カナダ諜報機関、麻薬密売者・過激派集団・ランサムウェア集団へのハッキングを昨年実施したと報告 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > カナダ諜報機関、麻薬密売者・過激派集団・ランサムウェア集団へのハッキングを昨年実施したと報告

デイリーサイバーアラート

AI

APT

RaaS

カナダ諜報機関、麻薬密売者・過激派集団・ランサムウェア集団へのハッキングを昨年実施したと報告

佐々山 Tacos

佐々山 Tacos

2026.07.07

カナダ諜報機関、麻薬密売者・過激派集団・ランサムウェア集団へのハッキングを昨年実施したと報告

TechCrunch – July 6, 2026

カナダの諜報機関である通信安全局(CSE)が年次レポートを公開し、2025年に国外の麻薬密売業者・暴力的過激派・ランサムウェアグループに対して実施した「アクティブサイバーオペレーション」について公表した。CSEは対外諜報、政府システムの防御、およびネット上の敵対者の妨害という任務のもと、国家の承認を受けてこれらのハッキングを行ったという。

 

CSEのレポート「Communications Security Establishment Canada Annual Report 2025-2026」によると、アクティブサイバーオペレーションとは、外国の脅威を、カナダの国際関係、防衛、あるいは安全保障上の利益に損害が及ぶ前に阻止するためのサイバー攻撃であるとされる。

 

CSEが実施した1つ目のアクティブサイバーオペレーションは、合成オピオイド「フェンタニル」の製造に使用される化学物質の販売を仲介していたカナダ国外のサイバー犯罪者を標的にしたもの。CSEはこのブローカーに関するインテリジェンスを収集し、その後の作戦により活動を阻止したとされる。

 

2つ目のオペレーションは、暴力的イデオロギーを拡散し、カナダを含む各地でメンバー募集を行っていた国外の過激派グループに対して実施された。電子機器やインターネットに接続された端末からデータ(SIGINT)が収集され、同グループの組織や弱点などが分析されたのち、これを活用してグループの評判を貶め、人々を急進化させる能力を弱体化させることに成功したとレポートは伝えている。

 

3つ目のオペレーションは、ランサムウェア・アズ・ア・サービス(RaaS)オペレーションを標的としたもの。CSEのSIGINT部門により、同RaaSグループがどのようにカナダの医療・物流・ビジネス部門を攻撃しているかが明らかにされたのち、アクティブサイバーオペレーションによって同グループのインフラは運用不能な状態になったとされる。CSEはまた、グループのサーバーから大半のデータを消去することにも成功したという。同機関はさらに、カナダを標的とする最も重要なランサムウェアグループのうち10組に対し、並行して「技術的な妨害」を行い、「インフラの一部を使用不能にする」ことを目指したとも述べた。

 

3つのオペレーションで標的となった犯罪者や過激派グループ、ランサムウェアグループの所在地は明かされず、CSEが具体的にどんな手法を用いたのかなどは明かされていない。それでも、諜報機関がこのような開示を行うことは稀だという。

 

CSEはアクティブなオペレーションのほか、「ディフェンシブ」なサイバーオペレーションも実施したと報告。これは、カナダの連邦政府機関やその他の重要システムを狙うフィッシングキャンペーンに対して行われたオペレーションであり、攻撃者グループのインフラを停止してカナダ国民を攻撃する能力を引き下げることに成功したと伝えられている。

Armored Likho APT、モジュラー型RATとスティーラーで政府・電力機関を標的に

SecurityWeek – July 6, 2026

最近発見されたAPTアクター「Armored Likho」は、複数国における政府機関や電力関連組織を標的にしているという。カスペルスキーが報告した。

 

Armored Likhoは、ロシアやブラジル、カザフスタンの個人に対する金銭目当ての攻撃と、これらの国々の組織に対するサイバースパイオペレーションの両方に関与しているとされる。同グループの使用するツールには、動的解析をバイパスできるよう設計されたモジュラー型RATやインフォスティーラー、Go2Tunnelなどがあるとされ、初期アクセスには主にスピアフィッシングを採用しているという。

 

Armored Likhoが送信するスピアフィッシングメールには、実行ファイルまたはLNKファイルを含むアーカイブが添付されており、これらが開かれると、囮用のアプリケーションが起動する背後でマルウェアがインストールされることになる。カスペルスキーは、第1段階の悪意あるペイロードはAIを使って生成されたと考えているという。

 

マルウェアは複数のコンポーネントから構成され、うち1つが「BusySnake Stealer」と呼ばれるPythonベースのインフォスティーラー。同スティーラーは複数の回避手法を備え、クリップボード情報の窃取、ファイルの列挙、64文字の16進数キーの抽出、ドキュメントの流出、スクリーンショットの取得、スクリーンショットのアーカイブ、永続性の確認、コマンドの実行など、さまざまな機能を実行するために複数のハンドラーを利用する。また、C2からのコマンドを受けて以下のような性能を発揮できるものとみられる。

  • スクリーンショットの取得
  • 記録されたキーストロークデータの抽出
  • ChromiumベースのブラウザおよびFirefoxブラウザに保存されたパスワードの復号
  • ブラウザからのCookie抽出
  • マシンのスクレイピングによるOTPキーの収集
  • 暗号資産ウォレットの探索
  • Telegramセッション・認証情報の収集
  • リバースSSHトンネルの確立
  • RustDeskの再起動によるユーザー認証情報の取得

 

Armored Likhoのオペレーションは、Eagle Werewolfと呼ばれる脅威アクターの活動とも重複するものとみられる。一方でカスペルスキーは、複数のローダーおよびステージャーで構成される第1段階のペイロードがAIを使って生成されたとみられることから、攻撃者のTTPが曖昧化されており、アトリビューションの取り組みを複雑化させているとも述べている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