【ハクティビズム】マフィアとの関係も？ハッカー集団からマイナンバー守る

…サイバー犯罪の主な動機は金銭的な目的ですが、別の動機でハッキングを行っているグループもあります。彼らは経済的、政治的、宗教的な動機から国境を越えて活動をっています。このような活動は、ハッカーとアクティビズム（積極行動主義）を合わせてハクティビズムと言われています。…ハクティビストはネットワークに侵入し、著作権侵害、サーバの乗っ取り、思想性の強いメッセージでホームページを改ざんするなど、様々な攻撃を行います。ハクティビストは公共機関のサービスを妨害したり、マスコミの注目を集めるため、政府機関などのWebサイトを標的にします。また、政府主義的にサイトを改ざんすることもあります。メッセージの宣伝を目的していますが、改ざん件数を競っているグループもあるようです。このようなグループでは、最短の時間で最も多くのサイトを改ざんしたハッカーが勝者となります。…無法国家や国際的な独立組織がサイバー犯罪を行う可能性も…国家主義者や独裁国、腐敗した政府によるサイバー攻撃が…

昨年6月、日本の政党や官庁、JASRAC（日本音楽著作権協会）などに向け、多くのWebサイト改竄とDDoS（Distributed Denial of Service/分散型サービス不能）攻撃が行われた。その前年には、約1億件もの個人情報漏洩事件を引き起こしたソニー関連会社への一連の攻撃があった。これらは政治目的のために違法なハッキングも辞さない「ハクティビスト」による「ハクティビズム」の一環だった。ハクティビストのメンバーは固定していないが、企図された「作戦」に彼らの「正義」に見合う理由があれば、世界中の賛同者が参加して極めて大規模な攻撃を行うことができてしまう。現在の企業システムは金銭や嫌がらせ目的の攻撃に加えて、こうしたハクティビズムへの備えも必要としている。

セキュリティー大手カスペルスキー（東京・千代田）の川合林太郎社長は年金機構を含む一連のサイバー攻撃について、こう強調した。
一連の攻撃では、企業や官公庁など300組織が標的となっているとみられる。「パトリオットミサイル」関連の防衛文書や製品の設計図、報道機関の社員情報などが抜き取られ、国内に設置された外部のサーバーに保管されていた。

　カスペルスキーは、これらの攻撃を「ブルーターマイト」と名付けた。…

　エムディビのほとんどは国内のサーバーから命令を受けて活動する。中小企業や個人事業主など管理の不十分なウェブサイトを乗っ取り、ウイルスの指令サーバーとして悪用する。トレンドマイクロによると、2014年の標的型攻撃でウイルスの通信元となった指令サーバーの設置国は、日本が44％を占め、前年の７倍に達した。…

セキュリティー各社は14年秋から一連の攻撃について警告…トレンドマイクロが12月、「医療費通知のお知らせ」と題した添付ファイル付き標的型メールの攻撃…「一太郎」の脆弱性を狙う攻撃作戦として「クラウディオメガ」を紹介した。…

シマンテックは４つの組織の関連性を指摘する。

　クラウディオメガの実行組織は、中国を拠点とする攻撃組織「ヒドゥンリンクス」、攻撃作戦「レイディーボイル」の実行組織の２者と密接なつながりがあるとされる。シマンテックの林薫分析官は「未知の脆弱性について情報共有している」と指摘する。

　ヒドゥンリンクスは別名「オーロラ」とも呼ばれ、50～100人の工作員で構成される。特に、遠隔操作ウイルス「ハイキット」を使う。ハイキットは「ディープパンダ」という中国の攻撃組織も使っていた。
　クラウディオメガ、ヒドゥンリンクス、レイディーボイル、ディープパンダ――。４組織は「中国」が共通項だ。…

