誰がサイバー攻撃を仕掛けるのか? 日本を狙う11の主な攻撃グループ | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > 誰がサイバー攻撃を仕掛けるのか? 日本を狙う11の主な攻撃グループ

脅威インテリジェンス

blacktech

Cyber Intelligence

Intelligence

誰がサイバー攻撃を仕掛けるのか? 日本を狙う11の主な攻撃グループ

Tamura

Tamura

2021.12.17

 

「サイバー攻撃」、「情報漏洩」、「不正アクセス」‥

そんな言葉がニュースの見出しを飾るたび、「一体、誰が攻撃を仕掛けているのだろう」と思うことはありませんか?今回の記事では、

✔️ サイバー攻撃者(いわゆる「ハッカー」)たちは、どういった動機で攻撃しているのか

✔️ 日本を狙うのは、どんな攻撃者か

についてお話しします。

目次

1. 攻撃者の6つのタイプ

国家、犯罪者、ハクティビスト、テロリスト、愉快犯、インサイダー脅威

2. 日本を狙うとされる攻撃者

3. まとめ

攻撃者の6つのタイプ

サイバー攻撃を行う人は、ニュースでは「ハッカー」などと表現されますが、セキュリティ業界では“Threat Actor”と呼ばれます。“Threat Actor”は「脅威アクター」「脅威主体」「攻撃者」などと訳されます(この記事では「脅威アクター」とします)。

脅威アクターは単独で行動することもありますが、より大きな組織(例えば、国の諜報機関や組織犯罪グループ)の一員として行動することもあります。

脅威アクターは、活動の背景にある「動機」と、アクターの「熟練度」によって6つのタイプに分類することができます(*1)。

動機による6分類

脅威アクターのタイプ
主な動機
国家地政学的
犯罪者金銭的利益
ハクティビストイデオロギー的
テロ集団イデオロギー的暴力
愉快犯満足感
インサイダー脅威不満

熟練度

国家

✔️ 熟練度が6タイプの中で最も高い

✔️ 専用のリソース・部隊を持ち、計画や連携の規模は大きい

✔️ 中には民間組織や犯罪組織と作戦上関係を持っている者も 

犯罪者

✔️ 熟練度は国家と比べると低いが、中程度

✔️ それでも、計画や支援という機能を持ち、その専門的な技術的能力は多くの被害者に影響を及ぼす

APTグループ

脅威アクターのうち、熟練度とスキルがともに最高水準であり、戦略的な目的のもと、高度な技術を使って複雑かつ長期的な作戦を行えるものを、APT(Advanced Persistent Threat:高度持続型脅威)と呼ぶ

✔️ 「APTグループ」と表現されることも多く、通常は、国家や、特に熟練した犯罪組織を指す

✔️ なお、熟練度の高いアクターであっても、あまり高度ではなく、簡単に使えるツールやテクニックを使うことがある(自らの目的達成に役立つツールであれば、高度な手段でなくとも使う)

ハクティビスト、テロリスト、愉快犯

✔️ 通常、熟練度は6タイプの中で最も低い

✔️ 技術的スキルがほぼ不要な、手に入りやすいツールに頼ることが多い

✔️ その行動の大半は、標的に風評以外の長期的影響を与えない

インサイダー脅威

✔️ インサイダー脅威とは、主に自組織内で働く個人のこと。セキュリティで守られた内部ネットワークへのアクセスできるがゆえに特に危険。悪意のある脅威アクターにとってアクセスは重要な要素であり、特権的なアクセス権限を持っていれば他のリモートの手段に訴える必要はない

✔️ インサイダー脅威には、不満を抱く従業員が含まれることが多い(上記の他の脅威アクターと関係を持つ場合もある)

脅威アクターの種類とその動機を説明した図

(画像)カナダ政府公式サイトより

関連記事:Log4Shell、ダークウェブでの反応は?

日本を狙うとされる攻撃者

脅威アクターは世界中に数多く存在します。

攻撃者が実際に使用した戦術・技術を集約した「MITRE ATT&CK®」というサイト(*2)がありますが、同サイトにある脅威アクターの一覧表(“Groups”)では、2021年12月16日現在で129の脅威アクターが挙げられています。

このうち、筆者が“Japan”という文字列で検索して、ヒットした脅威アクターは以下の11件でした。

APT系

✔️ APT16(中国)

✔️ APT37(北朝鮮)

✔️ menuPass(中国)

✔️ Tonto Team(中国?)

スパイ系

✔️ BlackTech

✔️ BRONZE BUTLER(中国?)

