金融サービスを標的とした地政学的サイバー攻撃：ハクティビズムと国家支援型アクターの脅威

Silobreakerのアナリストチームは世界のサイバー脅威ランドスケープを日々監視する作業を通じ、進行中の地政学イベントと同時にサイバー攻撃が発生する事例を頻繁に観測しました。この重複はハクティビズムや偽情報、国家支援型脅威アクターの活動とともに、先に公開した当社のレポート『デジタル時代における世界の紛争』でも論じられています。同じテーマを取り上げた本稿では、それが金融サービス業界にとって何を意味するのか、そしてこのように変化する脅威ランドスケープにどう対処すべきかについて考察しました。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事を翻訳したものです。

地政学的対立のさなかに発生する銀行へのハクティビスト攻撃

地政学的緊張が高まる中、金融サービスはハクティビストグループの格好の標的になっています。こうした集団は分散型サービス拒否（DDoS）攻撃によってサービスを停止に追い込み、混乱を引き起こして顧客と取引に甚大な影響を及ぼします。攻撃の動機は紛争のいずれかの陣営に対する支持であることが多く、ロシア・ウクライナ戦争や中東での軍事衝突においては顕著な活動が観測されました。

NoName057(16)と親ロシア派ハクティビズムの台頭

ロシア・ウクライナ戦争を通じて活動するハクティビストの中で、最も悪名高いグループの1つに挙げられるのは、ロシア政府との関連が疑われるNoName057(16)でしょう。同グループは多様な業界を継続的に攻撃しており、ウクライナへの報復として、あるいは同国を支持していることを理由にDDoS攻撃を仕掛けています。例を挙げると、2024年2月には「特別軍事作戦」の2周年を記念し、ウクライナのさまざまな税務関連機関を攻撃しただけでなく、ルーマニアの銀行に複数のDDoS攻撃を実行しました。さらに同年3月には、NATOが新たな軍事基地の建設に25億ユーロ（約4,400億円）の予算を配分したことを理由に攻撃を行っています。NoName057(16)の攻撃は政策決定や会議の開催時期とほぼ重なっているため、地政学的な動きを常に注視していることがうかがえます。

NoName057(16)は独自のDDoSボットネット「DDoSia」を開発し、大規模なDDoS攻撃の実行に利用してきました。この開発プロジェクトでは、同グループから報酬を受け取るボランティアハッカーが大きな役割を果たしています。その資金がロシア政府から提供されているとの疑惑もあり、DDoSiaプロジェクトが政府支援型オペレーションである可能性を示唆しています。

インフラがたびたび無効化されているにもかかわらず、NoName057(16)は毎日のように攻撃を続けています。2025年7月半ばに国際法執行機関が合同作戦「Operation Eastwood」を実行し、世界中で100台以上のサーバーを停止させ、少なくとも2人を逮捕した後も変わりません。同グループが自らの犯行を主張する最近の攻撃として、2025年8月下旬にウクライナ政府およびベルギーに拠点を置く組織を狙ったものがありましたが、そのタイミングもウクライナのゼレンスキー大統領と米国のトランプ大統領の会談という地政学的に重要なイベントと一致していました。そのほか、複数の攻撃では法執行機関の活動について明確に言及しているため、サーバー無効化に対する報復であることが示唆されています。この報復オペレーションにはMr.HamzaやZ-Pentest Allianceなどほかのハクティビストグループも参加しており、異なるグループ間で連携する形が定着しつつあることを物語っています。

イランの銀行を狙うPredatory Sparrowと国家支援型オペレーション

イスラエルとハマスの紛争だけでなく、2025年6月にイスラエルの「Operation Rising Lion（ライジング・ライオン作戦）」の一環として12日間続いたイスラエルとイランの軍事衝突も、ハクティビスト活動の増加を誘発しました。戦闘が続いている間、金融サービスは集中的に狙われており、イスラエル政府との関連を指摘される脅威アクターPredatory Sparrowがとりわけ大きな存在感を放っています。同グループは2025年6月17日、イランのセパ銀行（Bank Sepah）に侵入し、すべてのデータを破壊したと主張しました。このインシデントでカスタマーサービスに支障が生じ、口座へのアクセスや引き出し、カード支払いに関する問題が発生した上、複数の支店が一時閉鎖を余儀なくされたと報告されています。さらにその翌日、Predatory Sparrowはイランの暗号資産取引所Nobitexへの攻撃で犯行声明を発表し、9,000万ドル（約130億円）の資金を盗んで「焼却」したと主張しました。報じられたところによると、これらの攻撃の動機は、セパ銀行がイランの軍事および核開発計画への資金提供に関与しているという疑惑、そしてNobitexが「世界各地のテロ攻撃に資金を提供するイラン政権の取り組みで中心的役割を果たしている」ことだとされています。

金融機関に対する国家支援型サイバー攻撃

国家支援型の高度持続的脅威（APT）グループは、金融サービス部門を攻撃し続けています。その中でも目立っているのが、暗号資産を強奪する北朝鮮の存在です。同国と関係のあるアクターは、取引所への攻撃、npmのようなソフトウェアサプライチェーンの悪用、そしてITワーカー詐欺などを通じて多額の資金を盗み出しています。これらの活動は国際制裁・逮捕を促しているだけでなく、サイバー攻撃と金融犯罪の融合がますます進んでいることを浮き彫りにしています。

