活動家とジャーナリストを標的にしたハック・フォー・ハイア（雇われハッカー）キャンペーン

世界規模のハック・フォー・ハイア型フィッシングキャンペーンが世界中のスマートフォンユーザーを危険にさらす

大規模なサイバーセキュリティ調査により、世界中のiOSおよびAndroidデバイスを標的とした、現在進行中のハック・フォー・ハイア型フィッシング作戦が明らかになった。BITTER APTグループによるとされるこのキャンペーンは、政府高官、ジャーナリスト、活動家などの高価値ターゲットからApple IDの認証情報やその他のサービスのログイン情報を収集するために、約1,500件の不正ドメインを展開した。攻撃者がアクセスを取得すると、機密性の高いiCloudバックアップやプライベートな通信内容に到達することが可能となり、単純なパスワード窃取が完全な情報収集作戦へと発展する。

このキャンペーンの規模と標的の選定が示す事実は重要だ。これは日和見的なサイバー犯罪ではない。組織的かつ持続的であり、現実世界において価値を持つ通信内容やアイデンティティを保有する人物を狙ったものだ。

BITTER APTとは何者か、そして何を求めているのか

APTとは「Advanced Persistent Threat（高度持続的脅威）」の略であり、明確な目標、豊富なリソース、そして長期的な忍耐力を持って活動する脅威アクターのカテゴリーを指す。BITTER APTはセキュリティ研究者によって長年追跡されており、一般的に南アジアおよび東南アジアにおけるスパイ活動を目的とした作戦との関連が指摘されているが、今回のようなキャンペーンはより広範な国際的展開を示している。

ハック・フォー・ハイアというモデルは、さらなる懸念をもたらす。単一の政府や組織のためだけに活動するのではなく、ハック・フォー・ハイアグループは特定の個人に関する情報収集を求めるクライアントに対してその能力を販売する。機密性の高い記事を調査するジャーナリスト、強力な利益に異議を唱える活動家、そして機密の政府情報を保有する当局者は、まさにこうしたクライアントが監視料金を支払う標的の典型だ。

約1,500件もの偽ドメインの使用は特に重要な意味を持つ。これほどの量の不正インフラを構築・維持するには多大な投資が必要であり、作戦を依頼した者にとってこれらのターゲットがいかに価値あるものかを示している。

フィッシング攻撃の手口

このレベルの高度なフィッシング攻撃は、多くの人が見慣れた稚拙な詐欺メールとはまったく異なる。BITTER APTの作戦では、正規のApple IDログインページやその他のサービスポータルを模倣した、精巧に作り込まれた偽サイトが使用された。ターゲットは一見通常のセキュリティ警告やアカウント通知に見えるメッセージを受け取り、説得力のある偽サイトへとアクセスし、攻撃者に直接認証情報を渡していることに気づかないまま入力してしまう。

Apple IDに限っていえば、その被害はApp Storeアカウントへのアクセス喪失をはるかに超える。Apple IDの認証情報は、何年分ものメッセージ、写真、連絡先、位置情報の履歴、アプリデータを含む可能性があるiCloudバックアップへの鍵となる。これらの認証情報を手にした攻撃者はデバイス自体を侵害する必要はなく、単純にログインして自動バックアップされたすべてのデータをダウンロードするだけでよい。

Androidユーザーも同様のリスクに直面しており、Googleアカウントやデバイスおよびアプリをまたいで個人データを集約するその他のサービスを標的とした認証情報の窃取が行われている。

あなたにとっての意味

多くの読者は政府高官でも調査報道ジャーナリストでもないかもしれないが、だからといってこの問題が無関係というわけではない。この調査から得られる重要な教訓がいくつかある。

第一に、高価値ターゲット向けに構築されたフィッシングインフラは、一般ユーザーも巻き込む可能性がある。AppleやGoogleのサービスを模倣した偽ドメインは、訪問者が誰かを確認しない。もしそのようなサイトに遭遇した場合、あなたの認証情報も他の誰かのものと同様に危険にさらされる。

第二に、iCloudやクラウドバックアップが主要な攻撃対象として露呈したことは、アカウントセキュリティがすなわちデバイスセキュリティであることを改めて示している。強力なパスコードでスマートフォンを保護しても、攻撃者がブラウザからクラウドアカウントにログインしてそこに保存されたすべてのデータにアクセスできるなら、ほとんど意味をなさない。

第三に、このようなキャンペーンで最もリスクにさらされる人々——ジャーナリスト、研究者、弁護士、医療従事者、活動家を含む——は、機密性の高い環境における物理的なセキュリティと同等の真剣さをもってデジタルセキュリティに取り組むべきだ。

今すぐ実施すべき具体的な対策：

• Apple ID、Googleアカウント、および機密データを保存するその他のサービスで二段階認証を有効にする。この一つの対策だけで、認証情報を悪用した攻撃のコストを大幅に引き上げることができる。
• パスワードマネージャーを使用して、すべてのアカウントに固有の強力なパスワードを設定する。サービス間でのパスワードの使い回しは、一つの情報漏洩による被害を劇的に拡大させる。
• Apple、Google、その他の信頼できるサービスから送られてきたように見える場合でも、アカウント認証情報の確認を求める未承諾のメッセージには疑いの目を向ける。メールやメッセージ内のリンクをクリックするのではなく、公式サイトに直接アクセスする。
• クラウドアカウントにバックアップされているデータを確認し、すべてが本当に保存される必要があるかどうかを検討する。
• モバイルOSを常に最新の状態に保つ。セキュリティパッチは、このようなキャンペーンが悪用しようとする脆弱性を修正する。

BITTER APTのキャンペーンは、モバイルデバイスが高度な脅威アクターにとって副次的な標的ではなく、主要な標的となっていることを明確に示している。使用されているフィッシング技術は、警戒心を刺激するのではなく、それをすり抜けるように設計されている。攻撃が巧妙に見えるときでも機能する習慣を身につけることが、保護を維持するために必要だ。なぜなら、最もよく設計された攻撃はそれを意図して作られているからだ。

今日アカウントのセキュリティ設定を見直すことは15分もかからず、認証情報が狙われた場合に大きな違いをもたらす可能性がある。