ロシアの「サンドワーム」ハッカー、Androidスマートフォンも標的に

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

ロシア政府が支援するハッカー集団「サンドワーム」は、歴史上最も攻撃的で破壊的なサイバー攻撃をいくつも仕掛けてきた。2014年には米国の電力会社にマルウェアを仕掛けた侵入攻撃、ウクライナで二度も停電を引き起こした攻撃、そして史上最悪の被害をもたらしたサイバー攻撃「NotPetya」などだ。しかし、Googleによると、サンドワームによる比較的静かな攻撃のいくつかは近年、気づかれずに済んでいるという。

本日、バージニア州アーリントンで開催されたCyberwarConカンファレンスにおいて、Googleのセキュリティ研究者ニール・メータ氏とビリー・レナード氏は、2017年以降のサンドワームの活動に関する一連の新たな詳細を明らかにしました。その内容は、フランス選挙への攻撃、前回の冬季オリンピックへの妨害工作、そしておそらくサンドワームの戦術の中で最も意外な新例となる、多数のAndroidスマートフォンに不正アプリを感染させようとする試みなど、多岐にわたります。彼らはAndroid開発者に侵入し、正規のアプリをマルウェアに感染させようとさえしました。

Googleの研究者たちは、サンドワームの見過ごされてきた活動に注目を集めたかったと述べている。サンドワームは、NotPetyaのような攻撃やウクライナでの以前の活動で甚大な被害をもたらしたにもかかわらず、APT28またはFancy Bearとして知られるロシアのハッキンググループほど主流の注目を集めていないと彼らは主張している（APT28とサンドワームはどちらも、ロシアの軍事情報機関GRU（軍参謀本部情報総局）の一部であると広く信じられている）。「サンドワームは長年にわたって同様に効果を発揮し、CNA（サイバー攻撃対策）の分野で大きな被害をもたらしました」と、レナード氏はCyberwarConでの講演に先立ちWIREDに語った。CNAとは、単なるスパイ活動やサイバー犯罪とは区別される、破壊的なハッキングの一種であるコンピューターネットワーク攻撃を指す。「しかし、彼らは依然として、レーダーに引っかからずに長期にわたるキャンペーンを展開してきました」

サンドワームによるAndroid攻撃に関するGoogleの調査は2017年末に開始されました。脅威インテリジェンス企業FireEyeによると、このハッカー集団が韓国の平昌で開催される2018年冬季オリンピックを妨害するキャンペーンを開始したのとほぼ同時期です。レナード氏とメータ氏は現在、2017年12月にサンドワームのハッカーが、交通機関の時刻表、メディア、金融ソフトウェアなどの韓国語版Androidアプリの悪質なバージョンを作成し、正規アプリに独自の悪質な「ラッパー」を追加してGoogle Playストアにアップロードしていたことを発見したと述べています。

Googleはすぐにこれらの悪質アプリをPlayストアから削除しましたが、2ヶ月前にウクライナのメールアプリ「Ukr.net」のバージョンに同じ悪質コードが追加されていたことがすぐに判明しました。このアプリもGoogleのアプリストアにアップロードされていました。「これがAndroidマルウェアへの最初の進出でした」とレナード氏は言います。「これまでと同様に、Sandwormはウクライナを実験場、新たな活動の実証の場として利用していました。」

レナード氏とメータ氏によると、以前のウクライナでの活動を含めても、サンドワームの悪質アプリに感染した携帯電話は合計で1,000台未満だという。また、このマルウェアの目的も不明だ。彼らが確認した悪質コードはダウンローダーに過ぎず、未知の機能を持つ他のマルウェアコンポーネントの「橋頭保」として機能する可能性があった。最終的な目的は、GRUが世界アンチ・ドーピング機関（WADA）などのオリンピック関連の標的に対して行ったようなハッキングや情報漏洩といったスパイ活動から、平昌オリンピックを襲ったオリンピック・デストロイヤーのようなデータ破壊攻撃まで、多岐にわたる可能性がある。

