Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コラム : 最近話題のサイバー犯罪、ハッカーの正体は本当にロシアなのか?

2018年5月28日

株式会社Doctor Web Pacific


最近ニュースで耳にする話題から判断すると、「ロシアのハッカー」が勢力を非常に伸ばしてきていることが分かります。 公表されているすべての攻撃は、ファンシーベアーズ (Fancy Bears) と似通ったハックチームであることを突き止めました。

民主党全国委員会のコンピュータの内容を監視していたハッカーは、普通のサイバー犯罪者だけではありませんでした。 彼らは過去10年間で米国や他の西側諸国への一連の注目を集める攻撃を開始するのではないかという疑いがあります。現在、セキュリティ研究者は、彼らはロシアとつながっていると主張しています。

フロリダ州の上院議員あり、大統領選挙でのドナルド・トランプのライバルの一人であるマルコ・ルビオ氏によると、彼が上院選出馬を2016年7月に発表した直後、ルビオのホワイトハウスキャンペーンのスタッフから、ロシア内の未知の場所より、「[インターネットプロトコル]アドレスを標的にして、何者かが内部情報にアクセスした」と報告された。

顧客のISOCサービスを提供する情報セキュリティ企業を含む多くの情報セキュリティ企業は、自分たちの研究部門を持っています(少なくとも、彼らが主張するものです)。 これは、理論上、サイバー脅威知能と帰属の経験は最低限であることを意味します。 しかし、彼らはまた黙っている。 どうして?

ここでは、「ロシア内の未知の場所」に関する声明の信頼性に疑問を呈しません。アンチウィルスタイムズの読者であれば、レンタルしたサーバーや侵入先のコンピュータから攻撃をマウントできることをよく知っているはずです。そしてどちらか一方を別の国に置くことができます。 さらに、公表された実証されていない内容の主張には、慎重な反論や実際の事実の専門的分析が行われることが多くあります。

4月におきたフランスのTVチャンネル TV5Monde に対する攻撃は、「恐ろしいロシアのハッカーたち」によって実行された邪悪な行為だったようです。 何人かの専門家によれば、チャンネルを2日間放置して損失を1700万ドルにしたこの攻撃は、謎のハックチームAPT28によって調整されたものであると言うことです。サイバーカリファテグループは、攻撃に対する責任を主張しています。


なぜ、アメリカ人は、「ロシア人」が民主党のコンピュータやその他の連邦のITインフラストラクチャへの攻撃の裏にいると自信を持って言っているのでしょうか?

  1. PASツールのPHP Web Kit Webシェルは、ウクライナで作成され 、ロシア語を話すハッカーフォーラムで積極的に宣伝されています。 同時に、Errata SecurityのRobert Graham氏によると、ウェブシェルは「数千人とまではいかないが、何百人ものハッカーが使用しており、その大部分はロシアに関連しているとみられますが、その残りは世界中の至る所でも使用しています。
  2. マルウェアXagentは、通常、ロシアのハッカーと関連付けられています。 しかし、有能な専門家なら、それを保持することができます。 たとえば、ESETはそれを調達して分析しました。
  3. 多くのIPアドレスはロシアのブロードバンドサービスプロバイダーYotaに属していました。これは旧Telecom副大臣に属していました。つまり、ロシア当局と明確に関係していたことがわかっています。 Yotaは、IPアドレスがDHSのリストに載っているサービスプロバイダの中で、最初にランク付けされており、866のうち44のアドレスがYotaに属しています(そして5つの他のアドレスは Rostelecom によって使用されています)。 一方、サービスプロバイダに関連するアドレスを脇に置いて実際の場所を考慮すると、攻撃に関与し、「ロシアのもの」とされたIPアドレスのほとんどは米国に存在しています。 アドレスの15%はTorに関連しており、誰でも匿名性を維持することができます。
  4. ハッカーは、モスクワ時間での営業時間中に最も活発です。 DHSの報告書ではこの事実を言及していないが、 CrowdStrike と Mandiant の調査書に出ています。そして、イランやイラクなど、米国に恨みを抱くような国々は、同じタイムゾーンにいると私はすでに言及しています。 一方で、トルコ、シリア、リビアは隣接するタイムゾーンに位置しており、アメリカ人との友好関係はあまり知られていません。
  5. ロシア語でのコメント、ロシア語UIでのサイトの使用、ロシア語をサポートするソフトウェアとオペレーティングシステムを使用して作成されたファイル DHSの報告書にもこのことは言及されていないが、この事実は他の調査書に出ています。全世界で約3億人がロシア語を話すと言われています。ロシア語は、世界で最も一般的な言語の5位、インターネット上で最も使用頻度の高い言語の2位にランクされており、 約1億6千万人が母国語としています。そのため "ロシアの窓"もロシアの外で使うことができるのです。 ただ、私は、たとえ彼らがロシア連邦の市民でなくても、アメリカ人はすべての元ソ連市民をロシア人と呼んでいるという事実を理解しています。

さらに興味深い情報が毎回現れます。

2017年3月31日、WikiLeaksはCIAの秘密文書の第3バッチを公開しました。 公開された文書には、Marble Frameworkソースコードの676ファイルが含まれていました。 このツールは、サイバー犯罪の調査を妨害するために使用されていました。 CIAは、その起源を隠すために、使用していたコードを難読化したり修正したりしていました。

Marble Frameworkには、外国語が意図的にコードに挿入されたルーチンが多数組み込まれています。 このテキストは、セキュリティアナリストが追跡できないように意図されていました。CIAはこのツールを使用して、自分たちの攻撃を隠して、ロシアや、北朝鮮出身のハッカーなどに偽って帰属させることができます。

漏えいしたソースコードには、ロシア語、中国語、韓国語、アラビア語、ペルシア語、英語の単語が含まれています。 「例えば、マルウェア作成者の口語が米国英語ではなく中国語であることを推し進め、その後中国人の使用を隠す試みを示し、法学者を間違った結論に強く導いている」とWikiLeaksは説明しています。

そしてそれは、たった一つのリークでしかなく、実際は、他の秘密機関でも同様のツールを自由に使うことができるのです。

#hacker #technologies

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F