「サイバー傭兵」の事例をイラン・露・中から

「サイバー傭兵」の事例をイラン・露・中から
更に「開発と攻撃者の分業化・専業化」の視点から
https://holyland.blog.ss-blog.jp/2020-08-03

 ※ 軍事関連情報に強い、マングースさんのサイトからだ…。

『防衛研究所が定期的に出す「ブリーフィングメモ」として、小野圭司・特別研究官による「サイバー傭兵の動向」との興味深い4ページの論考が掲載され、サイバー攻撃を支える「傭兵」とも考えられるハクティビスト(行動主義的なハッカー集団)の動向が紹介されています

ハクティビスト(行動主義的なハッカー集団)が生まれる背景には、まず、ソフトウェア開発が極めて知識集約的であることから、優秀なハッカーが個人や小集団で十分に世界をまたにかける競争力を獲得し得ること、また、サイバー人材は世界で400万人不足しているといわれるほど人材不足状態が続いており、自前で優秀な人材を確保することが難しく「外注化」が広がっており、サイバー攻撃でも同様の傾向が表れていることがあるようです

技量に優れハクティビストの主要プレーヤーとなるハッカー達は、権威や常識にとらわれず、組織の枠にも収まらないで行動する傾向が強く、サイバー攻撃で得た多額の報酬で豪華な生活を送っていることをSNS上でアピールする者もいるようですが、

一方で「アノニマス」に参加するハクティビストのように、社会的・政治的正義感から無償でサイバー攻撃に加わる特性も同時に備えるものも多く、このような者達がサイバー攻撃に参加する動機として、報酬以外の比重(自己顕示や達成感、正義感)が大きい場合が少なくなく、問題を複雑にしているようです

以下では、まず「サイバー傭兵」の事例をイラン・ロシア・中国の例で確認し、次に最近のサイバー攻撃の特徴をなしている「開発と攻撃者の分業化・専業化」の視点から、「傭兵」たちの生態に迫りたいと思います

サイバー傭兵の事例
●イランでは軍のサイバー軍設立(2006年)以前から、民間の技術者がハッカー集団(5-10名)を形成し米国のNASAや金融機関への侵入を行っていたが、イラン政府の依頼や指示でも活動するようになり、イラン情報機関への教育を担当したりもしていた。米政府も、イラン政府の依頼を受けたハッカー集団の攻撃を受けたことを公表しており、小組織が「競争力を有する」ことを証明した事例である

●2007年4月にエストニア政府機関サイトが攻撃を受けた事案では、ロシア下院議員が、自身の関係者がプーチン政権支持のサイバー技術者と共にDoS/DDoS攻撃を行ったことを認めており、ハクティビスト関与の事例である
●2008年の南オセチア事案でも、ロシア政府が犯罪者である民間人技術者が DoS/DDoS 攻撃に動員したと見られている。ロシアが犯罪者を非合法的な活動に従事させるのはソ連時代からの伝統で、例えば 2017 年には露保安庁(FSB)がサイバー犯罪者を使って、政府・報道・金融・交通関係企業者の個人情報をフィッシングしたことが明らかになっている

●中国でハッカー達は、国家に対して危険を及ばさない限り容認され、一部は国の支援を受けており、数万人から100 万人存在すると見られている。
●四川省のNCPH(Network Crack Program Hacker)に代表される大学生集団の中には、政府関係機関と密接な関係を有しているものがあり、例えば、2006 年の米国防省を含む米国政府機関への侵入は NCPH が行っている。これらハッカー集団は、中国では「サイバー民兵」や「情報専門民兵」と呼ばれており、2004 年の中国国防白書で初めてその存在を公式に認めている。
●中国は民間企業主体のサイバー民兵も組織しており、背景にはサイバー防衛・セキュリティ需要の急増がある。中国のサイバー防衛市場規模は 2011年には 28 億ドルだったものが、2016 年には 48 億、2021 年には 132億ドルを超えるものと予測されている。代表例の南昊科技公司は、ソフトウェア開発やスキャナなど電子機器製造企業だが、解放軍のサイバー民兵として、また解放軍のサイバー戦要員教育も請け負っている。

