今年7月から当社では技術提携をしているイスラエル企業のブログを紹介しています。

第9回目となる今回は当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. （旧Verint Systems Ltd.）のブログ『国境を超えるハッキング集団』を紹介します。

みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。

Verint Cyber Threat Intelligence Research Team@Verint | 2020年10月3日

2020年7月27日、サイバー犯罪者の集団が、中国の有名なダークウェブ上のマーケットプレイスにハッキングサービスを提供しますという主旨の広告を投稿しました。ハッキングをサービスとして提供する主旨の広告は中国のこうしたアンダーグラウンドプラットフォームで頻繁に見かけるようになっており、特に珍しいことではありません。投稿しているのは異なる複数の犯罪集団で、クリアネットと呼ばれる表層ウェブ上のハッキングフォーラムとダークウェブ上のマーケットプレイスの両方で、さまざまな情報を公開しています。しかし、この7月27日の広告が他と異なるのは、投稿者がロシア人であると主張している点です。

ハッカーが実際にロシア人であるという特定は可能？

1．まず始めに使われている言語を観察すると、中国語を母国語としていない人物によって書かれていることがわかります。

こうしたフォーラムのチャットでよく見かける最近の中国では普段あまり使われない古い単語や言い回しが使われています。「World・Wide・Web」を意味する「万维网」単語や「Hacker」を意味する「骇客」という珍しい単語の使用（通常は「黑客」）が良い例です。次に間違った語彙や不自然な構文を用いた文章もあり、自然な表現には程遠く、おそらく機械翻訳ツールを使って外国語から翻訳されたという印象を受けます。また、この集団の投稿はほとんどが中国本土で使用される簡体字で書かれているのですが、台湾と香港で使用される繁体字を用いている投稿も１件あります。同一人物が書いているのであれば、こうした表記の揺れは非常に珍しいことです。また、同一投稿において、同じ意味の言葉の異なるバリエーションを使用しており、これも不自然な印象を与えます。

2．次に連絡先を見てみましょう。

Telegram、QQ、Jabberアカウントが含まれ、特にTelegramとQQは中国のサイバー犯罪者とそのサービスを取引するハッカーによって広く使われているものです。しかし、これ以外にも、ロシアや旧ソビエト連邦以外ではほとんど使用されていないYandexの電子メールサービスを介してサービスを提供しています。このような特徴から投稿者が自らをロシア人であるとする主張を裏付けるものであると考えられます。

攻撃者集団の提供サービスとは

同一人物によるサービス提供に関する投稿はこれ以前の2020年6月15日にも同じ場所であり、そこには提供サービスの詳細が記載されています:

• Webを侵害し、データを抽出（主な取扱い可能データベース：MySQL、MSSQL、Oracle、PostgreSQLなど)
• WP、JoomlaなどCMSの脆弱性を悪用して、シェルの入手が可能
• ソフトウェアと暗号化されたファイルへの攻撃
• ソフトウェアおよびソースコードの二次開発
• その他、ペネトレーションテスト、コードデザイン、脆弱性のスキャン、緊急対応、アラート、Webセキュリティ研修などのWEB関連サービス

ハッキングサービスとウェブセキュリティサービスを提供するというこれら2件の投稿に加えて、2020年5月と6月の同一グループによる他の2件の投稿では、SNS上の「友達」や「フォロワー」の数を増やすためのボットや、SMS bomberツール（携帯電話のショートメッセージサービスに大量のメッセージを送りつけるツール）の販売も行っていると記載があります。

今年の夏以降、中国の攻撃者集団が中国以外のプラットフォームで活発に活動する傾向が高まっていることが調査結果でわかっています。通常、彼らは言語能力を活かし、勝手を知っている中国のアンダーグラウンドプラットフォームを使い収益を上げていますが、こうしたデータを英語圏のプラットフォームで独占的に高額で取引していることが確認されています。しかし、今回のように逆のパターンである中国以外の攻撃者集団が中国語のプラットフォーム上で活発に活動しているのは非常に珍しいことです。もし「ロシア人である」という主張が本当ならば、これは比較的稀有で注目に値する現象であると言えます。

私たちが「サイバーセキュリティ」「サイバー攻撃」という単語を耳にしたとき、攻撃者が誰なのか、彼らの動機・目的は何なのかまで考えを巡らす人は多くはないかもしれません。しかし、攻撃者のプロフィールを理解することで、セキュリティへの近道となることもあるのです。

日頃から膨大な量のデータを収集・分析しているCTI（サイバー脅威インテリジェンス）の専門家の力を借りて、態勢を整えるのも1つの手段です。

SOMPO CYBER SECURITYがイスラエルのVerint Systems Ltd.と技術提携して提供している「脅威インテリジェンスサービス」では、本記事で扱った中国語圏も含めた、ディープウェブやダークウェブ上のさまざまな言語やスラングに精通したアナリストが日々膨大な情報を収集・精査する事で、お客様組織の防衛や意思決定に資する情報をお届けしております。