犯罪系(金銭目的)

✔️ TA551

その他

✔️ DragonOK

✔️ Dust Storm

✔️ Higaisa(韓国)

✔️ Honeybee

あくまで「“Japan”という文字列が説明文に含まれるアクター」というだけで、「日本を狙う脅威アクター」の全てとは言えませんが、「日本を狙う脅威」の大体のイメージはつくかと思います。以下、上に列挙した11のアクターの詳細を紹介します。

なお、脅威アクターの呼び名はセキュリティ企業によって異なりますが、MITRE ATT&CKでは、それぞれの呼び名がどのグループに対応するかを「別名(Associated Group)」の項目で確認できます。

1 APT16(中国)

別名:記載なし

MITRE ATT&CK掲載日:2017年5月31日

MITRE ATT&CK最終変更日:2020年12月12日

✔️ 日本および台湾の組織を狙ったスピアフィッシングキャンペーンを行っている、中国を拠点とする脅威グループ

2 APT37(北朝鮮)

別名:

・Richochet Chollima

・InkySquid

・ScarCruft

・Reaper

・Group123

・TEMP.Reaper

MITRE ATT&CK掲載日:2018年4月18日

MITRE ATT&CK最終変更日:2021年10月15日

✔️ 北朝鮮の国家支援型サイバースパイ集団であり、2012年には活動を開始。主な標的は韓国だが、日本、ベトナム、ロシア、ネパール、中国、インド、ルーマニア、クウェート、その他中東地域をも標的としている。また、2016年から2018年にかけての以下のキャンペーンとも関連づけられている

Operation Daybreak

・Operation Erebus

・Golden Time

・Evil New Year

・Are you Happy?

・FreeMilk

・North Korean Human Rights

・Evil New Year 2018

✔️ 北朝鮮グループの定義にはかなりの重複があることが知られており、一部のセキュリティ研究者は、集団や下位グループを追跡する代わりに、すべての北朝鮮の国家支援型サイバー活動をラザルスグループ(Lazarus Group)の名の下で報告している

3 menuPass(中国)

別名:

・Cicada

・POTASSIUM

・Stone Panda

APT10

・Red Apollo

・CVNX

・HOGFISH

MITRE ATT&CK掲載日:2017年5月31日

MITRE ATT&CK最終変更日:2019年3月22日

✔️ 遅くとも2006年から活動している脅威グループ。menuPassの個々のメンバーは、中華人民共和国国家安全部(MSS)の天津国家安全局に協力し、Huaying Haitai Science and Technology Development Company (天津华盈海泰科技发展有限公司)に勤務していたことが知られている(*3

✔️ 日本の組織を中心に、世界のヘルスケア、防衛、航空宇宙、金融、海事、バイオテクノロジー、エネルギー、政府の各分野を標的にしてきた。2016年と2017年には、マネージドITサービスプロバイダー(MSP)、製造業や鉱山会社、大学などを標的にしたことが知られている

4 Tonto Team(中国?)

別名:Earth Akhlut, BRONZE HUNTLEY, CactusPete, Karma Panda

MITRE ATT&CK掲載日:2021年5月5日

MITRE ATT&CK最終変更日:2021年10月17日

✔️ 中国の国家支援型サイバースパイグループと考えられており、2009年以降、韓国、日本、台湾、米国を主な標的としてきた。2020年までに、他のアジア諸国、東欧諸国にも活動範囲を拡大した。政府、軍事、エネルギー、採掘、金融、教育、医療、テクノロジー関係の組織を標的としている(2009年〜2012年の「Heartbeat Campaign」、2017年の「Operation Bitter Biscuit」など)。

5 BlackTech(国不詳)

別名:記載なし

MITRE ATT&CK掲載日:2020年5月5日

MITRE ATT&CK最終変更日:2021年4月20日

✔️ 東アジア(特に台湾、時には日本や香港)を標的として活動するサイバースパイ集団

✔️ JPCERT/CCは今年9月、BlackTechが使用するマルウェア「Gh0stTimes」の分析結果を公表した

攻撃グループBlackTechが使用するマルウェアGh0stTimes

https://blogs.jpcert.or.jp/ja/2021/09/gh0sttimes.html

6 BRONZE BUTLER(中国?)

別名:REDBALDKNIGHT, Tick

MITRE ATT&CK掲載日:2018年1月16日

MITRE ATT&CK最終変更日:2021年10月12日

✔️ おそらく中国を起源とするサイバースパイ集団であり、2008年には活動をスタートしている。主に日本の組織、特に政府、バイオテクノロジー、電子機器製造、工業化学の分野の組織を標的としている

✔️ 2021年5月にはJAXAなど日本の組織を攻撃

「JAXAなど日本の組織へのハッキング:犯人は『Tick(ダニ)』」

マキナレコード | サイバーアラート 2021年5月5日

https://codebook.machinarecord.com/9380/

✔️ Microsoft Exchange Serverのゼロデイ脆弱性を使用したとの情報も

マキナレコード | ウィークリー・サイバーダイジェスト – 2021年3月5日〜3月11日

https://codebook.machinarecord.com/8340/

✔️ このグループについては、2021年の警察庁のレポート(*4)で以下のような事例が紹介されている

 ・レンタルサーバ不正契約事件被疑者の検挙

中国共産党員の男(30代)は、平成28年9月から平成29年4月までの間、合計5回にわたり、住所、氏名等の情報を偽って日本のレンタルサーバの契約に必要な会員登録を行った。警視庁公安部は、令和3年4月、同男を私電磁的記録不正作出罪・同供用罪で検挙した。

