サイバーセキュリティの研究者らは、中東や北アフリカのジャーナリストや政府関係者などを標的とした、サイバー攻撃を請け負うハッカー集団を特定したと発表しました。この集団は、フィッシング攻撃を通じてターゲットのデータにアクセスしたり、スマートフォンの制御を奪うスパイウェアを仕掛けたりしていたということです。
今回のサイバー攻撃は、政府機関がハッキング活動を民間の請負業者に委託する傾向が強まっていることを浮き彫りにしています。一部の政府はすでに、警察や情報機関が個人のデータにアクセスするためのスパイウェアなどを開発する民間企業に依存しているということです。
デジタル権利擁護団体の「Access Now」と「SMEX」、およびモバイルセキュリティ企業の「Lookout」は共同で調査を行い、それぞれ報告書を発表しました。それによりますと、2023年から2025年にかけて、エジプトやレバノンのジャーナリストが攻撃を受けた事例が確認されたとしています。
さらにLookoutの調査では、標的は市民団体にとどまらず、バーレーンやエジプトの政府関係者のほか、アラブ首長国連邦(UAE)、サウジアラビア、イギリス、さらにはアメリカの対象者にも及んでいるということです。
Lookoutは、今回の攻撃に関与したハッカー集団について、インド政府との関連が疑われるハッカー集団「BITTER APT」とつながりを持つ請負業者に所属していると結論づけています。
Lookoutの主任研究員であるジャスティン・アルブレヒト氏は、この請負業者がインドのハッキング請負企業「Appin」から派生した組織である可能性を指摘し、「RebSec」という企業が関与している疑いがあるとしています。Appinをめぐっては、企業幹部や政治家などを標的としたハッキングを請け負っていた実態が過去に報じられていました。
アルブレヒト氏は、Appinの閉鎖後もこうした活動が消滅したわけではなく、より小規模な企業に移行して継続していると分析しています。請負業者を利用することで、顧客である政府などはインフラの運用を業者に任せることができ、関与を否定しやすくなるということです。また、高額な商用スパイウェアを購入するよりもコストを抑えられるという戦略的な利点があるとしています。
Access Nowの調査員も、こうした攻撃手法は安価になっており、最終的な依頼主が特定されにくいため、責任の所在を曖昧にすることが可能になっていると指摘しています。
攻撃の具体的な手口として、iPhoneの利用者に対しては、Apple IDの認証情報をだまし取って「iCloud」のバックアップデータにアクセスしようとする手法が確認されました。これは、高度で高額なiOS向けスパイウェアを使用する代わりとなる、安価な手法だということです。
一方、Android端末の利用者に対しては、通信アプリの「Signal」や「WhatsApp」などを装った「ProSpy」と呼ばれるスパイウェアが使用されました。また、被害者をだましてハッカーが管理する別の端末をアカウントに追加させる手口も使われていたということです。
なお、関与が疑われる企業「RebSec」はウェブサイトやSNSのアカウントを削除しており、コメントは得られていません。また、アメリカにあるインド大使館も、現時点でコメントの求めに応じていないということです。