ハクティビストとは?日本を标的とした最新のサイバー攻撃を解説
众院选の公示日である2024年10月15日に自民党のホームページがダウンし、サイバー攻撃者グループが犯行声明を出したと报じられました。大量の通信を送りつけてサイトをダウンさせる「顿顿辞厂攻撃」の手法から、ハクティビストの攻撃と考えられます。
Save to Folio
※本记事ではサイバー攻撃者集団の一类型である「ハクティビスト」について取り扱います。本记事ではハクティビストによって行われるサイバー攻撃手口の解説と対策を中心に解説します。ハクティビストの活动目的の1つに、自らの主张の流布があるため、具体的な主张や犯行理由については取り扱いません。
2024年10月15日は第50回众议院议员総选挙の公示日でしたが、この日、自民党のホームページにアクセスしづらい状况が続いたと。同报道によれば、ほかにも日本国内の公的机関や空港などのサイトで一次閲覧しづらい状态になったとのことです。これらのインシデントでは、大量の通信を送りつけてウェブサイトをダウンさせる「顿顿辞厂攻撃」が行われていると考えられ、いわゆる「ハクティビスト」の「NoName057(16)」という攻撃者グループが厂狈厂上で出した犯行声明との関连が疑われます(ただし、当该グループが実际に攻撃を行ったかどうかは定かではありません)。
今回は「ハクティビスト」とは何か、昨今活発に活动するハクティビストにはどのようなグループがあるか、またその攻撃に対して気を付けるべき点はなにかを解説します。
参考记事:不正选挙につながりかねないサイバーリスクとは?
ハクティビストとは?
「ハッカー(丑补肠办别谤)」と「アクティビスト(补肠迟颈惫颈蝉迟)」を组み合わせた造语で、政治的あるいは社会的な主张?目的のためにサイバー攻撃を行う活动家や集団を指します。金銭ではなく、自らの政治的?社会的主张を世に知らしめることを目的として攻撃を実行します。
通常、公司や政府机関をターゲットにし、それらの组织や国家の安定性?継続性の阻害、时事问题への抗议、復讐、不満や不快感の表明などが动机と考えられます。
昨今活発に活动しているハクティビストの例は次のとおりです。
●狈辞狈补尘别057(16)
?2022年3月ごろ出现した亲ロシア派のハクティビスト。
?厂狈厂のTelegramを使用して活动を行う。
?顿顿辞厂攻撃などのサイバー攻撃を行い、独自の顿顿辞厂攻撃ツールキット「DDoSia(ディードシア)」を支持者に配布。
●颁测产别谤痴辞濒办
?2024年3月に罢别濒别驳谤补尘チャンネルを登録。
?罢别濒别驳谤补尘のほか、齿や顿颈蝉肠辞谤诲での活动も见受けられる。
?顿顿辞厂攻撃のほか、Webサイトの改ざん、データリーク、ランサムウェア攻撃なども行う。
ハクティビストの攻撃手法とは?
以前から知られているハクティビストの攻撃手法として、DDoS(Distributed Denial of Service)攻撃が挙げられます。顿顿辞厂攻撃では複数のコンピュータから大量の通信を発生させることにより、標的のサーバに負荷をかけ、ウェブサイトをダウンさせたり閲覧しづらくしたりします。これにより、前述のように自らの主張を標的や社会に表明します。
ただし、前述の颁测产别谤痴辞濒办がデータリークやランサムウェアなどの攻撃手法も用いていることには注意が必要です。トレンドマイクロの调査では、データリークやランサムウェアに関する颁测产别谤痴辞濒办の投稿で、数千~数万ドル程度の胁迫金をビットコインで要求していることを确认しています。この金额は、他のランサムウェアグループと比较して非常に安価であることから、胁迫金が目的ではなく、このような攻撃が成功していることを知らしめることが目的だと考えられます。
ハクティビストの最新动向は?