・ 一連のサイバー攻撃に関与した背景組織の特定

本事件の捜査を通じ、警察では、同男が不正に契約したレンタルサーバが宇宙航空研究開発機構(JAXA)等に対するサイバー攻撃に悪用されたことを把握するとともに、同攻撃の実態解明の過程で、同一の攻撃者が関与している可能性が高いサイバー攻撃が約200の国内企業等に対して実行されたことを把握した。

本事件被疑者・関係者の供述をはじめ数多くの証拠を積み上げた結果、これらのサイバー攻撃がTickと呼ばれるサイバー攻撃集団によって実行されたものであり、このTickの背景組織として山東省青島市を拠点とする中国人民解放軍第61419部隊が関与している可能性が高いと結論付けるに至った。

・ 被害企業等に対する注意喚起

警察では、これらのサイバー攻撃を認知後、被害企業等に対し、速やかに不正プログラムへの感染可能性や有効な対応策について個別に情報提供を実施した。

また、一連のサイバー攻撃は、日本製ソフトウェアのぜい弱性が悪用されたゼロデイ攻撃であったことから、このソフトウェアの開発企業と協力し、ぜい弱性の存在と有効な対応策について広く周知した。

7 TA551(国不詳)

別名:GOLD CABIN, Shathak

MITRE ATT&CK掲載日:2017年5月31日

MITRE ATT&CK最終変更日:2019年3月22日

✔️ 金銭的な動機を持つ脅威グループで、2018年には活動を開始。メールを使ったマルウェア配布キャンペーンを通じて、主に英語、ドイツ語、イタリア語、日本語話者を狙う

✔️ (参考)最近のTA551の動き

「TA551(Shathak)がIcedID、Cobalt Strike、DarkVNCを配信:2021年12月10日」

マキナレコード | サイバーアラート 2021年12月11日

https://codebook.machinarecord.com/15661/

8 DragonOK(国不詳)

別名:記載なし

MITRE ATT&CK掲載日:2017年5月31日

MITRE ATT&CK最終変更日:2019年3月22日

✔️ フィッシングメールを使って日本の企業を狙う脅威グループ。脅威グループのMoafeeとTTP(戦術・技術・手順)が重複(カスタムツールが似ている、など)していることから、Moafeeと直接的または間接的な関係があると考えられている(なお、Moafeeは中国・広東省を拠点に活動していると考えられている)

✔️ Sysget/HelloBridge、PlugX、PoisonIvy、FormerFirstRat、NFlogおよびNewCTなど、さまざまなマルウェアを使用することで知られる

9 Dust Storm(国不詳)

別名:記載なし

MITRE ATT&CK掲載日:2017年5月31日

MITRE ATT&CK最終変更日:2019年3月22日

✔️ 日本、韓国、米国、ヨーロッパおよび東南アジア諸国の複数の業界を標的とする脅威グループ

10 Higaisa(韓国)

別名:記載なし

MITRE ATT&CK掲載日:2021年3月5日

MITRE ATT&CK最終変更日:2021年4月22日

✔️ 韓国に起源を持つとされる脅威グループ。北朝鮮の政府関係者、海外居住者、貿易関係者らを標的としているが、中国、日本、ロシア、ポーランドなどに対しても攻撃を行っている。Higaisaは2019年初頭に初めて明るみになったが、2009年にはすでに活動していたと推定されている

11 Honeybee(国不詳)

別名:記載なし

MITRE ATT&CK掲載日:2017年5月31日

MITRE ATT&CK最終変更日:2019年3月22日

✔️ 人道支援団体を狙った正体不明のアクターによるキャンペーン。ベトナム、シンガポール、アルゼンチン、日本、インドネシア、カナダを標的としている。2017年の8月から活動しており、最近では2018年2月にも活動している

まとめ

以上、世界の攻撃者の分類、日本を狙う攻撃者の種類を大まかに見てきました。なお、紙幅の都合で割愛しましたが、MITRE ATT&CKの公式サイトには、各アクターの使用するテクニックやソフトウェアの詳細な説明があります。今回の記事と併せて、ぜひチェックしてみてください。

参考資料

*1)カナダ政府公式サイト

https://cyber.gc.ca/en/guidance/cyber-threat-and-cyber-threat-actors

*2)MITRE ATT&CK® (英語ですが、無料で、誰でも自由に利用できます)

https://attack.mitre.org/

“© 2021 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.”

*3)この箇所の記述はMITRE ATT&CKのほか、次の日本語文献の記述を参考にしました。

茂田 忠良「サイバーセキュリティとシギント機関~NSA 他 UKUSA 諸機関の取組~」

『情報セキュリティ総合科学』第 11 号、2019 年 11 月、84-86ページ

https://www.iisec.ac.jp/proc/vol0011/shigeta19.pdf

*4)警察庁:令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について(9-10ページ)

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

サイバー脅威インテリジェンスの要件定義ガイド、無料配布中!

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Writer

Tamura株式会社マキナレコード インテリジェンス・翻訳チーム

著者

2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