ハクティビストとは？日本を標的とした最新のサイバー攻撃を解説

※本記事ではサイバー攻撃者集団の一類型である「ハクティビスト」について取り扱います。本記事ではハクティビストによって行われるサイバー攻撃手口の解説と対策を中心に解説します。ハクティビストの活動目的の1つに、自らの主張の流布があるため、具体的な主張や犯行理由については取り扱いません。

2024年10月15日は第50回衆議院議員総選挙の公示日でしたが、この日、自民党のホームページにアクセスしづらい状況が続いたと報じられています。同報道によれば、ほかにも日本国内の公的機関や空港などのサイトで一次閲覧しづらい状態になったとのことです。これらのインシデントでは、大量の通信を送りつけてウェブサイトをダウンさせる「DDoS攻撃」が行われていると考えられ、いわゆる「ハクティビスト」の「NoName057(16)」という攻撃者グループがSNS上で出した犯行声明との関連が疑われます（ただし、当該グループが実際に攻撃を行ったかどうかは定かではありません）。

今回は「ハクティビスト」とは何か、昨今活発に活動するハクティビストにはどのようなグループがあるか、またその攻撃に対して気を付けるべき点はなにかを解説します。

参考記事：不正選挙につながりかねないサイバーリスクとは？

ハクティビストとは？

「ハッカー（hacker）」と「アクティビスト（activist）」を組み合わせた造語で、政治的あるいは社会的な主張・目的のためにサイバー攻撃を行う活動家や集団を指します。金銭ではなく、自らの政治的・社会的主張を世に知らしめることを目的として攻撃を実行します。

通常、企業や政府機関をターゲットにし、それらの組織や国家の安定性・継続性の阻害、時事問題への抗議、復讐、不満や不快感の表明などが動機と考えられます。

昨今活発に活動しているハクティビストの例は次のとおりです。

●NoName057(16)
・2022年3月ごろ出現した親ロシア派のハクティビスト。
・SNSのTelegramを使用して活動を行う。
・DDoS攻撃などのサイバー攻撃を行い、独自のDDoS攻撃ツールキット「DDoSia（ディードシア）」を支持者に配布。

●CyberVolk
・2024年3月にTelegramチャンネルを登録。
・Telegramのほか、XやDiscordでの活動も見受けられる。
・DDoS攻撃のほか、Webサイトの改ざん、データリーク、ランサムウェア攻撃なども行う。

参考記事：Telegram（テレグラム）とは？サイバー犯罪に悪用される理由

ハクティビストの攻撃手法とは？

以前から知られているハクティビストの攻撃手法として、DDoS（Distributed Denial of Service）攻撃が挙げられます。DDoS攻撃では複数のコンピュータから大量の通信を発生させることにより、標的のサーバに負荷をかけ、ウェブサイトをダウンさせたり閲覧しづらくしたりします。これにより、前述のように自らの主張を標的や社会に表明します。

ただし、前述のCyberVolkがデータリークやランサムウェアなどの攻撃手法も用いていることには注意が必要です。トレンドマイクロの調査では、データリークやランサムウェアに関するCyberVolkの投稿で、数千～数万ドル程度の脅迫金をビットコインで要求していることを確認しています。この金額は、他のランサムウェアグループと比較して非常に安価であることから、脅迫金が目的ではなく、このような攻撃が成功していることを知らしめることが目的だと考えられます。

ハクティビストの最新動向は？

トレンドマイクロの観測では、昨今、他のハクティビストと合同で攻撃を行う動きを確認しています。同盟を組むことにより攻撃インフラを拡大し、攻撃を成功させようとする試みと考えられます。

●NoName057(16)がTelegramに投稿した同盟の動き
・2024年2月：22C、People’s CyberArmy、CyberDragonなどとアライアンスを組み、複数の標的国を合同で攻撃
・2024年7月15日：Alixsecと同盟を結んだ旨を投稿
・2024年7月23日：NoName057(16)を含む50以上のハクティビストグループが同盟「Holy League」を結成したことを発表

