- 国家支援ハッカーグループがランサムウェア攻撃に参入している。主な国は中国、ロシア、イラン、北朝鮮の4カ国。
各国の特徴的な活動
ロシア関連
- RomComグループが2023年からウクライナ政府機関を標的に攻撃を実施
- Sandwormグループ(ロシアGRU軍事情報部門)がPrestigeとRansomBoggsというワイパー型マルウェアを使用
中国関連
- ChamelGangが2022年にブラジル大統領府をCatBランサムウェアで攻撃
- 米国、ロシア、日本、台湾を含む10カ国以上の政府・民間企業からデータを窃取
北朝鮮関連
- Moonstone Sleetグループが2024年、航空宇宙・防衛組織に対しFakePennyランサムウェアを使用
- 2017年から2023年の間に暗号通貨関連企業から約30億ドルの不正資金を獲得
- 国連が58件の北朝鮮によるサイバー攻撃を調査
イラン関連
- Pioneer Kittenグループが脆弱なVPNとファイアウォールを標的に攻撃を実施
セキュリティ企業の分析
- ESET社のヤクブ・ソウチェック氏が分析を提供
- Cisco Talosチームが2024年にRomComグループの分析を実施
- Claroty社のグラント・ゲイヤー最高戦略責任者が北朝鮮の動向を解説
- Microsoftの脅威インテリジェンスチームが2024年のDigital Defense Reportで詳細を公開
from:Ransomware isn’t always about the money: Government spies have objectives, too
【編集部解説】
国家支援ハッカーグループの進化と変容
サイバー攻撃の世界で大きな転換点を迎えています。これまで金銭目的のランサムウェア攻撃と国家支援のスパイ活動は、まったく異なる分野として認識されてきました。しかし、2024年から2025年にかけて、その境界線が急速に曖昧になってきています。
新たな攻撃手法の登場
特に注目すべきは、国家支援グループがランサムウェアを「カモフラージュ」として使用し始めていることです。例えば、中国のChamelGangは、ブラジル大統領府や重要インフラへの攻撃で、スパイ活動の痕跡を隠すためにランサムウェアを展開しています。これは、サイバーセキュリティの専門家たちにとって新たな課題となっています。
北朝鮮の戦略的アプローチ
北朝鮮の新興グループMoonstone Sleetの活動は、特に興味深い事例です。彼らは航空宇宙・防衛産業を標的に、データ窃取とランサムウェア攻撃を組み合わせた高度な作戦を展開しています。これは単なる金銭目的ではなく、軍事技術の情報収集と資金調達を同時に達成しようとする戦略的なアプローチと考えられます。
ロシアの二面作戦
RomComグループの活動変化も注目に値します。当初は金銭目的の犯罪グループと思われていましたが、ウクライナ侵攻後、その標的が地政学的な性質を帯びるようになりました。これは、サイバー空間における国家の影響力がいかに巧妙に行使されているかを示す典型的な例といえます。
企業への影響と対策
このような状況は、企業のセキュリティ対策に大きな変更を迫っています。従来のランサムウェア対策だけでは不十分で、より包括的なアプローチが必要となっています。特に、データの暗号化だけでなく、機密情報の窃取も同時に警戒しなければなりません。
今後の展望
2025年に向けて、AIを活用した新たな攻撃手法の出現も予測されています。特に音声合成技術を使用したなりすまし攻撃(ボイスフィッシング)の増加が懸念されています。これは、人材教育とテクノロジーの両面からの対策が必要となることを示唆しています。
日本企業への示唆
特に日本の製造業や重要インフラ企業にとって、この傾向は看過できません。技術情報の窃取とランサムウェア攻撃が同時に行われる可能性を考慮し、包括的なセキュリティ戦略の見直しが必要となるでしょう。
このような状況下では、セキュリティインシデントの「原因特定」がより複雑になることが予想されます。企業は、単なる金銭目的の攻撃なのか、それとも国家支援による情報収集なのかを見極める必要があります。これにより、適切な対応策の選択と実施が可能となります。