ファンシーベア

ファンシーベア (Fancy Bear) は、ロシアを拠点としサイバースパイ活動を行うハッカー集団。2000年代半ばには活動が確認されており、2014年から精力的に活動している^[3]。セキュリティ企業クラウドストライクは、ある程度の自信を持ってロシア連邦軍参謀本部情報総局に関連していると述べている^[4]^[5]。イギリスの外務・英連邦・開発省^[6]、セキュアワークス、ThreatConnect^[7]、ファイア・アイ傘下のMandiantも^[8]、このグループの背後にロシア政府がいると考えている。2018年10月、米国連邦大陪審はGRU26165部隊幹部7人のロシア人男性を起訴しているが^[2]^[9]^[10]、在米ロシア大使館はファンシーベアとロシア政府がつながっているとの見方はフェイクニュースと否定している^[11]。多数のハッカー集団を擁するロシアにおいて、サイバー攻撃を象徴する組織として強い存在感を持っている^[12]。

概要設立, 種類 ...

ファンシーベア
設立	c. 2004または2007年
種類	APTグループ
目的	サイバースパイ, サイバー戦争
貢献地域	ロシア
組織的方法	ゼロデイ攻撃, スピアフィッシング, マルウェア
公用語	ロシア語
上部組織	ロシア連邦軍参謀本部情報総局(GRU)^[1]^[2]
加盟	コージーベア
かつての呼び名	APT28 Pawn Storm Sofacy Sednit STRONTIUM Tsar Team Threat Group-4127 Grizzly Steppe (コージーベアと併せて)
テンプレートを表示

閉じる

概要

要約

視点

ターゲット

ファンシーベアのターゲットは、東ヨーロッパの政府、軍、治安機関、特に南コーカサス、ジョージア（グルジア）、ウクライナ^[13]、および北大西洋条約機構(NATO)加盟国をターゲットとしている。

これまでにファンシーベアの攻撃を受けた組織は、ドイツ連邦議会、ノルウェー議会、フランスのテレビ局TV5Monde、ホワイトハウス、民主党全国委員会、欧州安全保障協力機構、フランスの大統領候補エマニュエル・マクロンの選挙運動^[14]、アメリカの防衛請負業者アカデミ（旧称ブラックウォーター）、Science Applications International Corporation(SAIC)^[15]、ボーイング、ロッキード・マーティン、レイセオン^[13]、元石油王ミハイル・ホドルコフスキー、ロシアのフェミニスト・パンク・ロックバンドのプッシー・ライオット、クレムリンの政敵など多岐にわたる^[13]。

セキュアワークスはファンシーベアの標的リストにプーチンとクレムリンが敵視する数万人と、ほんの一握りのアメリカの共和党員が含まれているとしている^[16]。分析では、これらをターゲットにするのはロシア以外考えられないと結論付けている^[13]。

グループ名

「Fancy Bear」というグループ名は、ロシア出身でクラウドストライクの共同創業者および最高技術責任者のドミトリ・アルペロビッチが名付けた^[17]。「Fancy」はマルウェアのコードにあったSofacyという単語からで、「Bear」はロシアが拠点のグループであることを示している^[1]（欧米ではロシアを風刺する時にクマを使用することが多い）^[12]。ファンシーとは名ばかりで数多くの事件を起こしている凶悪な犯罪組織である^[18]。

別名

ファンシーベア以外にもセキュリティ企業がそれぞれ命名した数多くの識別名が存在する^[2]^[19]^[18]。

APT28（マンディアント）
ポーンストーム Pawn Storm（トレンドマイクロ）
ソファシー Sofacy（カスペルスキー）
セドニット Sednit（ESET）
ツァーリチーム Tsar Team（ファイア・アイ）※ツァーリはロシア語で皇帝の意味^[20]
ストロンチウム STRONTIUM（マイクロソフト）

検出およびセキュリティレポート

2014年10月22日、トレンドマイクロはマルウェアSofacyの背後にいる脅威アクターをOperation Pawn Stormと指定した^[21]。この名前は、実在するチェスの戦略ポーンストーム（英語版）から取られた^[22]。

ファイア・アイは2014年10月に詳細なレポートをリリースし、このグループを高度で長期的な脅威集団「Advanced Persistent Threat 28」（APT28）として指定した^[8]^[23]。報告書では、情報源が「モスクワに拠点を置く政府のスポンサー」であることが判明した。 FireEyeは、マルウェアが主にロシア語のビルド環境でコンパイルされていること、グループの活動がモスクワ時間であることなどを示唆した^[24]。FireEyeは「国家スパイ」であると断じ ^[25]、「メディアまたはインフルエンサー」もターゲットには含まれると述べた^[26]^[27]。

