日本で最も活動的なハッカー集団
サイバー攻撃は、世界各国で主な課題となっています。ハッカーは重要な情報を流出させて、資金を盗み、時には企業を倒産に追い込むことさえあります。日本を含む世界中でサイバー攻撃が発生する割合は、現在も急速に増加しています。
ハッカーは規模の大小を問わず、様々な企業にとって大きな脅威となっています。当然のことながら、多くの企業が自分たちのデータの安全性を心配しています。近年、ハッカーがあらゆる規模の企業をターゲットにするようになってきているので、経営陣はこういった危険性を認識し、これらの脅威から企業を守るための対策を講じなければなりません。
また、ハッカー集団はここ数年、企業だけにとどまらず、日本の政府機関も脅かしています。ハッカー集団の中には、政治的な理由で戦う活動家もいれば、金銭的な利益を目的とする集団もいます。理由を問わず、ハッカー集団はコンピュータシステムに侵入し、さまざまな組織を妨害しています。彼らは通常、はじめに何がターゲットか狙いを定めて、侵入するための抜け穴を探します。
この記事では、日本を攻撃している最も活動的なハッカー集団について説明していきますので、オンライン上の安全性が心配な方々にとって参考になれば幸いです。
日本で最も活動的なハッカー集団
Honker Union(ホンカーユニオン)
Honker Union(ホンカーユニオン)は、政治的・社会的なメッセージ性をもってサイバー攻撃を行なうハクティビスト集団です。これまでアメリカのホワイトハウスや日本の首相官邸を含む、アメリカや日本政府のウェブサイトへ何度も攻撃を仕掛けています。
「Honker Union」という言葉は、2011年に日本のハッカーが韓国政府のウェブサイトをハッキングしたことに抗議して、中国で韓国政府のウェブサイトをハッキングしたグループを表す言葉として使われたのが最初です。
2012年、Honker Unionは日本の多くのウェブサイトを改ざんし、アクセス不能にし、中には数時間にわたって機能停止に追いやられるなどの一連の攻撃で、日本を震撼させました。
Honker Unionは設立以来、政府にとって脅威である一方で、一般市民からは高く評価されています。彼らのサイバー攻撃は、日本と中国が領有権を主張する尖閣諸島を日本政府が購入し、物議を醸した後にピークに達しました。しかし、最も驚いたのは一連の大規模なDDoS攻撃の結果、河野一郎財務大臣が東京証券取引所の取引の一時凍結を宣言したことです。
この集団は、日本航空やNHKのような日本の企業や政府機関に対して、密かにハッキング攻撃を何度も引き起こしているとはっきりと示してきました。
Honker Unionは、日本の内閣府のウェブサイトやその他の政府関連サイトを含む多くの日本の組織に対して分散型サービス妨害(DDoS)攻撃を効果的に行ないました。また、多くの民間企業のウェブサイトを改ざんし、乗っ取り、悪質なプログラムに感染させました。
そして、アメリカをはじめとする欧米諸国の政府機関や企業のウェブサイトへの攻撃も行いました。さらにアメリカのビル・クリントン大統領(当時)が香港に対する中国の統治権を正式に承認したことが原因で、1999年10月1日にホワイトハウスの公式サイトが改ざん・粉砕されたと言われています。
Tick(ティック)
2007年から活動しているTickは、重要インフラ、製造業、重工業、外交関係などの分野の日本の組織に対して、お決まりのパターンで攻撃を仕掛けてきます。
Tickは技術開発に関する知的財産、ビジネスや営業情報、Eメールや会議の日程、製品のスペック、ネットワークやシステムの構成ファイルなどを標的にしています。
Tick (AKA ASN, CosmicDuke, MiniDuke, SeaDaddy, SeaDuke) は、日本やその他の国々をターゲットにしています。
この脅威アクターは、2016年にSymantec(シマンテック)が発見する以前から10年以上にわたって活動していた可能性があります。Tickは通常、知られていないコードベースで一から構築された複数のマルウェアファミリーを使用しています。加えて、研究者はTickが収入を得るために時々、闇市場でスパイウェアを販売しているかもしれないと推測しています。
Tickは自動化されたボットネットと、侵害された認証ベースの攻撃を組み合わせることで、数時間のうちに数千ものシステムに拡散されます。その犯行手口には、Gofarerと呼ばれるダウンローダーや、Daserfと呼ばれるデータを窃取するトロイの木馬が含まれています。
