史上最大級のハッキングがインド企業により行われたことが判明、ハッカーらは自分の仕事をSNS上で自慢

2020年6月9日に、カナダのトロント大学を拠点とする情報通信技術の研究機関Citizen Labが、世界中で7年間にわたり数千件を超えるメールアカウントをスパイしていた職業ハッカー集団「Dark Basin」を特定したと発表しました。この問題を報じたロイター通信によると、Dark Basinの活動は「これまで公表された中で最大のスパイ活動」とされているとのことです。

Dark Basin: Uncovering a Massive Hack-For-Hire Operation - The Citizen Lab
https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/

Exclusive: Obscure Indian cyber firm spied on politicians, investors worldwide - Reuters
https://www.reuters.com/article/us-india-cyber-mercenaries-exclusive/exclusive-obscure-indian-cyber-firm-spied-on-politicians-investors-worldwide-idUSKBN23G1GQ

「Dark Basin」とは、主にジャーナリストや政府関係者、ヘッジファンドを中心に数千もの個人と機関を標的としてきた「職業ハッカー(hack-for-hire)」のグループです。Dark Basinはこれまでに、自由な言論の権利の保護を目的としたNGOの電子フロンティア財団に対する大規模なフィッシング攻撃を行ってきたほか、気候変動問題でExxon Mobilなどの石油関連企業を糾弾している「#ExxonKnew」を含む多数のNGOを標的にスパイ活動を展開してきたとされています。

by Mike Mozart

このDark Basinの実体について、Citizen Labは6月9日に「Dark Basinは、インドの企業であるBellTroX InfoTech Servicesとその関連事業体と高い確率で結び付いています」と報告しました。

Dark Basinの正体が判明するきっかけとなったのは、2017年にフィッシング攻撃の標的となったジャーナリストがCitizen Labに調査を依頼したことです。フィッシングが、URL短縮ツールを介して行われていたことを発見したCitizen Labは、さらなる調査によりそのURL短縮ツールが「フィッシング攻撃に使用するURLを偽装する目的」のためにDark Basinが運営しているものだということを突き止めました。

調査の過程では、Dark Basinのターゲットとなった個人や組織のメールアドレスを含む2万8000件の証拠が特定されましたが、攻撃対象の中でも気候変動とインターネットの中立性の問題に取り組んでいる2つの団体が特に目立った被害を受けていたとのことです。また、NGOの他にも南アフリカの裁判官、メキシコの政治家、フランスの弁護士などさまざまな人物や組織が標的になっていたと、ロイター通信は報じました。

Dark Basinの規模の大きさから、Citizen Labは当初「Dark Basinは政府支援のハッカー組織である可能性が高い」とにらんでいたとのこと。また、フィッシング攻撃を行うメールが送信された時間帯がインドのタイムゾーンで日中に当たる時間に集中していることや、URL短縮サービスのサービス名がインドの祭りなどにちなんだものであることから、Dark Basinはインドを拠点としていると推測されていました。

以下は、Dark Basinが運営していたURL短縮サービスの1つである「HOLI」のスクリーンショットです。「HOLI」とは、インドの祭りであるホーリー祭のことです。

また、Dark Basinの活動の痕跡が、インドのIT企業BellTroXのスタッフが「実績」としてインターネットで公開していた活動内容と高い精度で一致していることから、「Dark Basinの正体はBellTroXである可能性が高い」ことが判明しました。

以下が、BellTroXのスタッフの1人がインターネット上で公開していたプロフィールのスクリーンショットです。ビジネス向けSNS・LinkedInのものと見られるプロフィールには、BellTroXの社名の一部や、インドのニューデリー在住であることなどが記載されています。

また、この従業員がこれまでの実績として挙げていた活動には、「Create Phishing Page(フィッシングページの作成)」「Email Tracking(Eメールの追跡)」などが記載されており、これは「BellTroXのスタッフがDark Basinでの活動を自分の宣伝として使っていた」ことを示しているとのこと。Citizen Labは他にも、「Ethical Hacking(倫理的ハッキング)」や「Certified Ethical Hacker(著名な倫理ハッカー)」などの遠回しな表現を使っていたBellTroXのスタッフを複数特定しています。

BellTroXが一体何者に雇われてハッキングを行ってきたかは不明ですが、ロイター通信が接触した2人のBellTroXの元従業員は「こうした企業は通常、標的のビジネス上のライバルや政敵に雇われた私立探偵と契約している」と証言したとそうです。

また、Citizen Labは「商業化された大規模なハッキングの台頭は、民主主義社会を脅かす存在です。私たちは、こうしたフィッシングキャンペーンに関わった全ての人間に十分な説明責任を果たさせることが急務であると考えます」と指摘しました。Citizen Labは目下、Dark Basinの標的とされた複数の組織からの要請により、アメリカ司法省に今回の調査資料を提供し、捜査に協力しているとのことです。