「開発と攻撃者の分業・専業化」から見る「傭兵」たちの今
●最近頻発しているランサムウェアのサイバー攻撃(身代金要求型)では、開発と攻撃者の分業化・専業化が指摘されている。かつてランサムウェアの開発者は自ら攻撃を行って収益を得ていたが、ファイル暗号化型ランサムウェアが台頭した 2013 年頃からRaaS(Ransomware-as-a-Service)と呼ばれるサイバー攻撃の請負・代行が確認されるようになった。
●RaaS では支払われた身代金を、開発者とサイバー攻撃請負・代行者の間で分配する。この仕組みにより、サイバー攻撃請負・代行者はランサムウェアを開発する手間を省いて簡便に金銭目当ての攻撃を行うことができ、逆に RaaS の提供者は自分の手を汚すことなく収益を上げることができる。収益の配分は開発者3-4割、攻撃者が6-7割と言われている

 ※ 世の中、X as a serviceになって行っているのは、知っていたが…。「X」にRansomwareまで入ることは、知らんかった…。
Emotet(エモテット)、EKANS(エカンズ)も、これか…。

●現在では、マルウェアに様々な形式の暗号化や圧縮を行って表面上のコードが異なる「亜種」を作成することで、サイバー防衛側による検出を回避することが常套化しており、また、サイバー攻撃請負・代行者の収益分配率を高くすることで、不特定のサイバー攻撃者を多数動員することが可能になっていると見られている。
●かつては、攻撃企画側は報酬用資金を事前に準備する必要があったが、資金力が無くてもソフトウェアの開発能力に優れる者は、ランサムウェアで身代金を獲ることができるので、それを前提にサイバー攻撃の請負・代行者(傭兵)を集めることも可能となる。このようにランサムウェアの普及で、サイバー傭兵の活用やサイバー攻撃代行に新しい傾向(元手は必ずしも必要ない)が生じたと言えよう。

●IT・サイバー技術者(ハッカー)は「権威や常識にとらわれず、組織の枠にも、はまらない」と述べたが、彼等は自由な情報交換と知識の共有のため非合理的な官僚主義を忌避し、政府や体制に対する批判勢力を形成することがある。その代表的なものの 1 つが、ウィキリークス(WikiLeaks)である
●この運動が攻撃代行的なサイバー傭兵と大きく異なるのは、経済的利益(報酬)の追求が動機ではない点にある。つまり彼等は報酬を得ることを目的としておらず、主に行政機関や大企業を対象に、不正や理不尽に関する情報入手し、ネット上で世に告発するという懲悪義賊的な社会貢献を目指していた。

●注目を集めている集団に、「アノニマス」がある。これは不特定多数のハッカーが、「抽象的ではあるが誰もが賛同しやすい大義」の下に即興的に集まったもので、主にDoS/DDoS 攻撃を実行する。その中核ハッカーの技量は相当高いと見なされるが、不特定多数のハッカーを即興的に集めることから、長期的・計画的な攻撃には向いていない。DoS/DDoS攻撃は攻撃手順も単純で、調整負担も軽くて済むので、即興的組織に適している

(※ セキュリティ意識の薄いヤツのPCは、みんな、この「DoS/DDoS攻撃」の「踏み台」にされる…。最近では、「ネットワーク・カメラ」等の「ネットワーク接続デバイス」も、「踏み台」になっている…。その踏み台の「一覧リスト」まで、出回って、取り引きされているらしい…。大体、自分のシステムの「挙動不審」を、タスクマネやリソース・モニターで調べないヤツが多すぎる…。酷い場合は、「出し方すら、知らない。」ことがある…。)