特徴とテクニック

要約

視点

ファンシーベアは国家支援型ハッカーの能力と一致する高度な手法を採用している^[28]。侵入方法は、スピアフィッシングメール、ニュースソースを装いマルウェアをダウンロードさせるサイト、およびゼロデイ脆弱性を使用する方法など。添付ファイルによるハッキングの場合には、Microsoft Word、Microsoft Excel、Adobe Flash、Adobe Readerなどの脆弱性を突いてくる^[29]。

ESETによると、2015年起きた事案では6つ以上の異なるゼロデイエクスプロイトが使用されていた^[29]。最先端の商用ソフトの脆弱性を探すのは、多数のプログラマーを必要とするかなりの偉業である。これはファンシーベアが国家によって運営されている事を物語っており、単なる犯罪集団や孤独なハッカーではないことを示唆している^[30]^[31]。

スピアフィッシング

ファンシーベアはWebメールサービスへのハッキングを好んで行う。攻撃手法はシンプルで、ターゲットにパスワードの変更を緊急に要求する電子メールを送るというもの。記載されたURLアドレスをクリックすると、本物そっくりの偽サイトへ誘導され、ユーザー名やパスワードを入力させ認証情報を盗む。URLはスパムフィルターを通過するために、短縮URLのbit.lyなどに隠されていることがある^[32]。ファンシーベアは、月曜日と金曜日にフィッシングメールを送信することが多い。他に興味深いニュースタイトルのメールを送信し、ターゲットのコンピューターにマルウェアをドロップさせる手も多用する^[30]。大量のパスワードを試す総当たり攻撃や、大量のアカウントに対して一定数の共通パスワードを試すパスワードスプレー攻撃も駆使している^[33]。

なりすましサイト

また有名Webサイトに酷似したドメインを登録し、なりすましサイトを作成して認証情報を盗みだす手口も使用する^[34]。ファンシーベアは、以前に侵害した被害者のプロキシネットワークを経由してコマンドトラフィックを中継することも知られている^[35]。 2016年マイクロソフトはファンシーベアのサーバー70台以上を乗っ取り、サーバーネットワークの全貌を掴むことに成功し同集団を相手取り訴訟を起こした^[36]。

製作した悪意のあるソフトウェア

ファンシーベアが使用した悪意のあるソフトウェアには、ADVSTORESHELL、CHOPSTICK、JHUHUGIT、およびXTunnelがなどがある。Foozer、WinIDS、 X-Agent、X-Tunnel、Sofacy、DownRangeドロッパーなどの多くのインプラントも利用する^[34]。ファイア・アイはコンパイル時間に基づき2007年以来一貫してマルウェアを更新していると結論付けた^[35]。同グループは解析されないようにコードを難読化する。符号化された文字列にジャンクデータを追加し、ジャンク除去アルゴリズムがないとデコードが困難になる^[35]。ハッキングのフォレンジック分析を防止するため、ファイルのタイムスタンプをリセットし、イベントログを定期的にクリアするなどの対策を講じている^[34]。カスペルスキーはツールのセキュリティを高いレベルに保っており、マルウェアが検出しにくく捜査も難しいとしている^[37]。アメリカの起訴状によると、X-Agentは、GRU所属の中尉によって開発された^[2]。

関与が疑われるサイバー攻撃

要約

視点

著名なジャーナリストへの攻撃

2014年半ばから2017年の秋まで、プーチンやクレムリンに関する記事を執筆したニューヨーク・タイムズやワシントン・ポスト、CNN、ブルッキングス研究所、デイリー・ビースト、キーウ・ポストなどの多数のジャーナリストや新聞記者もターゲットにされた。標的となったジャーナリストの大半は、クリミア危機・ウクライナ東部紛争の記者たちだった ^[38]。

ドイツ連邦議会（2014-2016年）

2014年12月に始まったドイツ連邦議会への6か月にわたるサイバー攻撃を行った^[39]。この攻撃でITインフラを完全に麻痺し、IT専門家によると合計16ギガバイトのデータが議会から流出したと推定している^[40]。