●CyberVolkがTelegramに投稿した同盟の動き
・2024年7月1日：People’s CyberArmyと連携することを発表
・2024年8月18日：Team Cyber Fattahとの連携を開始する旨投稿

ハクティビストの攻撃に対して気を付けることは？

●どのような組織でも標的になり得る

次のグラフは、10月14日以降にNoName057(16)が攻撃を行ったとしてTelegramに投稿した日本国内組織の業種をまとめたものです。ただし、これは攻撃者自身による主張のため、攻撃の成果は必ずしも信ぴょう性が高いとは言えず、名指しされた組織が攻撃を否定しているケースもあることをお含みおきください。

図：Telegram上で攻撃が報告された日本国内の組織の業種（トレンドマイクロがリサーチ結果をもとに整理。n=37）

グラフからは、経済（金融機関など）、交通、公共といった業界が比較的多いものの、幅広い業種が標的とされていることも読み取れます。どのような業種の組織でも標的になり得ることを念頭に置き、情報収集を継続し、必要に応じて後述するような対策をとることをお勧めします。

●ハクティビストの主張の拡散は、彼らの思うつぼ

前述のとおり、ハクティビストの目的は自らの主張を広く世に知らしめることにあります。仮に、攻撃者の犯行声明を目にすることがあった場合、それを拡散することは攻撃者を利することと言えます。攻撃者にとってそれは攻撃の成功であり、攻撃のさらなる拡大にもつながりかねません。

また、データリークを伴うサイバー攻撃が起きた場合、被害組織から流出した機密情報などを拡散する行為も控えるべきです。攻撃者に有利になるだけでなく、ただでさえ攻撃に対処しなければならない被害組織が、情報拡散の対応にも追われ、インシデントの収束に時間もリソースもかかってしまいます。

さらに、個人情報や機密情報を拡散した場合、法的責任を問われる可能性があることも認識する必要があります。

参考記事：ランサムウェア攻撃と情報拡散の二次被害問題を考える

●技術的対策を怠らない

攻撃手法により対策は異なりますが、次のような対策が挙げられます。

DDoS攻撃への対策：
・IPアドレスによるアクセス制限（攻撃元のIPアドレスを特定し、アクセス制限を行うことで、DDoS攻撃の影響を緩和できる）
・CDNの利用（CDN（コンテンツデリバリーネットワーク）により攻撃トラフィックがサーバに到達する前に分散され、攻撃を緩和できる）
・DDoS対策サービスの活用（インターネットサービスプロバイダやクラウドサービスを提供している企業などの提供サービスを利用）

ランサムウェア攻撃への対策：
・アタックサーフェス管理：自組織の情報資産の棚卸、侵入ポイントの点検、脆弱性評価とそれに基づく対策強化（VPN機器に修正プログラムを迅速に適用するなど）
・ゼロトラストの導入：組織内のデバイス、ユーザアカウント、ネットワークを監視して、認証・認可を⾏い、アクセスを制御する
・攻撃者の侵入や内部活動などを迅速に検知・対応できるソリューションの導入（EDR、XDRなど）
・フィッシング攻撃やソーシャル・エンジニアリングの手口などについての従業員トレーニング

ハクティビストの活動は、世間の耳目が集まる大規模イベントや選挙などに便乗して活発になったり、地政学的緊張の高まりとともに活発になったりします。また、攻撃手法も他のサイバー攻撃者とほとんど変わらない場合もあります。このため、サイバーセキュリティの最新動向とともに、世界の政治的動向にも、常に注意を払う必要があると言えるでしょう。

＜関連記事＞
・不正選挙につながりかねないサイバーリスクとは？
・Telegram（テレグラム）とは？サイバー犯罪に悪用される理由
・ランサムウェア攻撃と情報拡散の二次被害問題を考える