●付和雷同型のハクティビスト集団は、膨大な人数が徒党を組むことがある。この性質を有する彼等を自らの思う方向に利用した世論の誘導・世論工作も行われている
●欧米のハクティビストの多くは自由主義的な反体制の政治思想を共有しているが、中国の場合には、特に 2000 年前後に活発に活動した集団(「中国紅客連盟」や「中国鷹派連盟」等)は愛国主義的な傾向を持ち、中国政府もその限りにおいて、外国に対するサイバー攻撃を行う彼等を泳がせていた。その活動が中国の大衆から支持され、「英雄」として祭り上げられたことも、活動の動機として大きな比重を占めていた

●ハクティビスト集団は一般に、「不正・理不尽」を正すとの正義感を持っており、中国の集団も、外国は誤っており理不尽だと考えている。ただこの「不正・理不尽」の判断は各ハッカーが独自に行うので、集団の中でこの判断の差異が顕在化すると、集団そのものが瓦解する危険がある。実際にアノニマスも、内部では派閥争いが絶えず生じている。このため中国も習近平政権になってからは、ハクティビストへの監視・管理を強め始めたと言われている。
/////////////////////////////////////////////////////

基礎知識が薄い分野ですので、長々と引用してしまいました。サイバーと宇宙については、なじみの少ない方が多いと思うので、防衛研究所には発信の頻度を上げていただきたいものです
「ハクティビスト集団」は信用できるのでしょうか? 2重スパイ・3重スパイ的に動き回る者や、ブローカー的な輩が暗躍しないかと心配になります。

でもこのような人たちが、クリック一つで社会を混乱させることが可能な世界って何なんでしょうか?抑止の議論が可能なんでしょうか???

「ダークウェブ」との、闇の深い世界のお話でした

防衛研究所webサイト
http://www.nids.mod.go.jp/

サイバー関連の記事
「過去最大のサイバー演習を完全リモート環境で」→https://holyland.blog.ss-blog.jp/2020-06-22
「海兵隊サイバー隊が艦艇初展開」→https://holyland.blog.ss-blog.jp/2020-04-08
「サイバー停電に備えミニ原発開発」→https://holyland.blog.ss-blog.jp/2020-03-07
「米国務省のサイバー対策はデタラメ」→https://holyland.blog.ss-blog.jp/2020-01-27
「やっとサイバー部隊に職務規定が」→https://holyland.blog.ss-blog.jp/2020-01-13
「喫緊の脅威は中露からではない」→https://holyland.blog.ss-blog.jp/2019-11-16
「ハイブリッド情報戦に備えて」→https://holyland.blog.ss-blog.jp/2019-09-05
「ドキュメント誘導工作」を読む→https://holyland.blog.so-net.ne.jp/2019-07-22-1
「サイバー攻撃に即時ミサイル反撃」→https://holyland.blog.ss-blog.jp/2019-05-11-1
「NATOが選挙妨害サイバー演習」→https://holyland.blog.so-net.ne.jp/2019-04-13
「サイバーとISR部隊が統合して大統領選挙対策に」→https://holyland.blog.ss-blog.jp/2019-10-19
「ナカソネ初代司令官が語る」→https://holyland.blog.ss-blog.jp/2019-02-17
「大活躍整備員から転換サイバー戦士」→https://holyland.blog.so-net.ne.jp/2019-01-26-3
「サイバー戦略がもたらすもの」→https://holyland.blog.so-net.ne.jp/2018-11-02
「市販UAVの使用停止へ」→https://holyland.blog.so-net.ne.jp/2018-07-07-1
「サイバーコマンドの課題」→https://holyland.blog.so-net.ne.jp/2018-03-04
「サイバー時代の核兵器管理」→https://holyland.blog.so-net.ne.jp/2018-05-02

「人材集めの苦悩」→https://holyland.blog.so-net.ne.jp/2018-01-31
「米空軍ネットをハッカーがチェック」→http://holyland.blog.so-net.ne.jp/2017-12-23
「米国政府サイバー予算の9割は攻撃用!?」→http://holyland.blog.so-net.ne.jp/2017-03-31
「装備品のサイバー脆弱性に対処」→http://holyland.blog.so-net.ne.jp/2016-09-02