セキュリティ研究者が国家支援のハッキング作戦の詳細を解明する際、通常は悪意のあるコードサンプル、ネットワークログ、そして遠隔地のサーバーへの接続といった、わずかな痕跡を辿ります。ハッカーが自らの行動を録画し、その動画をインターネット上の保護されていないサーバーにアップロードすれば、この捜査作業は飛躍的に容易になります。まさにイランのハッカー集団が、無意識のうちにそうした可能性を秘めているのです。
IBMのX-Forceセキュリティチームの研究者は本日、約5時間分のビデオ映像を入手したことを明らかにした。これは、IBMがITG18と呼ぶハッカー集団(他のセキュリティ企業ではAPT35またはCharming Kittenと呼ばれる)の画面から直接録画されたと思われる。ITG18は、イラン政府とつながりのある、最も活発な国家支援型スパイ集団の一つである。流出したビデオは、ハッカーが米国とギリシャの軍関係者を含む被害者のアカウントから盗み出したと思われる40ギガバイトのデータの中に含まれていた。データに含まれていた他の手がかりから、ハッカーが米国務省職員と、名前が明らかにされていないイラン系アメリカ人の慈善家を標的にしていたことが示唆されている。
IBMの研究者らは、APT35の以前の活動で確認された仮想プライベートクラウドサーバーのセキュリティ設定ミスが原因で、これらの動画が流出したと述べている。これらのファイルはすべて、IBMが当該マシンを監視していた5月の数日間にわたって、流出したサーバーにアップロードされた。動画は、イランの支援を受けたハッカーたちが、ハッキングされたアカウントの扱い方を若手チームメンバーに示すために作成した訓練用のデモ動画とみられる。ハッカーたちが侵入したGmailとYahoo!メールのアカウントにアクセスし、そのコンテンツをダウンロードする様子や、被害者からGoogleがホストするその他のデータを盗み出す様子が映っている。
このようなデータの窃取とハッキングされたアカウントの管理は、高度なハッキングとは決して言えません。むしろ、大規模なフィッシング攻撃に必要な、労力はかかるものの比較的単純な作業と言えるでしょう。しかし、これらの動画は、諜報機関以外ではほとんど目にすることのない、国家主導のサイバースパイ活動の実態を直に映し出す、貴重な資料と言えるでしょう。
「脅威アクターの活動について、このような洞察を得られることは実際にはほとんどありません」と、これらの動画を発見したIBM X-Forceのシニアアナリスト、アリソン・ウィコフ氏は語る。「実際の活動を観察するといえば、通常はインシデント対応やエンドポイント監視ツールから得られるものです。実際に攻撃者が自分のデスクトップで作業しているのを見ることは非常に稀です。これは全く別のレベルの『キーボードを実際に操作する』観察なのです。」
IBMがWIREDに公開を条件に見せてくれた2本のビデオで、ハッカーたちはハッキングしたアカウントからデータを抜き出すワークフローを実演している。1本目のビデオでは、ハッカーはテキスト文書から認証情報を入力して、侵害したGmailアカウント(実演用のダミーアカウント)にログインし、それをメールソフトZimbra(複数のアカウントを単一のインターフェースで管理できるように設計されている)にリンクさせ、Zimbraを使ってアカウントの受信トレイ全体をハッカーのマシンにダウンロードする。次にハッカーは、被害者のGmailにある、アカウントの権限が変更されたという警告を素早く削除する。次にハッカーは、被害者のGoogleアカウントからも連絡先と写真をダウンロードする。2本目のビデオでは、Yahoo!アカウントでの同様のワークフローが紹介されている。
イランのハッカーがメール管理ツールZimbraを使ってYahoo!アカウントからメールを盗み出す方法を実演する流出動画のスクリーンショット。スクリーンショット:IBM
ウィコフ氏によると、この動画で最も印象的なのは、ハッカーがアカウント情報をリアルタイムで盗み出すスピードだ。Googleアカウントのデータは約4分で盗み出され、Yahoo!アカウントは3分もかからない。もちろん、どちらのケースも、数十ギガバイト、数百ギガバイトものデータを持つ実際のアカウントであれば、ダウンロードにははるかに長い時間がかかるだろう。しかし、この動画はダウンロードプロセスがいかに迅速に構築されるかを示しており、ハッカーがこの種の個人情報窃盗を大規模に実行している可能性が高いことを示唆しているとウィコフ氏は語る。「彼らがこれほど多くのウェブメールアカウントにアクセスし、それらを巧みに操作して盗み出す手口をいかに巧みに仕組んでいるかは、まさに驚異的だ」とウィコフ氏は言う。「まさに精巧に整備されたシステムだ」
