Google の警告メール 2021:政府支援ハッカーの脅威は5万件

Google sent 50,000 warnings of state-sponsored attacks in 2021

2021/10/14 BleepingComputer — 今日 Google は、国家主導のフィッシングやハッキングの試みに関する警告を、2021年に入ってから 5万件ほど顧客に送信したと発表したが、この数値は前年に比べて大幅に増加している。

Google の Security Engineer であり、同社の Threat Analysis Group (TAG) に所属する Ajax Bash は、「2021年に入ってから、これまでに5万件以上の警告を送信しており、2020年の同時期と比べて 33% 近く増加している。TAG は、ある日から突然に、50カ国以上を拠点とする、270件以上の政府支援型の攻撃者グループを追跡することになった。つまり、警告の背後には、複数の脅威アクターが存在するということだ」と述べている。

Google は、政府が支援していると判明している、脅威グループにリンクしているインフラから発信された、フィッシング/ブルートフォース/マルウェアなどの試みを検出すると、米政府が推奨する攻撃警告を送信している。Ajax Bash によると、これらの警告は、脅威アクターによる防御アルゴリズムや戦略の把握を阻止するために、リアルタイムな配信は控え、意図的に大量に処理されているとのことだ。

2012年から Google は、このような攻撃を同社のユーザーに対して警告しており、2017年に再設計された警告システムでは、9月に送信された直近の警告に見られるように、潜在的な攻撃ベクターに関する情報も追加している。

ロシアとイランの脅威アクターが目立つ

今年になって、Google ユーザーを標的とした最も注目すべきキャンペーンは、ロシアの軍事情報機関 GRU に関連するハッキング・グループ APT28 (別名:Fancy Bear) と、2014年ころから活動しているイランの脅威アクター APT35 (別名:Charming Kitten) がコーディネートしたものだ。

この APT28 は、9月に配信された警告の86%を占める、大規模なフィッシング・キャンペーンの背後におり、Google は 14,000人のユーザーに対して、アカウントが狙われていることを警告した。Google TAG の Director である Shane Huntley によると、このような警告は、活動家/ジャーナリスト/政府関係者/国家安全保障機関で働く人々に送られることが多いとのことだ。

この大規模な Fancy Bear キャンペーンで送信されたフィッシング・メールは、すべてが Gmail によりブロックされ、自動的にスパムとして分類されているため、ターゲットの受信箱には入っていない。

APT35 も、アカウント乗取り/マルウェア展開/機密情報収集などの、スパイ活動をコーディネートするなど、きわめて活発な1年を過ごしている。2021年の初頭に、イランのハッキング・グループは英国の大学を騙し、Gmail/Hotmail/Yahoo のユーザーを対象にし、ウェビナーを装う脆弱なサイトにログインさせ、認証情報を盗み出した。

2020年5月〜2021年7月に Google が発見したものには、Google Play ストアなどで配布されている、正規の VPN ソフトウェアを装う悪意のアプリを使って、被害者のスマートフォンにスパイウェアを配信しようとする行為もある。また、Munich Security や Think-20 の関係者になりすまし、Dropbox/Google Drive/App Scripts/Google Sites/Microsoft などの、各種のサービスページを経由した複数のリダイレクトを用いて、検知を回避するフィッシング・キャンペーンを行うというケースも発見されている。

Ajax Bash は、「このような警告は、対応する攻撃がブロックされている場合であっても、毎月何千件も送信されている。警告を受け取ったとしても、あなたのアカウントが侵害されたわけではなく、あなたが標的として認識されたことを意味する」付け加えている。同社では、仕事用および個人用の電子メールについて、高度保護プログラムへの加入を推奨している。

先日に 「Google 警告:14,000 人の Gmail ユーザーがロシアン・ハッカーに狙われている」をポストしましたが、今日の記事は、その続編という感じのものです。また、「Microsoft 警告:イランのハッカーが防衛産業にパスワード・スプレー攻撃」という記事も、先日にアップしています。こちらは、具体的なサイバー攻撃に関するものです。ランサムウェアだけではなく、こうしたスパイ活動も活発になってきているようです。

%d bloggers like this: