勢力拡大：2024年のハクティビズムを振り返る

2024年を通じ、ハクティビストの活動はさまざまな形で進化しました。ハクティビストたちはグループ間の連携を強化し、破壊的なオペレーションを可能にするランサムウェアの使用に依存するようになっただけでなく、世界各地で行われた選挙や、終わりが見えないガザとウクライナでの紛争など、重要な地政学的イベントと共鳴しながら標的を拡大していきました。こういった展開はハクティビストグループがもたらす特異で持続的な脅威を浮き彫りにした上、APT（高度持続的脅威）であれ金銭目的のサイバー犯罪集団であれ、ハクティビストとその他の脅威アクターグループを隔てる境界線をますます曖昧にする新たな戦術・技術・手順（TTP）に光を当てています。

こうして進化するハクティビストのオペレーションと足並みを合わせるように、ハクティビストに対する法執行機関の取り組みも明確な成果を上げています。昨年後半には米国がCyber​​ Army of Russia Rebornの構成員に制裁を科し、Anonymous Sudanのオペレーターとされる人物2人を起訴する一方で、スペイン当局はハッカーグループNoName057(16)のメンバーとみられる3人を逮捕しました。ハクティビズムが攻撃と防御の両面で変貌を遂げていることは、企業や政府に与える脅威も絶えず変化していることを物語っています。だからこそ、独自の脅威インテリジェンスフィードとオープンソースインテリジェンスを駆使してハクティビストの活動を常に把握しておくことは、あらゆる組織のセキュリティ体制を確保する上で非常に重要なのです。この「常時監視体制」の実現に近づくためのガイドとして、本ブログ記事では2024年を通じてハクティビズムがどう発展してきたかを振り返りつつ、主な傾向とその潜在的な影響について詳しく説明いたします。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事（2025年1月15日付）を翻訳したものです。

ランサムウェアとハクティビズムのコラボレーション

破壊的なオペレーションと金銭的利益のためにランサムウェアを利用するハクティビストが増えている点は、ハクティビストの活動において注目すべき展開の1つに挙げられます。2024年2月、ハクティビスト集合体Five Familiesに属するStormousとGhostSecは、ランサムウェア・アズ・ア・サービス（RaaS）のコラボレーション「STMX_Ghostlocker」を発表しました。両グループは世界各国の重要なビジネスバーティカルをターゲットに、連携を取りながら二重恐喝ランサムウェア攻撃を実行しています。これらの攻撃でそれぞれの政治的目標が曖昧になることもなく、GhostSecはイスラエルの重要インフラとテクノロジー企業を標的にし続けました。2024年にはそのほか、Head MareやTwelve、KillSec、DragonForce、NullBulge、AzzaSec、Cyber​​Volkなど複数のハクティビストグループが攻撃にランサムウェアを用いたり、RaaSオペレーションを発表したりしています。

ハクティビストがランサムウェアの使用を検討する動機は主に2つあると思われ、その1つが財政面の長期的な安定の必要性です。ハクティビストグループがオペレーションの維持または拡大を考える場合、通常は収益を生む方法を取り入れる必要があります。GhostSecは2024年5月、ランサムウェアオペレーションによって十分な資金を得ると、再びハクティビズムに基づく活動に専念するとの意向を示しました。同グループは集めた資金について、ハッカー予備軍のスキル開発を支援する新プロジェクトなど、その他の目的をサポートするために使われると主張しており、これは活動拡大とランサムウェアの使用が直接結びついていることを物語っています。

これとは別に、ランサムウェアはハクティビストたちに対し、ますます破壊的になる攻撃の調整能力に加え、データリークやサービス停止、重要資産の暗号化などで企業に損害を与えるための手段を提供します。ハクティビストに好まれるほかの攻撃手法、例えば分散型サービス拒否（DDoS）攻撃などと比べると、ランサムウェアはより具体的で永続的な損害を与えることができ、グループの悪名や評判を高めることにもつながります。ハクティビストグループTwelveは、この目的においてランサムウェアを利用する脅威アクターの一例です。同グループは身代金を要求せず、データの暗号化と重要資産の削除にのみ焦点を当て、確実に最大限の損害を与えています。

ランサムウェアが広く使われているもう1つの主な理由は、全体的な使い勝手の良さです。ビルダーが流出し、LockBitやChaos、Babukなどオープンソースのランサムウェア株が急増したことで、ハクティビストは簡単に攻撃を繰り出せるようになりました。とりわけTwelveやHead Mare、Cyber​​Volk、Ikaruz Red Teamといったハクティビストグループは、ほかのランサムウェア株の中でも、一般に出回っているバージョンのLockBitを攻撃に使用していることが確認されています。