また2016年8月には連邦議会の議員や、左翼党の指導者、ユンゲウユニオン、ザールラント州のドイツキリスト教民主同盟などの複数の政党に対するスピアフィッシング攻撃を行った^[41]^[42]^[43]^[44]。当局は、2017年9月に予定されていたドイツの次の選挙に先立ってロシアが機密情報を収集し、後で国民を操作する可能性があることを懸念した^[41]。

2020年、ドイツ当局は容疑者としてGRUの将校を名指した。ドイツのニュース週刊誌デア・シュピーゲルによると、連邦刑事庁と連邦情報セキュリティ局(BSI)、連邦憲法擁護庁(BfV)などが協力し捜査を担当したという^[45]。

米軍人の妻への脅迫（2015年2月）

2015年2月10日、米軍関係者の妻5人が、イスラム国家の加盟組織であると主張する「CyberCaliphate」と名乗るハッカーグループから殺害予告を受けた^[46]^[47]^[48]^[49]。これは後に、被害者がFancy Bearのターゲットに含まれていることが判明し、偽旗作戦であることが判明した^[47]

フランスのテレビ局（2015年4月）

2015年4月8日、フランスのテレビ局TV5Mondeがハッキングを受けイスラム過激派の宣伝を流された。これにより4月9日遅くまで中断された^[50]^[51]^[52]^[53]。犯人はテロ組織ISILと関係があると主張するハッカーグループ「CyberCaliphate」を名乗ったが、フランスの研究者たちはファンシーベアの関与を疑った^[54]。TV5Mondeの長官は後に、この攻撃で会社がほぼ破壊されたと語った。攻撃は慎重に計画されており、最初の侵入は2015年1月23日だった^[55]。フランスのサイバー機関はその後、攻撃者がAPT28である証拠を発見した。しかしTV5Mondeを標的にした理由は不明で、おそらくサイバー兵器をテストしたのではないかと推測している^[56]。

国際銀行機関（2015年5月）

2015年5月、セキュリティ企業root9Bが金融機関を狙った標的型スピアフィッシング攻撃を発見した。狙われたのは国際銀行機関で、アラブ首長国連邦銀行、バンク・オブ・アメリカ、トロント・ドミニオン銀行、UAE銀行など^[57]。

これに対しセキュリティジャーナリストのブライアン・クレブスは、正確性に疑問を呈したが^[58]、2015年6月に別の著名なセキュリティ研究者がレポートを公開し、root9Bの報告が正確に見えたと述べた^[59]。root9Bは後にテクニカルレポートを公開し、元のレポートの信憑性をさらに高めた^[60]。

EFF、ホワイトハウス、NATO（2015年8月）

2015年8月、Fancy BearはJavaのゼロデイエクスプロイトを使用して、電子フロンティア財団 (EFF)になりすまし、ホワイトハウスとNATOに攻撃を仕掛けた^[61]^[62]。

世界アンチ・ドーピング機関（2016年8月）

2016年8月、世界アンチ・ドーピング機関(WADA)ははシステムが侵害されたことを明らかにし、ファンシーベアが国際オリンピック委員会(IOC)のアカウントを使用して、同組織のデータベース「ADAMS」に侵入したと説明した^[63]。その後、ハッカーはウェブサイトfancybear.netを使用して、体操選手のシモーネ・バイルズ、テニスのビーナス・ウィリアムズとセリーナ・ウィリアムズ姉妹、バスケットボールのエレナ・デル・ドンヌなどが、禁止薬物を治療目的で使用する「治療目的の特例措置(TUE)」をWADAから受けていたと暴露した^[63]^[64]^[65]^[66]^[67]。

WADAは、ロシア選手のドーピング疑惑の証拠を元に2016年リオデジャネイロオリンピックへの参加を禁じることを勧告しており、アナリストは今回のハッキングは2014年に内部告発したロシアの元アスリート、ユリア・ステパノワに対する報復行為とみている^[68]。これに対しロシア政府報道官は「同国政府がWADAへの攻撃を支援するなどあり得ないことだ」と反論した^[69]。

ベリングキャット（2016年）

ウクライナ上空でのマレーシア航空17便撃墜事件を研究しているイギリスの調査報道サイトのベリングキャットのジャーナリストがスピアフィッシングの標的にされた。ベリングキャットは、MH17撃墜事件の責任がロシアにあることを証明したことで知られており、逆にロシアのメディアからは攻撃を受けている^[70]^[71]^[72]^[73]。