グーグルによると、2018年10月と11月にサンドワームがAndroid端末への侵入を試みたが、今回はやや洗練されたものだったという。今回は主にウクライナのAndroid開発者を標的とし、フィッシングメールや添付ファイルを使って、Microsoft Officeの既知の脆弱性を悪用し、「Powershell Empire」と呼ばれる一般的なハッキングフレームワークを埋め込むマルウェアを仕込んだ。あるケースでは、サンドワームはウクライナの歴史アプリの開発者への侵入に成功し、そのアクセスを利用して、前年にグーグルが確認したAndroidマルウェアに似た悪意のあるアップデートを配信した。グーグルによると、今回は感染したスマートフォンはなかったという。これは、変更がGoogle Playに届く前に検知したためだという。

メータ氏は、Androidとその開発者への新たな標的に加え、今回のソフトウェアサプライチェーン攻撃は、サンドワームが依然としてウクライナに執着していることを示す比較的新しい証拠だと指摘する。「ウクライナへの攻撃は何度も繰り返されており、これが今回の攻撃の一貫したテーマです」とメータ氏は語る。

Googleの研究者たちは、SandwormのAndroidマルウェアのいくつかの要素が、ハッカー派遣会社Hacking Teamが使用するものと共通点があることも指摘している。しかし、GRUがほぼ同時期に展開したOlympic Destroyerマルウェアには、北朝鮮と中国の両方を標的とする前例のないレベルのミスディレクションが含まれていたことから、Hacking Teamの特徴はSandwormが捜査官を欺くために付け加えた偽旗である可能性もあると研究者たちは考えている。「これはOlympic Destroyerマルウェアで確認されたコードの重複と同様に、犯人特定を混乱させる試みである可能性が高い」とレナード氏は付け加えている。

Android以外にも、Googleの研究者たちはサンドワームの活動に関する新たな詳細を指摘している。その一部は近年、他のセキュリティ企業によって部分的に説明されている。例えば、サンドワームが2017年のフランス選挙を標的とし、当時の大統領候補だったエマニュエル・マクロン氏の選挙陣営から9ギガバイトのメールを漏洩したというFireEyeの調査結果を、研究者たちは裏付けている。一部のセキュリティ企業は以前、この作戦はGRUの別のハッキングチームであるAPT28によるものだと主張していたが、FireEyeは漏洩したマクロン氏のメールの中に、サンドワームの既知のドメインにリンクするフィッシングメッセージが含まれていたことを指摘している。

建物とノートパソコンをタイピングする手のイラスト

Googleは現在、両方の主張が正しいと述べている。APT28とSandwormの両方がマクロン大統領を標的にしていたのだ。Googleは、メールインフラの可視化に基づき、APT28は2017年春から数週間にわたりマクロン大統領の陣営を標的にし、その後4月14日にSandwormが乗っ取り、独自のフィッシングメールと悪意のある添付ファイルを送信したと述べている。Googleによると、その一部はマクロン大統領のメールに侵入し、2017年5月の選挙直前に流出した。（フランス選挙ハッキングに関与したGoogleアカウントは、後に同社がAndroidマルウェアの犯人としてSandwormを特定するのに役立ったが、Googleはどのようにしてその関連性を突き止めたのかという詳細な説明は拒否した。）

Googleは、サンドワームの歴史の中でも特に謎めいた攻撃の一つを追跡していたと述べている。それは2018年の春から夏にかけてロシア人を標的とした攻撃だ。被害者には、ロシアの自動車販売会社、不動産会社、金融会社などが含まれていた。サンドワームがGRU傘下の組織であったことは広く知られているが、国内でのハッキングは依然として不可解な矛盾を抱えている。Googleは攻撃の動機について推測することを拒否した。

しかし、サンドワームの常習的な標的であるウクライナを標的とした、さらに予想される、そして現在も進行中の攻撃活動についても指摘されています。研究者らによると、サンドワームは2018年後半から現在に至るまで、ウクライナの宗教団体、政府、スポーツ、メディア関連のウェブサイトに侵入し、フィッシングページへのリダイレクトを引き起こしています。

この無差別な認証情報収集キャンペーンの目的は今のところ謎に包まれています。しかし、ウクライナをはじめとする世界各地で大規模な混乱を引き起こしてきたサンドワームの過去を考えると、依然として警戒すべき脅威であることに変わりはありません。

記事内の販売リンクから商品をご購入いただくと、少額のアフィリエイト報酬が発生する場合があります。仕組みについて詳しくはこちらをご覧ください。

WIREDのその他の素晴らしい記事