ホーム / 情報処理安全確保支援士 /

【情報セキュリティ】ロシアとサイバー犯罪集団との関係

2023年4月18日火曜日

サイバー攻撃 セキュリティ 情報処理安全確保支援士

t f B! P L

 

【情報セキュリティ】ロシアとサイバー犯罪集団との関係






2011年~2016年に猛威を振るった「AnglerEK」



EKとはエクスプロイトキットの略で、攻撃者がサーバやPCなどに侵入するためのツールを集めたものであり、複数の脆弱性に対するエクスプロイトコードが利用できます。

2011年~2016年は「AnglerEK」という名前のエクスプロイトキットを利用したサイバー犯罪が猛威を振るった時期であり、そのサイバー犯罪に関わった集団のことをAnglerEKとも呼びます。

詳しくはこちらのサイトを参照してください。


2016年6月、ロシア当局により容疑者50人が逮捕され活動は沈静化されました。
しかし、2023年現在で多くのランサムウェアギャングとして活動している犯罪集団を作り上げたのはその時の摘発を逃れた元AnglerEKのメンバーが関与していると言われています。


AnglerEKについて


SaaS型のサービスとして進化しEKサーバを提供する(月額数千ドル~)

・主に、Flash Player、Internet Explorer、Silverlight を標的としていた

・5年間で約4500万ドルを窃取

・2016年6月、ロシア当局により容疑者50人を逮捕

・元AnglerEKのメンバーが現在のランサムウェアギャングとして活動している




ロシア連邦軍参謀本部情報総局(GRU:グルー)

GRUの主な活動は「情報収集、スパイ活動、諜報活動(傍受、盗聴、暗号解読)、偵察衛星や特殊部隊の運用」などです。

2022年のロシアによるウクライナ侵攻の前には、アメリカやイギリスがウクライナへのサイバー攻撃にロシア軍が関与した可能性が高いとの認識を示しています。







2022年時点のランサムウェアギャング


ランサムウェアは身代金を要求するため犯行声明で犯罪者集団の組織名が明らかになります。
そして、2022年時点では次のようなサイバー犯罪集団が確認されています。






さらに、これらグループ同士が技術や施設などを共有していることがわかってきています。


ランサムウェアギャング同士のつながりを示す証跡


・ランサムウェアのコード(モジュール)を共有しているグループがある

C2(C&C)サーバをシェアしているグループがある

・リークサイトのインフラを共通しているグループがある

・同じ暗号方式を採用しているグループがある

・ほぼ全てのグループでコンピュータの標準言語にロシア語を設定している端末ではマルウェアが活動しない




サイバー犯罪集団がロシアとの関係を表明!?


2022年2月時点でランサムウェアギャングの中で最も企業に損害を与えたのがContiと呼ばれるグループです。
そして、Contiがロシアによるウクライナ侵攻の翌日(2022年2月25日)に次のような表明を行いました。

-2022年2月25日(侵攻の翌日)
ロシア政府を全面的に支持することを公式に発表する。ロシアに対するサイバー攻撃や戦争活動を組織する、あらゆる団体の重要なインフラに反撃するために、可能な限りのリソースを投入する」


はっきりと「ロシア政府を全面的に支持する」と言っています。
しかしその約一時間後


いかなる政府とも同盟を結ばず、進行中の戦争を非難する。ロシア連邦の市民に対する、西側からの圧力と、サイバー戦争で脅迫する米国への対応として、全能力を用いて報復措置を行う」


発表の内容が修正され、ロシア政府との関係を否定しています。
圧力がかかったのでは?という見方もあります。




下記表を見ればContiが当時もっとも影響力が大きかったことが分かります。
(被害企業数グラフ)





Contiの内部情報がSNSで暴露される


2022年2月28日、twitterのContiLeaksというアカウントが突如出現し公表を始めました。
※アカウントはまだ存在していますが不用意にアクセス、ダウンロードしないでください

MBSDがまとめたContiLeaksの資料があります。
ContiLeaksの概要まとめ(MBSD)    ※こちらの資料は安全です。


流出したチャットログには、Contiの工作員がロシア連邦保安庁(FSB)を含むロシアの政府機関と接触していたことを示唆する証拠も含まれていたということです。


CintiLeaksの概要


・流出したチャットログの期間:2020/6/21〜2022/03/2

・チャットログの形式:json 形式(Jabber(XMPP)のログと推測されるデータ)

・Json ファイル数:546 ファイル

・メッセージ数の合計:約 17 万弱(168,777) 

・メッセージ内のユーザー数(重複削除):465 ユーザー


流出させたとされる研究者のインタビュー記事もあります。

親ロシアのランサムウェアグループ「Conti」の内部チャットログ1年分を流出させたウクライナの研究者がインタビューに応じる(CNN)




2022年5月19日、Contiが解散


突如、Contiが解散し活動を停止しました。
2022年6月時点の被害企業のグラフを見ても2月からほとんど伸びていないことがわかります。



その後、メンバーはHelloKitty/AvosLocker/Hive/BlackCat/BlackByteなどのグループへ分散したとされています。




まとめ


あくまでも憶測なのでロシア政府とサイバー犯罪集団が手を組んでいるかどうかは分かりません。
日本の外で起こっていることのように感じますが、サイバーセキュリティ対策に大きく後れを取っている日本の企業がターゲットになれば、大企業でも被害を受ける可能性はあります。

また、ウクライナ侵攻によって「ハイブリッド戦争」という言葉が出るようになりました。
物理的な軍事力の行使だけでなく、サイバー攻撃を交えることによって相手に甚大な被害を与える手段が取られるようになっています。

マイクロソフトが詳しくレポートしているので是非ご覧ください。


以上です。
最後まで読んで頂き有難うございました。



他の記事も良ければ読んでください。

情報処理安全確保支援士試験に合格したらやること。おすすめ5選。

情報処理推進機構(IPA)が実施している情報処理技術者試験には「情報処理安全確保支援士試験(SC)」という試験区分があります。 たくさんある 高度 情報処理技術者試験のなかで 唯一「国家資格」を取得することができる 試験です...

【必見】未経験でも合格した情報処理安全確保支援士試験の勉強法

情報処理安全確保支援士試験の受験を考えている方には、このような不安があるかもしれません。 不安 ・情報処理安全確保支援士試験って役に立つの? ・実務経験がないと合格は難しい? ・何時間ぐらい勉強したらいいの? ・どうやって...


このブログを検索

ブログをよくする

自己紹介

自分の写真
はじめまして。はるはるです。 中2の息子と小5の娘を抱える2児の父です。今はゲーム会社で働いています。 子供のプログラミング学習に協力できるように教え方を勉強中です。 このブログでは簡単なゲームを作りながら自分が学んだことを少しずつ共有していきます。 情報処理の試験をたまに受けます。 第二種情報処理技術者 ソフトウェア開発技術者 基本情報処理技術者 応用情報処理技術者 twitter: https://twitter.com/amaruchan007

連絡フォーム

名前

メール *

メッセージ *

QooQ