2016年アメリカ大統領選挙（2016年）

→詳細は「2016年アメリカ合衆国大統領選挙におけるロシアの干渉」および「ポデスタEメール」を参照

2016年第1四半期、民主党全国委員会(DNC)にスピアフィッシング攻撃を実行した^[74]^[75]。3月19日、2016年アメリカ合衆国大統領選挙で民主党指名候補ヒラリー・クリントン陣営の選挙対策責任者を務めていたジョン・ポデスタのGmailアカウントが侵害され、5万件のメールが盗まれウィキリークスに暴露された^[76]。フィッシングは4月に激化したが^[75] 、4月15日はロシアでは軍の電子戦サービスを称える祝日であったため、突然活動を停止した^[77]。盗まれた情報は、2015年にドイツ議会に対する攻撃に使用されたのと同じサーバーに送信されていた^[1]。

6月14日、クラウドストライクはDNCへのハッキングを公表し、ファンシーベアを犯人と特定した。しかしその後、ネット上にグッチファー 2.0（英語版）（実在したハッカーグッチファー（英語版）をオマージュした名前）を名乗るハッカーが登場し、自分が犯人だと主張した^[34]。

また別のロシアのハッカー集団「コージーベア」も同時期にDNCのサーバーに侵入していた。ただし、2つのグループは、それぞれが独立して動いており、お互いに気づいていなかったという^[77]。クラウドストライクは、コージーベアが1年以上侵入していたのに対し、ファンシーベアは数週間しか侵入していなかったと判断している^[1]。

一連のスキャンダルによりヒラリーはイメージが低下し、共和党候補者だったトランプは選挙期間中「I love WikiLeaks」と繰り返した^[76]。選挙戦後、クリントン陣営はサイバー攻撃が敗因の一つだったと述べた^[12]。しかしトランプは大統領になってからも大統領選にロシアが介入した事実を認めていない^[33]^[78]。

ウクライナの大砲（2014-2016年）

2014年から2016年までの間、Android用マルウェアを使用し、ウクライナ軍のロケット兵砲兵隊を標的に攻撃した。クラウドストライクは当初、ウクライナのD-30 122mm榴弾砲の80％以上が破壊されたとしていたが^[79]^[80]、ウクライナ陸軍は数字は誤っており「報告されたものをはるかに下回っていた」と反論した^[81]。国際戦略研究所(IISS)も否定し、後にクラウドストライクは80％ではなく15〜20％の損失だったと修正した^[82]。

macOS（2016年9月）

BitdefenderはmacOSユーザーを狙うマルウェアを発見した。感染するとシステムにモジュラーバックドアをインストールされ、パスワード、スクリーンショット、iPhoneのバックアップデータなどを盗まれる恐れがある。分析サンプルに同じドロッパーと、類似したC&CサーバのURLが含まれている事などからファンシーベアが製作したと断定したという^[83]。

Windowsのゼロデイ（2016年10月）

2016年10月31日、 GoogleはMicrosoft Windowsのほとんどのバージョンにゼロデイ脆弱性があると公表した。11月1日、Microsoftは、脆弱性を認め、特定のユーザーを標的としたスピアフィッシング攻撃がAdobe FlashとWindowsカーネルのゼロデイ脆弱性を利用していたと説明した。Microsoftは、脅威の主体が社内コードネーム「ストロンチウム」（ファンシーベア）だったと述べた^[84]。

オランダの省庁（2017年2月）

2017年2月、オランダの総合情報保安局(AIVD)はファンシーベアとコージーベアが、過去6か月間に総務省を含むオランダの省庁へのハッキングを試みていたことを明らかにした^[85]。この事件を受けオランダ内務・王国関係大臣は、2017年3月のオランダ総選挙の投票を手作業で行うと発表した^[86]。

国際陸上競技連盟（2017年2月）

2017年4月、国際陸上競技連盟(IAAF)の関係者は、サーバーがファンシーベアによってハッキングされたと公表した。これはセキュリティ企業のContext Information Securityが検知したもので、2月21日に不正アクセスが行われたという。IAAFは、ハッカーがWADAが禁止している薬を使用するために必要な「治療的使用免除申請書」を狙ったと述べている^[87]^[88]。

