安全保障を脅かす新たな存在「サイバー傭兵」とは？

サイバー傭兵とは？

サイバー攻撃を通じて、国家機密の情報窃取や破壊活動などを行う存在として、標的型攻撃者グループが知られています。彼らは国家が背景にいると推測(※)される攻撃者で、公的機関や先端技術を持つ法人企業を狙っており、安全保障を脅かす存在です。トレンドマイクロでは、近年国内でも標的型攻撃者グループを観測していることを過去にお伝えしました。この標的型攻撃者グループとは別に、
政府の要人や企業の経営層などを狙ったサイバー攻撃を展開する「サイバー傭兵」の活動が近年活発になっていることが、トレンドマイクロのリサーチでわかっています。

※例として以下のようなグループが、国家が背景にいるとしてアトリビューションされている。
中国政府を背景に持つAPT40といわれるサイバー攻撃グループによるサイバー攻撃等について（外務報道官談話）
北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関係事業者等を標的としたサイバー攻撃について

サイバー傭兵とは、依頼を受けて、サイバーテロやサイバー犯罪を代行する攻撃者のことを指します。
いわば、「サイバー攻撃の代理ビジネス」を生業としているグループです。サイバー傭兵に依頼される内容は、金銭目的の犯罪もあれば、政治的な意図が垣間見えるものもあります。
トレンドマイクロのリサーチでも、過去に標的型攻撃者グループが狙っていたターゲットと非常に近い存在に対してサイバー傭兵がサイバー攻撃を行ったことを確認しています。

サイバー傭兵「Void Balaur」～

トレンドマイクロがリサーチを行った「Void Balaur（ボイドバラウル）」（別名：Rockethack）と呼ばれるサイバー傭兵グループの活動を例に、サイバー傭兵がどういった活動を行っているのか解説します。このサイバー傭兵グループは、ロシア語のアンダーグラウンドフォーラムでサイバー攻撃の代行サービスを提供しています。金銭と引き換えにメールアカウントやソーシャルメディアのアカウントを盗み取るといったものもあれば、携帯電話基地局の通信ログ、旅客便の乗客記録、銀行取引データ、パスポートの詳細といった厳重な扱いを要する個人情報を窃取するサービスも提供しています。

Void Balaur のWeb サイトに掲載されていた提供サービス（2020 年）

Void Balaurがアンダーグラウンドフォーラムで宣伝している機密個人情報にする主なサービス

（単位はロシアルーブル：2021年9月14日の為替レートに基づく米ドル換算値を併記）

トレンドマイクロが確認したVoid Balaurの攻撃対象は3,500以上にも上ります。その中には、標的型攻撃者である「Pawn Storm（ポーンストーム）」（別名：APT28）から長く狙われていた人物（科学者）の配偶者も含まれていました。Void Balaurと別の標的型攻撃者の攻撃対象が非常に近い存在であるため、「Pawn Stormが求めていた情報を何者かから依頼され窃取しようとしていた」という可能性も考えられます。

Pawn Storm に長年狙われてきた人物の配偶者が2020 年に受け取ったフィッシングメール（Gmail）

これ以外にも、Void Balaurによるサイバー攻撃代行サービスが、政治的理由で利用されていると推察できる事例があります。たとえば、2021年9月には、東欧のある国の元情報機関長官、現職大臣5人（国防大臣を含む）、および国会議員2人の私用メールアドレスを標的にフィッシングメールを送付したことがわかっています。また、2020 年のベラルーシ大統領選挙の候補者もVoid Balaur の標的リストの中にあることがわかっています。

Void Balaurの活動範囲は、主にロシアとその近隣諸国ですが、米国、イスラエル、欧州諸国、そして日本でも活動していることがわかっています。日本では複数の報道関係者に対して、フィッシングメールを送りつけていることも確認しています。また「多くの場合、攻撃が長期間継続的に行われる」「組織だけでなく企業の経営者やその関係者をピンポイントに標的にする」といった標的型攻撃者グループと同様の攻撃キャンペーンを展開してくることもリサーチによって判明しています。

