PR

イランのハッカーが誤って流出、不正侵入の様子を記録した動画の中身

PR

ハッカーがサーバーに不正侵入したりデータを盗んだりする様子を動画で記録し、それがセキュリティ研究者の手に渡る--。このほど、そんな極めて珍しい“事件”が起きた。イランのハッカー集団が流出させてしまった動画には、新人ハッカーの訓練用の実演に加えて、実際に軍関係者のデータを盗み出す様子まで記録されている。

TEXT BY ANDY GREENBERG

WIRED(US)

セキュリティ研究者が国家ぐるみのハッキング活動の全容を把握する際には、通常は悪意のあるコードのサンプルやネットワークログ、遠隔サーバーへの接続などのわずかな痕跡をたどって情報をつなぎ合わせていく。もしハッカーが自らの活動を動画に記録し、しかもオープンなインターネット環境で保護されていないサーバーにアップロードしてくれさえすれば、その全容はずっと簡単に把握出来ることだろう。

まさにそんなことを、イランのハッカー集団がうっかりやってしまったようだ。IBMのセキュリティ研究開発機関「IBM X-Force」の研究者たちは、同社が「ITG18」と呼ぶハッカー集団(ほかのセキュリティ企業による別名は「APT35」または「Charming Kitten」)に所属するハッカーがPCの画面を録画したと思われる、およそ5時間分の動画を入手したことをを7月16日に明らかにした。

APT35は、イラン政府とつながりがある国家支援のスパイ集団のなかでも、とくに活動的な集団である。漏洩した動画では、APT35のハッカーが米軍やギリシャ軍の関係者などを含む被害者のアカウントから盗んだと思われる、40ギガバイトのデータから見つかった。データ内で見つかったほかの手がかりから、このハッカー集団が米国務省職員と匿名のイラン系米国人慈善家を標的にしたことがうかがえる。

まさに「現場を押さえた」状況

IBM X-Forceの研究者らは、以前APT35の活動が観測された仮想プライベートクラウド(VPC)サーバーにおいて、セキュリティ設定のミスが原因で動画が誤って公開されているところを発見したという。発見されたファイルはすべて、IBMがそのサーバーを監視していた5月中の数日間にサーバーにアップロードされたものだった。

発見された動画は、イランが支援するこのハッカー集団が、ハッキングしたアカウントの処理方法を新人ハッカーに示すために作成した実演教材と考えられている。動画のなかで、ハッカーたちは不正アクセスしたGmailや米国のYahoo!メールのアカウントにアクセスし、そのアカウントのデータをダウンロードしたり、被害者のGoogleアカウントに保存されたデータを流出させたりしていた。

この種のデータ流出やハッキングしたアカウントの管理において、高度なハッキング技術はまったく必要ではない。どちらかといえば大規模なフィッシング活動に必要となるような、労働集約的だが比較的単純な作業が求められる。それでも発見された動画は、諜報機関でもなければ目にすることはほぼない、国家絡みのサイバースパイ活動の実態を示す珍しい代物であるといえるだろう。

「悪意のある行為者の実際の作業内容に関して、この種の洞察を得られることはまずありません」と、この動画を発見したIBM X-Forceのシニアアナリストのアリソン・ウィコフは語る。「ハッキングを観測したとわたしたちが言うとき、通常はインシデント対応やエンドポイント監視のツールで観測したことを意味します。画面上で操作している様子を実際に目にすることなんて、めったにありません。まさに『現場を押さえた』ということになります」

鮮やかなハッキングの手順

公開しないという条件で『WIRED』US版がIBMから見せてもらったふたつの動画のなかで、ハッカーたちはハッキングしたアカウントからデータを取り出すまでの流れを実演している。

ひとつ目の動画では、あるハッカーが文書ファイルから取り出した認証情報を使って、不正アクセスしたGmailアカウント(デモ用のダミーアカウント)にログインし、複数アカウントを単一のインターフェイスで管理できるメールソフト「Zimbra」にそのGmailアカウントを接続している。そしてZimbraを利用し、Gmailアカウントの受信トレイ全体をハッカーのマシンにダウンロードする。

次にハッカーは被害者のGmailから、アカウントの権限が変更されたことを示す警告メールを素早く削除する。その後、ハッカーは被害者のGoogleアカウントから連絡先と写真もダウンロードする。2番目の動画では、米国のYahoo!アカウントを使った同様の手順が示されている。

研究者も驚くスピード

この動画における最も重要な点は、実演するハッカーがリアルタイムで不正アクセスしたアカウントの情報を盗み出すスピードだと、IBM X-Forceのウィコフは指摘する。なにしろ、Googleアカウントのデータは約4分で盗まれる。Yahoo!アカウントは3分もかからないのだ。