ドイツとフランスの選挙（2016-17年）

2017年、トレンドマイクロは、フランスのエマニュエル・マクロンとドイツのアンゲラ・メルケルをターゲットにしたレポートを発表した。フランス政府のサイバーセキュリティ機関ANSSIは、これらの攻撃が行われたことを確認したが、APT28の関与は断定できなかった ^[89]。フランスのマリーヌ・ル・ペンは標的にされておらず、ロシアは彼女を当選させようと暗躍していたとみられている。実際にプーチンは以前に、マリーヌ・ル・ペンが当選した方がロシアに有益だと宣伝していた^[90]。

ファンシーベアはその後、ドイツのコンラッド・アデナウアー財団とフリードリヒ・エーベルト財団、それぞれアンゲラ・メルケルのキリスト教民主同盟と野党ドイツ社会民主党に関連するグループを標的にしていたという^[91]。

国際オリンピック委員会（2018年）

2018年1月10日、「ファンシーベアーズ・ハックチーム」なる集団が、国際オリンピック委員会(IOC)とアメリカオリンピック委員会のメールを暴露した。これは2018年平昌オリンピックでロシア選手団がドーピング違反で排除されたことへの報復と考えられている^[92]^[93]。

スウェーデンスポーツ連盟（2018年）

スウェーデンスポーツ連盟は、ファンシーベアがアスリートのドーピング検査記録を標的とした攻撃を行ったと報告した^[94]。

アメリカの保守系団体（2018年）

2018年8月、マイクロソフトは共和党国際研究所やハドソン研究所などの政治団体の偽ドメイン6件を閉鎖し、データ窃盗を防いだと報告した^[95]^[96]^[97]。

エキュメニカル総主教庁（2018年8月）

2018年8月、AP通信によると、ファンシーベアは数年前からヴァルソロメオス1世が率いるコンスタンティノープル総主教庁の職員の電子メール通信を標的にしてていたという^[98]。ウクライナ政府はウクライナ正教会の完全な独立を求めており、正教会の最上級であるエキュメニカル総主教区とロシア正教会の緊張が高まっていた。専門家はウクライナの教会に自系統が認められれば、モスクワ総主教座の権力と威信が損なわれ弱体化するとしている^[98]。

シンクタンク攻撃（2019年）

2019年2月、マイクロソフトは、German Marshall Fund、Aspen Institute Germany、およびGerman Council on ForeignRelationsの従業員へのスピアフィッシング攻撃を検出した^[99]^[100]^[101]^[102]。

チェコ機関（2019年）

2020年、チェコ国立サイバー情報セキュリティ庁（チェコ語版）はサイバースパイ事件を報告し^[103]、おそらくファンシーベアによって実行された可能性が高いと報告した^[104]。

ノルウェー議会攻撃（2020年）

2020年8月、ノルウェー議会ストーティングは、電子メールシステムに対する重大なサイバー攻撃があったと通知した。翌9月、ノルウェー外相はこの攻撃の背後にロシアがいるとして非難した。ノルウェー警察は12月、機密情報が流出した事を確認し、ファンシーベアよって実行された可能性が高いと結論付けた^[105]。

2020年アメリカ大統領選挙（2020年9月）

前回と同じく2020年アメリカ合衆国大統領選挙への介入を試み、民主党や外交問題評議会、カーネギー国際平和基金、センター・フォー・アメリカン・プログレスなど200以上の組織へ攻撃があった^[106]。ハッカーの狙いは民主党の大統領候補ジョー・バイデン陣営とされる^[107]。民主党全国委員会は外国勢力が選挙に介入しようとしている事に「驚きはない」と語った^[11]。マイクロソフトはプログラミングのエラーに一定のパターンが生じた点から、犯行グループをファンシーベアと断定した^[11]。

アメリカの天然ガス企業（2022年2月）

セキュリティ企業Resecurityは、アメリカの大手液化天然ガス企業のシェブロン、シェニエール・エナジー、キンダー・モルガンなど20社以上がハッカーに侵入されていたと報告した。これがヨーロッパへのエネルギー遮断を目的としたものだとは断定していないが、この件によりロシアがウクライナに侵攻を開始した時には、既に国際的なエネルギー市場が供給不足で混乱に陥っていた。Resecurityによると調査に乗り出すきっかけの事件にファンシーベアが関与していたとしている^[108]。

ロシアのウクライナ侵攻（2022年2月）

2022年2月24日にロシアがウクライナに軍事侵攻した。3月7日、Googleは2週間ほど前から、ファンシーベアがウクライナのメディア企業UkrNetや欧州同盟国を標的にしたフィッシングメールを送信していると警告した^[109]。

脚注

Loading content...

外部リンク