脅威アクターの類型化が困難に

ランサムウェアをツールセットに組み込むハクティビストグループが増加している傾向は、ランサムウェアグループとハ​​クティビストグループによる主な協力関係の数々からも説明することができます。

SentinelOneの研究者は、Cyber​​VolkがDoubleFaceやHexaLocker、Paranoなどさまざまなランサムウェアグループと連携し、これらのグループを宣伝していることを確認しました。同じくAnalyst1の研究者も、ランサムウェアグループのRansomHouseとDark Angels、ハクティビストグループのSnatchとStormousが手を組んでいる可能性について言及し、これらのグループが合同でハイブリッド型ランサムウェアによる攻撃とハ​​クティビスト活動に従事している可能性が高いと評価しました。この提携関係は、さまざまなタイプの脅威アクターの活動やターゲット、コミュニティに重複が見られることの多い、このサイバー犯罪ランドスケープの複雑に絡み合った性質を浮き彫りにしています。

ハクティビストの活動動機である地政学的背景も考慮すると、ハクティビズムとその他の有害なサイバー活動との境界線はますます曖昧になります。RansomHouseやSnatch、Stormousなど、ハクティビズムとランサムウェアを組み合わせる脅威アクターの多くは、いずれも政治的に幅広くロシア寄りという特徴を示しています。かつてウクライナのセキュリティサービスでサイバーセキュリティ責任者を務めたIllia Vitiuk氏も、親ロシア派ハクティビストグループのほとんどが政府機関の代理組織として雇われていると主張しました。同じくイラン支援のハクティビストが行っているとされる活動は、実質的に国家の支援を受けた活動であると評価されており、Check Pointの研究者は、脅威アクターVoid Manticoreが「Homeland Justice」や「Karma for Israel」などさまざまなハクティビストの名前を使い分け、アルバニアとイスラエルを攻撃していると指摘しました。これらの例は、特定の種類のサイバー活動を定義・類型化する作業に特有の複雑さを示すと共に、国家による影響力行使作戦がハクティビズムを装う可能性を示唆しています。

国家の支援を受けた活動とハクティビズムが結び付いた複数の事例においては、この複雑さがさらに強調されています。その代表例というべき事象が観測されたのは2024年4月13日。イスラエルに対するイランのミサイル攻撃に先立ち、Handalaハッカーグループはイスラエルのレーダーシステムを攻撃したと主張しました。さらに同日、イランのイスラム革命防衛隊は、イスラエルの複数Webサイトへの攻撃で犯行声明を発表しました。複数の都市を停電に陥れたとされるこれらの攻撃には、ハクティビストグループのCyber Avengersも関与した可能性があると評価されています。

「選挙の年」におけるハクティビズム

戦争、会議、外交関係、そして進行中のものから新しいものまで、2024年には年間を通じてさまざまな地政学的イベントがハクティビストに行動を促しました。昨年は少なくとも64か国で100以上の選挙が行われる「選挙イヤー」だったため、投票プロセスと選挙インフラがとりわけ激しく標的にされています。米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は去年の米大統領選に先立ち、ハクティビストによるDDoS攻撃で選挙情報へのアクセスに支障が生じる危険性について国民に警告しました。CISAはこの選挙の全体的なセキュリティと完全性が損なわれることはないと主張しましたが、こうした攻撃によって投票場所や投票方法、オンライン選挙サービス、非公式の選挙結果といった情報へのアクセスが制限されていてもおかしくありませんでした。

ハクティビストの活動により、有権者のリソースが目に見える形で損害を受けるかもしれないとの懸念は、年間を通じたさまざまな攻撃によって現実のものとなりました。2024年6月にはCloudflareの研究者により、オランダの政治系Webサイト3件を標的としたDDoS攻撃が特定されています。親ロシア派ハッカーグループHackNeTが犯行声明を出したこの攻撃は、欧州議会選挙の初日に発生しました。親ロシア派グループはそのほかにも、NoName057(16)やPeople’s Cyber​​Army、Cyber​​dragon、CoupTeam、Root@kali、Usersec、22C、IAMKILLMILKなどが欧州議会選挙の妨害計画を発表しています。またこれとは別に、日本では衆議院選挙の公示日から12日間にわたり、Russian Cyber ArmyとNoName057(16)がDDoSiaボットネットで日本の政府機関や政党、社会団体を標的にしていたことが確認されました。