IBMの研究者は、動画の中で、同じダミーアカウントがフィッシングメールの送信にも利用されているケースを確認しました。無効なアドレス宛てのバウンスメールがアカウントの受信トレイに表示されていたのです。研究者によると、これらのバウンスメールは、APT35ハッカーの標的の一部を明らかにしており、米国務省職員やイラン系アメリカ人の慈善家も含まれていました。どちらの標的がフィッシングに成功したかは不明です。ダミーのYahoo!アカウントには、イランの国番号+98で始まる電話番号も一瞬表示されていました。
IBMの研究者がWIREDに公開を拒否した他の動画では、ハッカーたちが訓練用に作成したアカウントではなく、実際の被害者のアカウントをくまなく調べ、データを盗み出している様子が見られたと研究者らは述べている。被害者の1人は米海軍の隊員で、もう1人はギリシャ海軍に20年勤務したベテランだった。研究者らによると、APT35のハッカーたちは、標的となった2人から写真、メール、納税記録、その他の個人情報を盗んだようだ。
APT35ハッカーが使用していた安全でないサーバー上のファイルディレクトリ。盗まれたデータを持つアカウントがリストされている。スクリーンショット:IBM
研究者たちは、いくつかの映像で、ハッカーたちがユーザー名とパスワードがびっしり詰まったテキスト文書を操作している様子を観察したと述べています。そのリストには、携帯電話会社から銀行口座、さらにはピザの宅配サービスや音楽ストリーミングサービスといった些細なアカウントまで、メール以外の膨大なアカウントが含まれていました。「どんなアカウントでもアクセス制限はありませんでした」とウィコフ氏は言います。しかし、研究者たちは、ハッカーたちが二要素認証を回避できたという証拠は見つからなかったと指摘しています。アカウントが2段階認証で保護されると、ハッカーたちはリストの次のアカウントへと移行したのです。
IBMの調査結果が明らかにした標的攻撃の種類は、長年にわたりイランの利益のためにスパイ活動を行ってきたAPT35に関連する既知の攻撃活動と一致しており、侵入の第一段階としてフィッシング攻撃を最も頻繁に利用している。同グループは、核規制当局や制裁機関など、イランに直接的な脅威となる政府機関や軍部を標的としてきた。最近では、新型コロナウイルス感染症の研究やドナルド・トランプ大統領の再選キャンペーンに関与する製薬会社を標的としたフィッシングメールを配信している。
ハッカーが安全対策の行き届いていないサーバーに、情報漏洩につながるツールや文書をうっかり残してしまうことは、決して前例のないケースではないと、元NSA職員で現在はセキュリティ企業Dragosの研究員を務めるエミリー・クローズ氏は指摘する。しかしクローズ氏によると、今回のケースのように、国家支援ハッカー自身の活動の動画が捜査官に残されたという公開事例は、これまで聞いたことがないという。また、ハッキングされたアカウントには、侵入経路を示す証拠も含まれている可能性が高いため、流出した動画はイランのハッカーに戦術の変更を迫る可能性もあると彼女は指摘する。「このような事態は、防御側にとって滅多にない勝利です」とクローズ氏は言う。「ポーカーで、相手が最後のフロップの最中に手札をすべてテーブルに平らに広げているようなものです」
それでもIBMは、APT35の動画の発見がハッキンググループの活動ペースを鈍らせるとは考えていないと述べている。実際、IBMは昨年、Microsoftに100近くのドメインを差し押さえられている。「彼らはただ再建し、活動を続けたのです」とウィコフ氏は言う。もしそのようなインフラの一掃がイランの活動を鈍らせなかったのであれば、動画流出による影響も期待できないだろうと彼女は言う。
WIREDのその他の素晴らしい記事
- 刑務所に入ってもTikTokに投稿し続けている
- 私の友人はALSに侵されました。彼は闘うために運動を起こしました
- ディープフェイクは企業研修の新たなツールとして注目を集めている
- アメリカは新型コロナウイルスの世論調査に病的な執着を持っている
- 最初のワクチンを発見したのは誰ですか?
- 👁 適切に活用すれば、AIは警察活動の公平性を高める可能性があります。さらに、最新のAIニュースもご覧ください
- 📱 最新のスマートフォンで迷っていますか?ご心配なく。iPhone購入ガイドとおすすめのAndroidスマートフォンをご覧ください。
