エフセキュアにとっては、目新しいものではない

ショーン・サリバン

トルコのハッキンググループが、ハッキングしたiCloudアカウントデータを人質にAppleをゆすろうとしているようだ。

「Turkish Crime Family（トルコの犯罪一家）」と名乗るハッカー集団は、人質となっているデータを削除することと引き換えに、身代金として75,000ドル相当のビットコインかイーサリアム（人気上昇中の仮想通貨）、または10万ドル分のiTunesギフトカードを要求している。

先週には、トルコ関連とされる、Twitter Counterというサービスを介したTwitterアカウントのハッキングが起こったばかりだが、それに続くものである。

このニュースを目にして、アンディが記した記事を思い出した。

過去数年間に、おそらく、次のようなフレーズを聞いたことがあるでしょう。「潤沢な資金を手元にした脅威アクターによって計画された、戦術、技術、および手順が、未熟な敵の手に渡っている」「スクリプトを悪用し、興味本位でシステムに被害を与えるハッカーが増加すると予想される」などです。GCHQのIan Levy博士が最近指摘したように、エフセキュアが最近観察してきた攻撃の多くは、「Advanced Persistent Threats（ATP）持続的標的型攻撃」ではなく、「Adequate Pernicious Toerags（ATP）とても悪意に満ちたろくでなし」によるところの単純なハッキングです。

この現象を端的に表したものが、エフセキュアが「ルーマニアのアンダーグラウンド」と名付けたグループです。これは、サイバーセキュリティサービスのスタッフが、インシデントレスポンスやフォレンジックの作業を実行しながら、さまざまな場面で直接接触したグループです。

ルーマニアのアンダーグラウンドは、単純に言えば、”ハッキング”を趣味として楽しむことがかっこいいと考える、IRCチャットルームの仲間たちです。これらの仲間たちのほとんどは、集団に加わって議論できるほどのUnixスキルは持っていません。彼らはおそらく全部で5つのコマンドを知っている程度でしょう。新しく加入した仲間は、この新たな趣味を始めるための、簡単なツールとトレーニングを提供するメンターの下に置かれます。メンターたちも、新人とスキルレベルはたいして変わりません。おそらく新人よりも5つばかり多くのUnixコマンドを知っている程度でしょう。しかし、彼らはすでに数週間前に加わっているので、その分だけ経験は豊富です。

新人が仕事のやり方を習得すると（通常、提供されているツールの設定を学んだことを意味します）、彼らはメンターに昇進し、新入りの見習い者が割り当てられます。この階層モデルは、あなたが不幸にも遭遇したかもしれない、良く知られたピラミッド販売スキームにかなり似ています。もちろん、ルーマニアのアンダーグラウンドに関わっている連中は、石鹸を売って大富豪になることを望んでいるわけではありません。ピラミッドスキームは、できるだけ多くのシステムを乗っ取り、ランクを上げることを目指すゲーミフィケーションの一形態です。

もちろん、本当に恩恵を受けているのは、ピラミッドの頂点にいる人たちです。彼らはツールを提供し、すべての手作業を下に押し付けることによって、何千もの侵害されたシステムにアクセスします。その一方で、新人たちは、自分たちのFacebookページで、自らを誇らしげに”ハッカー”（ウインドサーフィンやスノーボードなど、他のさまざまな趣味と並べて）と呼び、満足しているのです。

ピラミッドの下に押し付けられるツールキットは、通常、SSHやWebメールサーバなどの一般的なサービスを悪用することや、総当たり攻撃するために設計されています。驚くかもしれませんが、これらのツールキットは、全く未熟な初心者によって使われ、世界中のPCI-DSS準拠の組織でさえも侵害してしまいます。

この階層的な運用方法は、ルーマニアのアンダーグラウンドにとっては新しいものですが、エフセキュアにとっては、目新しいものではありません。エフセキュアは、Akıncılar（1999年に台頭し、2016年でもまだ活動しているように見える）のようなトルコのWebサイト改ざんグループをかなりの期間にわたって注視してきました。彼らもまた、階層的組織で活動していますが、より軍隊的なスタイルをとっています。実際に、エフセキュアのWebサイトの1つは、2007年にトルコの侵害グループに損害を受けました。休暇通知のプラグインを悪用して攻撃を実行したことが判明しました（プロのアドバイス：プラグインで攻撃を受けることもあるのです！）。面白いことに、エフセキュアのフォーラムは、これで注目を浴びたことにより、攻撃を受けてからの人気が上昇しました。不思議なことです。

このような構造のグループは、かなり一般的な、上下関係のない「猫の群れ」スタイル（メンバーがハッキングしても、翌日にはもう撤退している）のハッキング集団の、anonや4chanなどとも異なります。

未熟なハッカーグループの間では、ゲーミフィケーションが増加傾向にあるようです。2016年に、トルコのハッカーたちは、初心者がプレイするように設計されたDDoS-for-pointsゲームを立ち上げました。プレーヤーには、主に政治的動機に基づいた特定のターゲットに対して、DDoS攻撃を実行するように設計されたカスタムツールが用意されていました。参加者は、DDoS攻撃を10分継続するごとにポイントを獲得しました。これらのポイントと引き換えに、さまざまなクリック詐欺ツールを入手することができました。大賞として、「ロックされていない」バージョンのDDoSツールが授与されましたが、これを使えば、どんなサイトでもターゲットにすることができます。

最終的に、システムが乗っ取られたとなると、それはWebサイトの改ざんやDDoS攻撃よりもはるかに恐怖を感じます。特に、そのように大規模な攻撃を受けたのは初めてで、しかも、それが未熟なハッカーによるものだったと知ればなおさらです。

事実、サンフランシスコの市営鉄道（MUNI）からDynの機能停止まで、2016年に起きたサイバー攻撃の大半は、維持管理がずさんなインフラストラクチャに対して、単純なスクリプトを悪用して行われました。PCI-DSSに準拠した組織に対して、スキルやノウハウのほとんどない輩が、攻撃を成功させることができるという事実は、これからの世界のコンピューティングインフラストラクチャに暗い影を落としています。

この記事は、エフセキュアの「サイバーセキュリティの状況2017年（STATE OF CYBER SECURITY 2017）」からの転載である。

この記事の単体版は、次のリンクから入手可能：「ルーマニアのアンダーグラウンド」