米ファイア・アイ傘下のマンディアントは13年、中国人民解放軍のハッカー部隊「61398」について調査結果をまとめ…「膨大な個人情報のデータベースを作るのが中国のハッカー集団の目的。年金機構もその一部で、個人情報の『グーグル』にでもなろうとしているのでは」と警告する。

ブルーターマイトとは、2014年後半に確認された、日本を攻撃対象としている点に大きな特徴を持つAPT攻撃の呼び名である。…「日本だけを」および「日本全体を」狙った攻撃である点を特徴としている。攻撃の拠点となるC&Cサーバーの大半が日本国内に置かれているためにフィルタリングシステムが回避されてしまい、また攻撃対象は日本年金機構だけでなく政府機関その他あらゆる分野の企業に及んでいるという。

エムディビは一般的な通信規格を使って偽装する。外部からの通信を監視する防御壁「ファイアウオール」を社内に設置していても、ウイルスは不審がられずに素通りできる。「ワード」や「一太郎」など文書作成ソフトのセキュリティー上の欠陥（脆弱性）を悪用して文書に埋め込まれるタイプと、実行ファイル形式で送られるタイプの２種類がある。

　14年11月までは「文書埋め込み型」だったが、12月以降はクリックしたら感染する「実行ファイル型」が主流になった。セキュリティー大手ラックの西本逸郎最高技術責任者（ＣＴＯ）は「高度な技術を持っているのに、あえて簡単な手口を選ぶ。それだけ狙いやすいとみなされた証拠だ」と指摘する。

カスペルスキーの川合社長は、こう指摘する。「…攻撃者はわざわざ怪しいメールを送らない。全く『不審』ではないメールに、人は引っかかる」

　では、どう対処したらいいのか。情報処理推進機構（ＩＰＡ）はいくつかの方法を提案する。まず最新のウイルス対策ソフトを端末に入れる。メールシステムを設定変更し、実行ファイルが添付されたメールを受信拒否する。このほかメールが届いたら、発信者のアドレスを確認する。ヤフーなどのフリーメールならば、注意した方がいいだろう。
　さらに、ファイルの拡張子を表示する。メールの設定変更で表示させ、ファイルのアイコンの末尾に「.exe」という文字があれば、ウイルスの可能性が高い。重要な情報は、事前にパスワードをかけて暗号化する。攻撃者がファイルを盗んでも見られず、情報漏洩の被害を最小限に抑えられる。

　つまり、基本的な安全対策で守れる部分も大きいということだ。日本は確実に標的となっている。この状況を正しく理解し、一人ひとりが身を守る術をまとうことが重要となっている。…

ホストベースの侵入防御これまでの経験から、APT攻撃で使用されるマルウェアは検知されずに数ヵ月間あるいは数年間活動を続ける…そういったマルウェアが既に社内ネットワークの内側で密かに活動しているとしたらどうでしょう。ですからネットワーク境界での防御策だけでは不十分…。…疑わしい危険な動きをするプログラムを検知し止めるテクノロジーが必要です。

モバイルバンキング型マルウェアは、「Faketoken」と「Marcher」の2つ。Faketokenファミリーの代表的なマルウェアは、PC向けトロイの木馬と連携して動く。ユーザーは感染したPCからオンラインバンキングにアクセスすると、「取引の安全性を確保する」という名目で、Androidアプリをモバイル端末へインストールするよう求められる。しかし、そのアプリの正体はFaketokenアプリで、これをインストールすると、攻撃者はトロイの木馬に感染したPCからネットバンキングのアカウントにアクセスでき、ユーザーのモバイル端末でワンタイムパスワードを傍受する。

一方、Marcherファミリーのマルウェアは、感染したAndroidデバイスで、欧州系銀行のモバイルバンキングアプリとGoogle Playの起動をトラッキングし、Androidデバイスから決済情報を搾取する。Google Playやモバイルバンキングアプリを起動すると、このマルウェアはクレジットカード情報の入力を求める偽ウィンドウを表示し、ユーザーが気付かず入力した情報を犯罪者に送信する。