サイバー攻撃組織が「従業員研修」に用いる４０ギガバイトの動画が発見される

　サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。先制攻撃の議論もあるものの、基本は防御側から攻撃を行うことはできず、備えて待つしかない。しかし、稀に防御側（つまり我々）が攻撃側を出し抜くこともある。

● ITG18 の内部資料が流出

　2020 年、IBM のセキュリティ研究機関「 X-Force 」が、ある国家支援型と見られているハッカーグループのトレーニングビデオを入手し解析することに成功した。企業や政府機関が、機密情報を盗まれて、悪用されたり身代金を要求されたりといったインシデントはよく耳にするが、こうして攻撃側の内部資料が暴露される愉快痛快な事例は多くない。

　攻撃者の手口を分析・レポートする論文や記事はよくあるが、これらはあくまで防御側の被害やマルウェアの解析結果に過ぎない。重要なポイントが解析できていなかったり、見立てが微妙に間違っていたりすることもある。攻撃者側からみれば「核心部分はバレていない」可能性も高い。

　X-Force が発見して解析したのは、ITG18 というイランのハッカーグループの内部ドキュメントなどが収められたオープンディレクトリのファイル一式。ITG18 は「 Charming Kitten 」とも呼ばれ、COVID-19 のワクチン情報に関して製薬会社への攻撃、大統領選挙に関連した攻撃などへの関与が指摘されている。国家支援型の脅威グループのひとつとして分類されている。

　ファイル総容量は 40 GB。4 時間以上の動画は、彼らが使うツールや攻撃環境の操作をレクチャーするトレーニングビデオなども含まれていた。これによって、ITG18 がいったいどんなツールを使い（日本の法律でいうところの）不正アクセスを行い、そして不正に情報を得ているのかが、文字通り可視化された。

　当該オープンディレクトリに含まれていたファイルは、標的データなどがかなりリアルなので、情報攪乱のための「おとり」「ダミー」ではないと推測されるという。資料が外部に漏れたのは「担当者」の設定ミスと言われている。近年設定ミスによる情報漏えいが AWS や SFDC などで頻繁に起こっているが、国家支援型の脅威グループにおいてもそれは同じのようだ。

　チンケな攻撃グループにわざわざ CrowdStrike が「 Charming Kitten 」などという名付けをすることはない。そんな国際的に暗躍するハッカーグループといえど、我々が電車に機密情報の入ったノート PC を置き忘れたり、個人情報や画像フォルダを間違ってインターネットに公開してしまったりするのと同じ失敗をすることがあるのだ。

● ITG18 はどんな攻撃をしていたのか

　本件については、セキュリティ関連媒体ではニュース記事や解説記事がでているが、昨夏開催された BlackHat USA 2021 において、発見および解析の当事者である X-Force メンバーがその詳細を発表している。本稿ではその要点をかいつまんで抄訳を試みたい。