Cybereason Intelligence Groupでは、中国とロシアが他の国家や企業に対してグローバルな攻撃を実施するために利用している戦略および手順を分析しています。中国・ロシアでは、民間企業に諜報活動を依頼する場合があり、これらのハッカー集団は、驚くべき洗練性で活動する一方で、自らのサイバー活動に関しては、国家に保護された「ステータス」という隠れ蓑を利用しています。

ロシア政府のセキュリティサービス(旧称KGB)は、ロシアの犯罪コミュニティおよびハッカーのコミュニティとの長年に渡って結びつきを持っています。10年前、ロシアは、エストニアの大規模なDDoS攻撃について、これらの非公式なコミュニティと連絡を取った事実を明らかにしました。

例えば米国司法省の起訴状によると、「ロシア連邦保安局の局員である被告Dmitry DokuchaevおよびIgor Sushchiは、米国およびその他の地域において、犯罪的なハッカー集団に情報を収集するように指示し、彼らを保護し、便宜を図り、彼らに金銭を支払った。彼らはAlexsey BelanおよびKarim Baratovと共謀することで、数千名の個人電子メールアカウントを取得した」とあります。

同じように、国家のために自由契約で仕事をするグループの活動を保安局が監督している中国でも国家と犯罪者やハッカー達との結びつきが加速化しています。BoyuSec(およびそれに類似した企業)は、民間企業と契約することにより自社の企業活動を拡大しています。これらの中国企業は、彼らの活動が政府にとって大きな問題にならない限り、(中国当局より)外国の政府機関や企業などに対してサイバー活動を行ってもよいという、暗黙の了解を得ているものと思われます。一部の中国IT企業は政府の暗黙の了解を使い、ハッカーを雇用して海外の機密情報を入手。急速な成長を遂げています。

もはや中国では、競争相手に対する情報や優位性を獲得するために、裏サイトにアクセスする必要はなく、Baiduを検索するだけで、ハッキングサービスを提供する多くの会社を見つけることができます。 さらに、かつては国家が後ろ盾のハッカーのみ入手可能であったツールが、今では民間企業向けの手頃な価格のコモディティとして提供されています。

ロシアにおける組織的に計算されたサイバーアウトソーシングと、中国における民間ハッキングサービスが組み合わさることで、次のことが可能となります。

  • 短期間でのハッキングツールの機能拡張
  • 表向きサイバー活動をしていないように見せかける、巧みな変装術
  • サイバー攻撃検知リスクの低減
  • 政府内では直接採用できないハッキングの専門家を獲得
  • 全体的なサイバー活動コストの削減

過去6年間、ロシアは、サイバー攻撃における愛国キャンペーンを展開し、ハッカーの持つ能力と実行力を繰り返しアピールしてきました。 結果としてマルウェアを使用してウクライナの送電網を攻撃することや、紛争において、外国政府のネットワーク攻撃に参加するような愛国的ハッカーを生み出しました。

国家が持つハッキング知識とサイバー犯罪集団とが掛け合わされることで、従来のハッカーよりもはるかに強力な、ロシアハッキング集団という妖怪が生み出されました。また、このようなツール、ハッカー、ミッションのハイブリッド化は、世界のサイバーセキュリティが直面している最も強力なマルウェアを生み出し、さらに、世界で最も技術的に高度で大胆なサイバー犯罪コミュニティを生み出しています。

ハッカー達の後援者が、サイバー犯罪の追跡と検挙を担当する内部保安局である場合、彼らの関心事は、当局が定義した「境界」を守ることであり、ロシアの法律やモラルに従うことではありません。Yahooで起きたハッキングのケースでは、ハッカー達はロシア当局による諜報活動の支援を得てYahooサーバーへのアクセス権を取得。検索アルゴリズムを操作し、Webトラフィックを促進し、クレジットカードのスキミングを行うことで利益を得ていました。

このように国家が享受している有効性にもかかわらず、このアプローチには、大きなリスクが潜んでいます。

  1. 国際的な活動は制御が難しい。
  2. ミリタリーグレードのツールが急速に普及してしまう。
  3. 血気盛んなハッカーは、しばしばその飼い主の手を噛むことがある。
  4. 国家と関係なく活動するハッカーによる過ちが急速にエスカレートする可能性がある。
  5. 悪意あるハッキングが日常的に行われることで、国家が相手国に対し、「警告のためにハッキングを行う」意味がなくなる。

事実ロシアの場合、暗号通貨の発達とハッキング活動のグローバル化により、ハッカー達に国家への協力を強制する能力は失われてきています。これらの先進的なハッカー達を今後もずっと国家にとって「許容可能」な境界内に閉じ込めておくには、ナショナリズムだけでは十分ではありません。

ロシアのモデルは短期には効果が見込めますが、冷戦時代にソビエト連邦とアメリカ合衆国の双方で行われていた代理グループによる戦いの再来となる可能性もあります。短期的な目標が達成されても、長期的な影響は予測が困難であり、多くの場合、短期の利得よりも長期に起きる変化が世界に対し大きな影響を持ちます。今後も国家が後ろ盾のハッカー集団の行動を注意深く監視する必要があるでしょう。

Cybereason Intelligence Groupについて

Cybereason Intelligence Groupは、洗練されたサイバー攻撃に対する防衛手段を提供するという使命のもとに誕生しました。サイバー攻撃の背後に存在する攻撃者、攻撃理由、攻撃方法を調査し解明を進めています。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606