暗号資産取引所は依然として北朝鮮の国家支援型ハッカー集団の主要な標的であり、近年の事件では莫大な盗難額と手口の巧妙さの両方が可視化されています。2025年2月21日に発生した侵害事件では、暗号資産取引所Bybitが所有するイーサリアムコールドウォレットの1つから当時の換算レートで約14億ドル（約2,200億円）相当が盗まれ、史上最大の暗号資産盗難事件となりました。Lazarus Groupとみられる脅威アクターは正当なアドレスを提示する一方、電子署名インターフェースをマスキングし、基盤となるスマートコントラクトのロジックを密かに改変することで、資金をコールドウォレットからホットウォレットへ移動することに成功しました。Bybitはほかのコールドウォレットは影響を受けていないと強く主張し、パートナーと協力して盗難された資産を凍結しました。ブロックチェーン専門の捜査官は、この盗難を以前発生したPhemexやBingXへの侵害と関連付けています。

Bybitへの侵害は、暗号資産業界に対するLazarus Groupの広範な攻撃活動の一部に過ぎません。2025年初頭、Sekoiaの研究者は「ClickFake Interview」キャンペーンを発見しました。これは「Contagious Interview」キャンペーンの後続と考えられ、偽の求人情報や面接プラットフォームを用いて暗号資産業界の求職者を誘い込む攻撃手法が受け継がれています。標的となった人々はWindowsとmacOSのいずれかを使用しており、GolangGhostバックドアやFrostyFerretなどのマルウェアを展開する不正なドライバーをダウンロードするよう誘導されました。このキャンペーンに関連付けられた偽の面接招待状は少なくとも184件あり、Lazarus Groupが取引所への直接的な侵害に加え、ソーシャルエンジニアリングを引き続き多用していることを物語っています。

ほかの北朝鮮系グループも同様の活動を展開しています。2024年後半以降、TraderTraitorが実行しているとされる「Willo Campaign」は、LinkedInの求人ルアー、GitHubのIssueページ、面接プラットフォームを装ったフィッシングサイトなどを通じて暗号資産関連の従業員を標的にしてきました。このキャンペーンでは主に、バックドア・スティーラー・C2機能を備えたGopherGrabberマルウェアがnpmパッケージや偽インストーラーを介して配布されます。パロアルトネットワークスが文書化した北朝鮮に関連する別のキャンペーンでは、求職中の暗号資産系開発者を標的とした悪意のあるVisual Studioプロジェクトを通じて、macOS用RustDoorバックドアとKoi Stealerの新たな亜種が拡散されていました。

国家が制裁を回避する目的で暗号資産を悪用

制裁措置と法執行機関による活動は、暗号資産取引所を悪用した資金洗浄や制裁回避に対抗する主な手段となっています。最近の著名な事例であるGarantex Europe OUとその関連組織に執られた措置は、サイバー犯罪者が違法な資金の移動やロンダリングに使うプラットフォームに対する各国政府の対応を明示しています。米国は2022年4月、経済制裁に対抗するロシアの各銀行による取り組みを支援したとして、このプラットフォームを初めて制裁対象に指定し、2025年1月にはEUが続きました。その後、2025年3月には米シークレットサービスがGarantexの閉鎖を発表し、共同創設者とされるAleksej Besciokov、Aleksandr Mira Serdaの両氏を拘束しました。さらに米財務省は2025年8月14日、Contiランサムウェアなどのマルウェアを使った活動を助長し、2019年以降にLazarus Groupの窃盗事件に関するものを含めて総額1億ドル以上の不正取引を処理していたとして、Garantexを再び制裁対象に指定しました。

またTRM Labsの研究者らは、ロシアのアクターが対ウクライナ戦争用の軍民両用物資の調達と制裁回避のために、キルギスに拠点を置く取引所を悪用するケースが増えていると警告しました。これらの取引所は制裁対象のロシア企業に関連する取引を繰り返し促していたことが判明している上、キルギスの暗号資産関連事業者の多くはシェルカンパニーであると評価されています。このような事例からもわかるように、制裁やテイクダウンによって不法なインフラを一時的に停止できるものの、これに動じないアクターの多くはすぐさま順応してしまうため、継続的な措置の必要性が浮き彫りになっています。

まとめ：金融サービスのサイバーセキュリティと地政学的インテリジェンス

本記事で取り上げた事例から読み取れるように、金融サービスに対するサイバー攻撃が完全に独立した事象として起こることは稀です。言い換えれば、サイバー攻撃は地政学的な動向と並行して、あるいはほかの動向に対する直接的な反応として発生します。その引き金となっているのは、戦争・紛争に関連したハクティビストによる攻撃や、金銭的利益または戦略的優位性を求める国家が支援する活動などです。サイバーリスクと国際政治が複雑に絡み合っていることを踏まえると、金融機関がこの2つの要素を完全に切り離して考えることは意味を成しません。

したがって、セキュリティチームは日々の監視や分析において、地政学的動向を把握する必要があります。脅威を特定し、攻撃を予測する際に不可欠なコンテキストを得るためには、従来のサイバー情報源だけでなく、地政学的イベント・制裁の発表・国際紛争などに関するインシデントレポートやインテリジェンスを追跡することが必須です。また、地政学的インテリジェンス要件をワークフローに組み込むことにより、サイバーインシデントとそのトリガーとなった現実世界の出来事を結び付け、防御策の優先順位付けを行えるだけでなく、政治的・金銭的動機を持つ敵対者に対するレジリエンスを強化できるようになります。

地政学的サイバー脅威の一歩先へ。Silobreakerを活用してあなたの組織の金融サービスを守りましょう。こちらからデモをお申し込みください。

寄稿者

Silobreakerプラットフォームから得た知見を基に、Silobreakerリサーチチームが作成

※日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではSilobreakerの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

Silobreakerについて詳しくは、以下のフォームからお問い合わせください。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』