Void Balaurの詳細レポートはこちら

常套手段であるフィッシングメールの対策のポイント

Void Balaurのようなサイバー傭兵も、標的型攻撃と同様に初期侵入の常套手段として、フィッシングメールを多用していることがわかっています。フィッシングメールからマルウェアに感染してしまうと、その端末だけではなく組織全体のネットワークに感染を広げ、あらゆる機密情報が盗み取られる危険に陥ります。フィッシングメールを組織全体で対策していくためには、その組織に関わっている人全員が、このような手口があることを認識して普段から注意していくことが非常に重要です。
特に、経営陣やメディアなどでも取り上げられる業界の著名人（会社のCEO、CTO、特定分野で登壇などを行っている人物など）は、標的になりやすいため警戒が必要になっています。

標的になりやすい理由として、重要情報を管理していることも挙げられますが、このような人物こそメールアドレスの類推が容易です。まず、企業にもよりますが、役員人事などの情報はインターネットで検索することで容易に入手できます。フルネームを知ることができれば、再度インターネットで検索することで登壇の情報やメディアでのインタビュー、場合によってはソーシャルメディアなどの情報がヒットすることもあり、その人物に関する詳しい情報を取得できます。また、企業の中には、社員用メールアドレスの決め方がルール化されており（氏名＋@ドメインなど）、標的のメールアドレスを直接入手できなくとも、類推ができ、標的にメールを送ること自体は難しくありません。
さらには、インタビュー記事やソーシャルメディアで得た業務の情報などをメールの内容に反映させることで、メールに信憑性を持たせるといったパターンも想定できます。

さらに、トレンドマイクロのリサーチでは、近年のフィッシングメールについて、以下のような事例を確認しています。
●受信者と関連する実際の取引先の認証情報を予め窃取することで、正規のメールアカウントから送信する
●添付ファイルを実行させるために、不正なファイルが含まれたパスワード付き圧縮ファイルを添付している
●実行ファイル(.exe)では疑いを持たれる可能性が高いことから、実行ファイルの代わりに文章ファイル（.docや.pdfなど）を利用する

また、見落としがちなのが個人的に所有するメールアドレスへの攻撃です。特に安全保障関連や機微な情報を持つ人物においては、サイバー攻撃者により個人のメールアドレスを調べられ、そこに対してメールを送付してくるケースが懸念されます。実際トレンドマイクロでは安全保障に関わる人物に不正と思われるメールが届いたとされるケースを複数確認しています（安全保障を担当している方との対話より）。
自身が組織の機密情報、国家の機密情報を取り扱っているのであれば、サイバー攻撃者の標的になっているかもしれないということを忘れてはなりません。直近でも、2022年11月30日に学術関係者・シンクタンク研究員等を標的に、フィッシングメールが送りつけられていることをNISCや警察庁が注意喚起しています。国内にこのような脅威が身近に迫ってきていることを改めて認識しておくべきです。
特に、組織における経営層や政治家、官僚といった重要ポストに就いている人物は、個人的なメールアドレスにも攻撃が来るという可能性も考慮した上で、対策を施しておくべきでしょう。

対策のポイントとして、基本的なセキュリティソフトの導入やOS/アプリケーションの更新に加え、従業員の意識向上のためのフィッシングメール訓練などが有効になります。また「送信者とメッセージ内容の整合性に不自然な点が見受けられる」「今までのやりとりと脈絡のないメールが急に送られてきた」など、疑わしいと思ったメールが来た際には組織のセキュリティ担当者、リスク管理者などにすぐに相談することを組織全体に浸透させていくといった取り組みも効果的です。

まとめ

ウクライナ侵攻の際には、サイバー義勇兵やハクティビストなど、第三者勢力によるサイバー戦が特徴的でした。今後のサイバー戦においては、サイバー傭兵を用いた情報窃取やインフラ破壊による被害は、企業の経営リスクに直結することが想定されます。また、直接的なターゲットにならなくとも、サイバー攻撃の対象拡大により、流弾として攻撃に巻き込まれることも考えられます。
国際情勢が不安定化している昨今においては、これらの脅威が存在していることを念頭に置きつつ、自組織のセキュリティ対策を講じていく必要があります。