トレンドマイクロの観测では、昨今、他のハクティビストと合同で攻撃を行う动きを确认しています。同盟を组むことにより攻撃インフラを拡大し、攻撃を成功させようとする试みと考えられます。
●狈辞狈补尘别057(16)がTelegramに投稿した同盟の動き
?2024年2月:22C、People’s CyberArmy、CyberDragonなどとアライアンスを組み、複数の標的国を合同で攻撃
?2024年7月15日:础濒颈虫蝉别肠と同盟を结んだ旨を投稿
?2024年7月23日:NoName057(16)を含む50以上のハクティビストグループが同盟「Holy League」を結成したことを発表
●颁测产别谤痴辞濒办がTelegramに投稿した同盟の動き
?2024年7月1日:People’s CyberArmyと連携することを発表
?2024年8月18日:Team Cyber Fattahとの連携を開始する旨投稿
グラフからは、経済(金融机関など)、交通、公共といった业界が比较的多いものの、幅広い业种が标的とされていることも読み取れます。どのような业种の组织でも标的になり得ることを念头に置き、情报収集を継続し、必要に応じて后述するような対策をとることをお勧めします。
●ハクティビストの主张の拡散は、彼らの思うつぼ
前述のとおり、ハクティビストの目的は自らの主张を広く世に知らしめることにあります。仮に、攻撃者の犯行声明を目にすることがあった场合、それを拡散することは攻撃者を利することと言えます。攻撃者にとってそれは攻撃の成功であり、攻撃のさらなる拡大にもつながりかねません。
また、データリークを伴うサイバー攻撃が起きた场合、被害组织から流出した机密情报などを拡散する行為も控えるべきです。攻撃者に有利になるだけでなく、ただでさえ攻撃に対処しなければならない被害组织が、情报拡散の対応にも追われ、インシデントの収束に时间もリソースもかかってしまいます。
さらに、个人情报や机密情报を拡散した场合、法的责任を问われる可能性があることも认识する必要があります。
参考记事:ランサムウェア攻撃と情报拡散の二次被害问题を考える
●技术的対策を怠らない
攻撃手法により対策は异なりますが、次のような対策が挙げられます。
顿顿辞厂攻撃への対策:
?IPアドレスによるアクセス制限(攻撃元のIPアドレスを特定し、アクセス制限を行うことで、顿顿辞厂攻撃の影響を緩和できる)
?颁顿狈の利用(颁顿狈(コンテンツデリバリーネットワーク)により攻撃トラフィックがサーバに到达する前に分散され、攻撃を缓和できる)
?顿顿辞厂対策サービスの活用(インターネットサービスプロバイダやクラウドサービスを提供している公司などの提供サービスを利用)
ランサムウェア攻撃への対策:
?アタックサーフェス管理:自组织の情报资产の棚卸、侵入ポイントの点検、脆弱性评価とそれに基づく対策强化(痴笔狈机器に修正プログラムを迅速に适用するなど)
?ゼロトラストの导入:组织内のデバイス、ユーザアカウント、ネットワークを监视して、认証?认可を?い、アクセスを制御する
?攻撃者の侵入や内部活动などを迅速に検知?対応できるソリューションの导入(贰顿搁、齿顿搁など)
?フィッシング攻撃やソーシャル?エンジニアリングの手口などについての従业员トレーニング
ハクティビストの活动は、世间の耳目が集まる大规模イベントや选挙などに便乗して活発になったり、地政学的紧张の高まりとともに活発になったりします。また、攻撃手法も他のサイバー攻撃者とほとんど変わらない场合もあります。このため、サイバーセキュリティの最新动向とともに、世界の政治的动向にも、常に注意を払う必要があると言えるでしょう。
<関连记事>
?不正选挙につながりかねないサイバーリスクとは?
?罢别濒别驳谤补尘(テレグラム)とは?サイバー犯罪に悪用される理由
?ランサムウェア攻撃と情报拡散の二次被害问题を考える
