政府がハッカーを支援…不穏。
今年の夏、中国政府が支援するハッカーがトランプ大統領とバイデン候補の両陣営を標的にしたと報じられ、話題になりました。そして大統領選を控えた今、彼らが再び動き出したようです。今回の手口は、「マカフィーのふりしてマルウェアを仕込む」というもの。ウイルス対策ソフトのマカフィーを装い、GitHubやDropboxといった合法的なオンラインサービス経由で、ユーザーのデバイスにマルウェアをインストールさせようとしているのです。
Googleの脅威分析グループ(TAG)の責任者を務めるシェイン・ハントリー氏は16日、同社のブログ記事で「APT 31」と呼ばれるサイバー攻撃者に関する新情報と最新の戦術を公開しました。APT31は、中国が支援している疑いのあるハッカーです。
今夏、中国とイラン政府が支援するハッキング事件が発覚
6月、Googleのセキュリティチームは2つのサイバー攻撃を発見。1つは、APT 31によるフィッシング詐欺。そしてもう1つは、トランプ大統領とバイデン候補の選挙陣営スタッフのメールアカウント乗っ取りです。後者は、イランが国家的に支援するハッカーによるもの。ちなみにGoogleの見解では、これらの不正はすべて失敗に終わったようです。
今回の攻撃は「検出が困難」。GitHubとDropboxを悪用
ハントリー氏は先週金曜日、APT 31の最新情報として、「ターゲットにオープンソースプラットフォームGitHubへのリンクを添付したメールを送りつけ、悪意あるコードをダウンロードさせる手法を展開している」と公表しました。このマルウェアはPythonというプログラミング言語で構築され、Dropboxのクラウドストレージサービスを介して「攻撃者がファイルをアップロードやダウンロードし、任意のコマンドを実行できる」ようになっています。
「この攻撃の悪意ある部分はすべて正当なサービスでホストされていたため、防御側がネットワーク信号をもとに検出することが困難」だったとハントリー氏は述べています。
他にも、合法かつ人気のウイルス対策ソフトプロバイダのマカフィーになりすまし、悪意あるコードを標的のマシンにこっそり仕込むというフィッシング詐欺も発覚しています。「ターゲットとなったユーザーがGitHubから正規のマカフィーウイルス対策ソフトをインストールするつもりで、マルウェアまで一緒に“サイレントインストール”してしまうのです」。
具体的な標的は明かされず。Googleはあくまで強気姿勢?
APT31による最新のハッキングが誰を狙ったものなのか、具体的な組織や個人名は明かされませんでした。また、両大統領候補の政治キャンペーンに影響を与えたのか、という点も公表されていません。ハイテク大手のGoogleは「大統領選という状況下で、APTによる脅威への注目が高まった」と話すにとどめており、最新の調査結果はFBIにも共有されているそうです。
ハントリー氏は、「アメリカ政府機関はさまざまな(ハッカー集団や詐欺集団といった)脅威アクターについて警告してきました。我々はこれらの機関やハイテク業界の組織と緊密に協力し、エコシステム全体で見られるものについて、主導権と情報を共有しました」と語っています。
さらに同氏は、Googleのフィッシング対策セーフガードが政府支援の攻撃を検出した場合、同社が標的とされた被害者に対し「外国政府に狙われている可能性がある、という警告を送信する」としています。
大統領選を前に、多くの機関がサイバー攻撃を確認
大統領選を目前に控え、サイバー攻撃の増加を確認しているハイテク大手はGoogleだけではありません。9月にはMicrosoftが中国、ロシア、イラン政府が支援するハッカーがトランプ氏とバイデン氏の両方陣営に関連する著名人に対して同様の攻撃をしかけた(いずれも失敗)と報告しています。さらに先週、FBIおよびサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、外国政府関連のハッカーが連邦政府、州政府および地方政府のネットワークを悪用するキャンペーンを展開したとして詳細を公表しました。