このグループは被害者の感染したサーバーをダウンロードサーバーとして使用し、悪質なプログラムを受け入れます。最初に発見されて以来、様々な研究者が調査をしたのにもかかわらず、現在も活動は続いています。
Tickは、日本に拠点を置く航空宇宙・防衛分野の企業を標的にし続けています。スピアフィッシングメール、水飲み場型攻撃、一般的な日本企業ツールに影響を与えるゼロデイ脆弱性で被害者を狙い、複数の組織を乗っ取りました。
2021年、日本の警察庁は中国軍とTickが結びついていることが判明し、2016年から少なくとも200以上の日本企業や組織に対して攻撃を仕掛けています。日本政府の関係者は、トヨタ自動車等を含む日本企業へのTickによるサイバーハッキング攻撃は、中国軍がTickにサイバー攻撃を実行するよう指示したと考えています。2016年以降は、攻撃の回数自体は増えてはいますが、標的となる数は減少しています。
Anonymous(アノニマス)
ハクティビスト集団であるAnonymous(アノニマス)はハッカー、活動家、コンピュータ専門家による世界的な組織です。当初、2003年にオンラインコミュニティである4Chanによって結成されました。彼らは抗議活動として、汚職や不正を行っているとされる組織をターゲットにしています。アノニマスハクティビスト集団は、持ち前のスキルを使って、これらの隠されたストーリーを暴いて、倫理的に反した行動をとっている組織を懲らしめます。政府のウェブサイトをダウンさせたり、機密文書を漏洩したりと、メンバーのスキルは善悪両方に働いています。
裁判所の判決で違法とされた捕鯨を日本政府が再開した後、アノニマスは日本の自動車メーカーである日産をターゲットにサイバー攻撃を仕掛けました。これは最も大きなサイバー攻撃の一つで、日本が南極で行っている捕鯨に抗議するものでした。日産の海外ウェブサーバーと日本支社の両方が攻撃されました。その際、アノニマスは作戦として「現実世界分散型サービス妨害(DDoS)」という攻撃を行ないました。
アノニマスは毎年行われるイルカ漁に抗議する形で、日本のウェブサイトへの一連のサイバー攻撃を密かに行いました。加えて同グループは政府機関、ウェブサイト、空港などのインフラ事業者に様々なDDoS攻撃を仕掛けました。DDoS攻撃はインフラやデバイスをユーザーや顧客だけでなく、時には狙ったターゲットさえも利用不可能にする狙いがあります。
また、アノニマスは東京の成田空港に攻撃を仕掛けて、機能不能に追い込みました。これは分散型サービス妨害フラッドを使って、ウェブサイトの処理能力以上のデータや要求を洪水のように送信し、結果的にインターネットのパフォーマンスを低下させて、ウェブサイトを使用不能に陥らせました。
この特定のリーダーがいないハッカー集団は絶対的な自由、民主主義、人類の発展を意味していると宣言しており、誰もが一度は目にしたことあるだろうガイ・フォークス・マスクはアノニマスの国際的な象徴となっています。
Cicada (APT 10)
最先端のサイバー攻撃集団「Cicada」は、日本の政府機関や企業、研究施設などを標的としています。2013年以降、これを裏で操っている攻撃者は、自動車メーカー、商社、電子機器メーカーを含む日本の組織を標的にしています。彼らは電子メール、ファイル転送プロトコル(FTP)、Webフォーラムなどを使ってターゲットにアプローチし、ソーシャルエンジニアリング手法によって、不正な添付ファイルの開封やリンクのクリックへ誘導してきます。
“Cicada”(APT10)は最近、日本企業や世界の17ヶ国の組織に対してデジタルキャンペーンと呼ばれるサイバー攻撃を密かに行なっているなど、各地に拠点を構えています。Cicadaの運営者は、主に日本や韓国のユーザーをターゲットに最もわかりにくい脆弱性でさえも見つけ出し、利用することで知られています。
このハッキング集団は、中国政府と繋がっている可能性があることがわかっており、Backdoor.Hartipと呼ばれる高度なマルウェアを使用して多くの組織や団体に侵入し、1年間にわたって大量の機密データを窃取したと報告されています。
Hartipマルウェアは、海外に拠点を置く日本企業や政府関係者を標的にするために使用される独自のマルウェアです。Hartipは追加ファイルを削除することができ、少なくとも6つのバージョンで構成される組み合わせ型アーキテクチャ(機能や構造の基本構成)があることが実証されています。Cicadaはこの弱点を利用して、2019年から2020年にかけて1年間、攻撃キャンペーンを行いました。
