Googleは4万件のハッキング攻撃の警告を2019年に送信したことを発表

Googleには「Threat Analysis Group」(脅威分析グループ／TAG)というチームが存在し、政府が支援するハッキング攻撃によってGoogleやGoogle製品のユーザーがターゲットにされることを防いでいます。TAGにより2019年のハッキング攻撃の動向が分析され、ゼロデイ脆弱性に対する攻撃の傾向と共に発表されています。

Identifying vulnerabilities and protecting you from phishing
https://blog.google/technology/safety-security/threat-analysis-group/identifying-vulnerabilities-and-protecting-you-phishing/

Googleはユーザーのアカウントがマルウェアや政府主導のフィッシング攻撃のターゲットになっていることを検知した時に、ユーザーに警告を送っています。この警告が2019年は4万件だったことをGoogleは発表しました。4万件という数字は2018年の25％減にあたり、Googleの保護が機能していたことを意味しているとのこと。攻撃者は攻撃ペースを落とし、より慎重に攻撃を行うようになっていると考えられています。

Googleが公開しているマップから、国民が集合的に1000件以上の警告を受け取った国はアメリカ、インド、パキスタン、日本、韓国などであることがわかります。なお、Microsoftは2019年に1万人以上のカスタマーがイランや北朝鮮、ロシアといった国家の支援を受けたハッキング攻撃を受けていることを報告しています。

政府から支援を受けて活動を行うハッカーグループのうち、特に目立っているのがロシア政府の支援を受ける「Sandworm」です。Sandwormは2018年冬季オリンピックでのハッキングに関与していたとみられており、偽のアプリに偽装したマルウェア攻撃を特徴としています。

政府から支援を受けたハッカーグループによる攻撃は日本を含む全世界で3カ月に1万2000件以上発生 - GIGAZINE

Googleは、2017年から2019年にかけてSandwormがどのような国・産業をターゲットにしてきたのかというグラフを公開しています。特にウクライナは3年間、継続的に攻撃を受けていることがわかります。

またTAGは、2019年にAndroid、iOS、Windows、Chrome、Internet Explorerに影響を与えるゼロデイ脆弱性を発見しました。

Googleによると1つの攻撃グループがパッチの適用されていない5つの脆弱性を悪用しており、「同じ攻撃者が比較的短いタイムフレームで複数のゼロデイ攻撃を行うことは非常にまれ」だとのこと。この攻撃は正規のウェブサイトをハッキングし、悪意あるウェブサイトやフィッシングメールにリンクするというもの。ターゲットの多くは北朝鮮に住んでいるか、北朝鮮に関連した事柄に携わっている個人でした。

ゼロデイ攻撃はまだ検知・修正されていない脆弱性をターゲットとしているため、成功率が高く、より危険であるとみなされています。Googleはゼロデイ脆弱性を利用した攻撃を検知するとベンダーに対して通知を送り、パッチの作成期間として7日間の猶予を与え、猶予期間に行動が取られなかった場合はGoogle自体が独自の勧告を発表しています。

なお、Googleは過去数年に起こったフィッシング攻撃において、多要素認証などを用いるアカウント保護プログラムを利用しているアカウントがのっとられたことはない点についても言及しています。