もちろん、どちらの場合も数十ギガバイトから数百ギガバイトのデータを保有する実際のアカウントのダウンロードには、はるかに長い時間がかかる。しかしウィコフによると、発見された動画からわかるのは、ダウンロードが可能となる環境を整えるにはそこまで時間は必要ないということだ。

このことから、ハッカー集団がこの種の個人データの窃取を大規模に実行している可能性が高いことがうかがえる。「さまざまなウェブメールのアカウントに不正に出入りしてデータを引き出す設定をすることに、ハッカーたちがどれだけ精通しているのかがわかり、とにかく驚いています」と、ウィコフは言う。「本当にスムーズです」

IBMの研究者は、同じダミーアカウントがフィッシングメールの送信にも使われている場合もあることを、動画内で確認している。無効なアドレスに送信されて送り返されたメールが、ダミーアカウントの受信トレイに表示されていたのだ。

研究者によると、この送り返されたメールによって、ハッカー集団APT35の標的の一部が明らかになったという。標的には、米国務省の職員や、イラン系米国人慈善家が含まれていた。いずれかの標的に対してフィッシングが成功したかどうかは不明だ。ダミーのYahoo!アカウントにはリンクされている電話番号が一瞬表示され、その電話番号はイランの国コード「+98」で始まっている。

本物のアカウントを狙った動画も存在

IBMの研究者が『WIRED』US版に見せなかった別の動画では、ハッカー集団がトレーニング用に作成したアカウントではなく、実際の被害者のアカウントからデータをくまなく引き出しているように見えたという。被害者のひとりは米海軍メンバーであり、もうひとりはギリシャ海軍に20年所属する人物だった。IBMの研究者は、APT35のハッカーが標的となったふたりの個人から、写真、電子メール、税務記録、その他の個人情報を盗んだようだと説明している。

IBMの研究者によると一部の動画には、同じハッカー集団が電子メールではないアカウントのユーザー名とパスワードの長いリストが記載されたテキストを扱っている様子が映っていたという。リストには、電話会社や銀行口座、ピザ配達サービス、音楽のストリーミングサービスなどにいたるまで、さまざまなアカウントが含まれていた。

「あらゆるアカウントが記載されていました」と、ウィコフは言う。だがIBMの研究者によると、ハッカーたちが二要素認証を通り抜けることができたという証拠は、一切確認されなかった。アカウントがふたつ目の異なる認証形式で保護されている場合、ハッカーたちはすぐにリスト上の次のアカウントへと進んでいたという。

IBMの調査が明らかにしたこの種の活動は、長年イランに代わって諜報活動を担ってきたAPT35が手がけてきたとされるスパイ活動と同様の手口だ。APT35は、侵入の第1段階としてフィッシング攻撃を最も好むことで知られている。

またAPT35は、核規制当局や制裁機関など、イランに対して真っ向から敵対する政府や軍部を主な標的としてきた。最近では、新型コロナウイルス感染症の研究に関与している製薬会社とドナルド・トランプ大統領の再選挙キャンペーンを標的に、フィッシングメールを送信している。

それでも活動は止まらない

ハッカーがセキュリティで保護されていないサーバー上で誤ってツールやドキュメントを公開してしまった事例はこれまでにもあったと、米国家安全保障局(NSA)の元職員で現在はセキュリティ企業Dragosのリサーチャーのエミリー・クロースは指摘する。だが今回の件のように、国家支援のハッカー集団によって自ら撮影された実際の活動の動画が調査する側に渡った事例は、知る限りないという。

また、ハッキングされたアカウントには、不正アクセスの手法に関する証拠も含まれている可能性が高い。それを考慮すると、流出した動画はイランのハッカー集団に戦術の一部の変更を余儀なくさせる可能性があるとも、クロースは語る。

「防御する側にとっては珍しい勝利と言えます」と、クロースは言う。「ポーカーのプレイが進むなかで、賭けるか降りるか考える場面で対戦相手が手持ちのカードをすべて見せたようなものですから」

とはいえ、APT35の動画の発見によって、このハッキング集団の活動ペースが落ちるとは考えていないと、IBMは指摘する。昨年、このハッキング集団が保有する100近くのドメインがマイクロソフトによって差し押さえられているのだ。

「ハッカーたちはすぐに体制を立て直し、活動を再開しました」と、IBM X-Forceのウィコフは言う。ドメインが差し押さえられるような、インフラを失うことがあっても活動のペースを落とさなかったなら、動画流出による一部の情報公開によって活動ペースが落ちることは期待できないだろうと、ウィコフは指摘する。

この記事を共有する

おすすめ情報