Cicadaはマルウェアの1種であるワームに近い感染方法で、被害者のシステムをゾンビ化させるなど、様々な感染方法を使用してきます。これは、侵害された本体のシステムの中でも簡単に利用できるツールを使用してしまうと感染してしまいます。
製造元はいくつかの脆弱性に対して修正プログラムを適用していますが、強固な修正プログラムを管理できない組織にとっては、依然として問題が発生する可能性があります。
この集団は、物理的な攻撃にはハードディスク全体を暗号化することでディスクドライブ全体をロックし、C2ではコード署名証明書の盗難、複雑なラテラルムーブメントと呼ばれる攻撃方法、さらには仮想機械の検出など、高度な機能を兼ね備えています。
APT40
APT40は、Advanced persistent threat(高度な持続的な脅威)の略で、少なくとも2009年から活動しており、世界各国の政府機関や企業、学校などを標的としています。
APT(Advanced persistent threat)の定義は、十分な資源がある組織化された集団によるサイバー攻撃で、標的とする組織や団体に対して長期間にわたり、継続的に行動を実行することができるものを指しています。APT40と呼ばれる高度に洗練された中国のハッカーは、これまで何度も日本を標的にしてきました。
APT40は、スピアフィッシングメールをマルウェアの主な送信手段として使用しています。
2017年1月、日本に拠点を置くセキュリティ関連企業がフィッシングキャンペーンによってマルウェアに感染し、顧客のほとんどが被害を受けました。
APT40は、従業員が悪質なリンクや添付ファイルを含んだフィッシングメールを受け取った企業を標的にして、キャンペーンを策略していたのです。
APT40は、ファイルレスマルウェア、横方向の移動、多段階のマルウェアフレームワーク、および事前に定義されたリモート管理ツールを活用して、知名度の高い標的を積極的に攻撃し、コンピュータシステムに侵入していました。
この危険な集団は、様々な性能や操作方法、そしてツールを使用しており、海運業、エンジニアリング、防衛技術を含む海事産業に関わる組織を継続してターゲットにしていることを示すパターンが存在します。
CrowdStrike Intelligenceは、既知のターゲットやTTP、攻撃パターンに基づいて、これらの攻撃は中国が支援しているAPT40が行っていると、非常に高い信頼性を持った上で断定しています。
この集団は、東南アジア方面に強い関心を持っており、中国政府の海洋政策、特に南シナ海の海洋領土に対する主張に対して、反発している一部の国々の組織を標的としています。さらにはタイ国内の選挙や組織運営に関わる組織もターゲットになっています。
ハッカー集団による主な攻撃方法
ここではハッカー集団が頻繁に使用する攻撃方法を紹介します。
分散型サービス妨害(DDoS)
DDoS攻撃は、標的のサーバーにリクエストを洪水のように大量に送信し、実際のユーザーのリクエストに応えられなくするものです。これはマルウェアやスパイウェアに感染し、攻撃者によって遠隔操作されたコンピュータのネットワークであるボットネットを通して発生します。
サービス妨害(DoS)攻撃を受けている間、攻撃者がローカルネットワークやインターネット接続に過剰に通信量を与えることによって、特定のコンピューターネットワークやウェブサイトを機能停止させます。
フィッシング攻撃
フィッシングとは、攻撃者が被害者を騙してユーザー名やパスワード、クレジットカード情報などのデータを公開させようとすることで、なりすましやメール送付といった手段で、被害者の信用を得ることによって行われます。残念ながら、フィッシングは犯罪者が個人情報や金融情報を入手するための最も一般的な方法となりつつあります。そのため、フィッシングの仕組みと、こういった危険から身を守るためにできる対策を知っておくことが重要です。
中間者攻撃
中間者攻撃とは、悪意のある代行業者(ハッカー)が、あなたと他の人、ネットワークサーバー、もしくはウェブサイトの間に入り込むことで発生します。中間者攻撃は、顧客の通信を転送したり、顧客データや会話を傍受して情報を盗んだり、顧客になりすましたりしてきます。
まとめ
日本では、ハッカー集団が脆弱性を利用して攻撃を仕掛けるといったサイバー犯罪が拡大しており、現在でも1日約15万件という驚異的なペースで発生しています。これらの攻撃によって、一部の企業は混乱と大きな経済的打撃を受けています。ハッカー集団からの攻撃リスクを完全に根絶することは難しいですが、企業は高い品質のサイバーセキュリティソフトを導入することで攻撃を防ぐことができるでしょう。