、ランサムウェアの被害者にワグネルへの参加を求めるというものであり、脅迫文には、ショイグ国防相に反発するような表現も含まれています。

また、ワグネルを名乗るグループが、ロシアの衛星通信事業者であるDozor-Teleportに対してサイバー攻撃を行ったと主張しました。同社のウェブサイトはダウンし、機密情報も窃取したと主張しています。さらにその他の複数のロシアのウェブサイトでもサイバー攻撃の被害が観測されました。

これらのグループやサイバー攻撃とワグネル、プリゴジン氏との関係は不明であり、ウクライナがプリゴジンの反乱に便乗して偽旗サイバー作戦を行っているという見方もあります。ワグネルがサイバー情勢にまで何らかの影響を及ぼすか、計り知れないところではありますが、目下で警戒すべきは、やはり新Anonymous Sudanの動きです。

Killnetの活動が比較的落ち着きを見せる一方で、活動が目立ってきているのが、新Anonymous Sudanです。2023年1月の結成後、3月までの間にスウェーデン、オランダ、ドイツ、イスラエル、フランス、オーストラリア等にサイバー攻撃を行い、4月には再びイスラエルに対して、複数の大学、政府機関へのサイバー攻撃を行っています。

5月には再度、スウェーデンのSASに対してサイバー攻撃を行い、攻撃をやめる見返りとして身代金の支払いまで要求しています。要求額は3,500ドルから始まり、1,000万ドルまで引き上げました。その後6月にはMicrosoftへのサイバー攻撃を行ったのは、前述の通りです。

Microsoftへのサイバー攻撃では、データをリークしない見返りに身代金の支払いを要求する、所謂リーク型脅迫手法を採用し始めました。100万ドル支払わなければ、窃取した3000万人のMicrosoftユーザーのデータを販売するという脅迫内容でした。

その後、ChatGPTを提供するOpenAI社に対しても犯行予告を行っています。新Anonymous Sudanは、一連の攻撃を米国による内政干渉に対する報復だと主張しています。米国はサウジアラビアとともに、スーダンの内戦停戦調停を行うとともに、SAF、RSFに対して経済制裁を行っているからでしょうか。

新Anonymous Sudanはそれらしい名目でサイバー攻撃を行っていますが、その意図は不明瞭な部分が多いと言われています。たとえば、彼らは3月にフランスに対してのサイバー攻撃を行っていますが、シャルリー・エブドのモハンマドの風刺画に対する報復だと主張しています。しかし実施はKillnetに同調し、ウクライナを支援する西側諸国を標的にサイバー攻撃を行っているものと思われます。

風刺画に対する同社への襲撃事件は、2015年に起きたものであり、同社は2020年にも風刺画を再掲しているものの、タイミング的にも疑問が残ります。日本は難民政策を理由に2023年5月にAnonymous からサイバー攻撃を受けており、このようなことから、ある種難癖をつけるように、サイバー攻撃が仕掛けられる可能性も考えられます。

新Anonymous Sudanは、直近7月には米PayPal、英OnlyFans、さらにケニア政府にサイバー攻撃を行っています。日本はG7広島サミットでゼレンスキー大統領を招待し、ロシアと西側諸国との間で一定の距離を保ってきたグローバルサウスのリーダーであるインドを始め、各国首脳とゼレンスキー大統領を引き合わせた格好になリました。さらに、7月には昨年に続き、岸田首相がリトアニアで開かれたNATO首脳会談に出席し、日本とNATOの連携強化をはかっています。今後、ウクライナ支援、ロシア制裁を強める中、サイバー攻撃の標的となる可能性に警戒を強めるべきだと言えます。

また、懸念されるのは、ロシアに同調するようなサイバー犯罪者やハクティビスト集団の地域的な波及です。新Anonymous Sudanが身代金支払いの脅迫を採用したように、犯罪手法や攻撃手法が伝播し、サイバー脅威として、のしかかってくることがあれば、さらなるランサムウェア等の脅威拡大が避けられないでしょう。

サイバー作戦の実態を読み解き、サイバー防衛を考える

2022年12月に開催したセミナー「Cyber Security Deep Dive Vol.4 〜サイバー作戦の実態を読み解き、サイバー防衛を考える〜」のセッション内容をまとめました。

今回のメインテーマは「サイバー作戦の実態を読み解き、サイバー防衛を考える」で、現段階で判明している限りでの、ロシア・ウクライナ戦争を背景にしたサイバー攻撃の全貌から、各国でも安全保障戦略上、統合的に扱うべき一領域と看做されているサイバー空間でのアクティビティーを分析し、そこから得られる学びとこれから波及してゆく影響を考察します。

ご自身のセキュリティナレッジのアップデートや振り返り、今後のサイバーセキュリティ戦略の策定にお役立てください。
https://www.cybereason.co.jp/product-documents/white-paper/10072/