ハクティビストによる妨害活動が選挙後に行われる事例もあり、その多くは選挙結果に対する不満の意思表示でした。ニコラス・マドゥロ大統領が3度目の当選を果たし、物議を醸したベネズエラでのケースはこれに該当します。Anonymousのメンバーは「#OpVenezuela」キャンペーンの下、ほかのハクティビストグループと結託し、政府系Webサイト45件にDDoS攻撃を仕掛けただけでなく、そのうち数サイトにハッキングを行ったとされています。ドナルド・トランプ大統領の返り咲きが決まった米国でも同じく、第2次トランプ政権に不満や怒りを抱くハクティビストがますます米政府を狙うようになるとの懸念があります。Daily Dotのインタビューに匿名で応じた複数のハッカーは、不公平感から生まれる「反撃」の願望により、トランプ政権を標的とするハクティビスト活動が今後数年で激化するはずだと述べました。こうした活動は、ヘリテージ財団を含む保守的な政治団体を攻撃することで知られたSiegedSecなど、ほかの左翼的ハクティビストグループの例にならうことが予想されます。

紛争と二次被害

ウクライナとガザで続く紛争に関連したハクティビストの活動は、2024年に衰える気配を見せませんでした。むしろ、この活動は攻撃対象のさらなる多様化に影響を及ぼしているようで、ハクティビストがそれぞれの大義に基づく正当なターゲットとみなす相手は、その範囲がこれまで以上に広がっています。これが目立つのは親ロシア派のハクティビズムで、引き続きウクライナとNATOの同盟国を攻撃するだけでなく、「反ロシア」感情を抱いているとみなした国や、ウクライナ支持で特定の政策決定を行った国にも被害を与えるようになりました。Russian Cyber Army TeamとNoName057(16)が日本に対して行った前述のキャンペーンは、この動きを代表する事例です。攻撃の主な動機は、米国主導の軍事同盟への参加を呼びかけた日本に対するロシアの懸念でした。また、NoName057(16)によるモルドバへの攻撃も確認されており、こちらの動機はモルドバの反露感情だったと報じられています。親パレスチナ派のハクティビズムも同様の基準で標的を選択し、イスラエルを支持しているとみなされたキプロスとシンガポールで攻撃件数が増加しました。

これは完全に真新しい傾向というわけではありませんが、ハクティビズムが世界各地に引き続き影響を与えていることを示しています。ハクティビズムの戦場の世界的な拡大とオンラインサイバー犯罪コミュニティの相関性によって、親ロシア派と親パレスチナ派のハクティビズムが交差する事例も認められました。これはオーストラリアを標的とした2024年11月のキャンペーンで確認されています。親ロシア派と親パレスチナ派のハクティビストたちは、オーストラリアがイスラエルとウクライナを支持しているとの認識を動機に、オーストラリアのさまざまな機関に属する39件のWebサイトへ60回以上のDDoS攻撃を実行しました。これはハクティビストの目的が往々にして重なり合い、時には広範な反西側感情や共通の文化的・社会政治的視点によって突き動かされることを端的に示しています。

表面的には異なるハクティビストのそれぞれの動機の間には、こういった政治的な類似性が顔をのぞかせています。そしてこれらの共通点により、2024年にはハクティビストの新たな同盟や集合体がいくつか出現し、ハクティビストキャンペーンの規模、複雑さ、連携拡大についての懸念が高まりました。昨年7月に初めて姿を現したハクティビスト同盟Holy Leagueは、そんな集合体の1つです。この同盟は「親パレスチナ・反西側」の信念に広く動機づけられており、西側諸国やインド、ウクライナとイスラエルを支援する国々へ合同で攻撃を仕掛けていると伝えられています。

おわりに：2024年のハクティビズムを振り返る 

ハクティビストの活動はここ数年で発展し、より複雑な様相を呈するようになってきており、2024年に観測された活動だけを見ても、ハクティビストグループが引き続き重大なセキュリティ上の懸念材料となるであろうことが伺い知れます。特に、国家支援型の活動、ハクティビズム、金銭的動機によるサイバー犯罪の三要素が絡み合った活動の増加からは、サイバー犯罪エコシステムがいかに煩雑であるかや、それに関連してハクティビズムがどのように進化を続けているのかが明示されています。異なるタイプの活動が交差しているというこの事実は、ハクティビストの活動を調査する上において、地政学的ランドスケープと脅威アクターの一般的傾向の双方を完全に把握することの必要性を物語っています。

こうした現在進行形の脅威や新たな脅威に対抗するため、Silobreakerをどのように活用できるのか。詳しくはこちらからお問い合わせください。

最後に

さまざまな組織や業界を狙うランサムウェアの可視性を高め、脅威アクター、攻撃タイプ、TTPをプロファイルして実用的なインテリジェンスを得るために、Silobreaker Intelligence Platformがどのように役立つのか。今すぐデモをお申し込みいただき、その効果をお確かめください。

※日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

Silobreakerについて詳しくは、以下のフォームからお問い合わせください。