ロシアのハッキング部隊、約300名の身分が流出

2018年後半、イギリスとオランダ当局が、ロシアのスパイ機関であるロシア連邦軍参謀本部情報総局（以下、GRU）で活動する要員4名の身分を公開しました。イギリスとオランダ側の主張によれば、この4名は2018年4月頃に化学兵器禁止機関（Organisation for the Prohibition of Chemical Weapons、以下OPCW）の事務局の近辺に接近し、Wi-Fiネットワークを通じてハッキングを試みたとのことです。

これを受け、イギリスとロシアのメディアが共同で調査を開始した結果、更に約300名の身分を割り出すことに成功したと伝えています。

最初に発見された4名はOPCWがあるオランダへ向かう為、実名が書かれた外交官用のパスポートを使用していました。この実名を追跡したところ、1名はモスクワの国防省士官学校がある住所に居住していることが判明しました。

更なる調査を重ねると、他の人物にはロシアの自動車所有者データベースとの関連が見られたと言います。これはアレクセイ・モレネツ（Alexey Morenets）という人物で、ラーダ社製の車両を1台所有していることが分かりました。秘密裏に活動するGRU要員の行動がここまで明らかになり、周囲に衝撃を与えました。

そしてこの車両を再度追跡すると、26165部隊と言われる軍部隊の住所が上がってきました。アメリカとオランダ当局によると、26165部隊はGRUのサイバー戦部隊ということです。また該当データベースには、モレネツのパスポート番号が保存されていました。

次に同じ住所に登録された車両を調査を開始しました。すると約305名の個人所有の車両が出てきました。それは全て26165部隊と同じ住所に登録されていました。27歳から53歳まで、様々な年齢層であったことが分かっています。その上、フルネーム、パスポート番号、携帯番号、軍部隊の番号である26165までもがデータベースに保存されていたと言います。

アメリカは以前、ロシア人7名を起訴しましたが、全員がこの26165部隊で活動していたことで知られています。今回判明したこの305名がGRU要員であれば、今回の事件はサイバースパイ関連機関で発生した情報流出事件としては大規模なものになる、と予想しています。

このように様々な国を相手にサイバー攻撃をしかけていると言われるロシアですが、26165部隊の他にもSofacy（ソファシー）という悪名名高いサイバースパイ組織があります。Sofacyは「APT28」「Fancy Bear（ファンシーベアー）」「Pawn Storm（ポーンストーム）」「Sednit（セドニット）」「Strontium（ストロンチウム）」などとも呼ばれており、ロシア政府の支援で活動するサイバー犯罪組織です。主にウクライナや北大西洋条約機構（North Atlantic Treaty Organization、NATO）関連機関を攻撃対象として来ました。

2018年にはCannon（キャノン）という名前の新たなトロイの木馬で攻撃を仕掛け、主に各国の政府機関で発見されました。攻撃は広範囲に渡っており、北米やヨーロッパの外交関連組織、旧ソビエト連邦国家の政府機関などが主な攻撃対象でした。

CannonはMicrosoft Wordのリモートテンプレート機能を悪用し、まずC&Cサーバから悪性マクロを実行し、最初のペイロードをローディング、および実行させます。Wordファイル名は巧妙に名付けてられており、パレスチナのロケット攻撃、ライオンエアー墜落事故など、当時注目を集めている話題を活用していました。

ロシア以外にも北朝鮮、中国など、世界ではこのように政府の支援の下で活動するサイバースパイ組織の活動が活発になってきています。2020年には東京オリンピックを控えており、日本も他人事ではありません。サイバーセキュリティは情報システム部のみが理解していればいいものではなく、企業全体として理解と危機意識を深め、対策を講じることが求められています。

サイバー犯罪と戦い、企業の大事な資産であるデータを保護するために、検討すべきソリューションはこちらをご覧ください。