イランの支援するハッカー集団APT42がアメリカ大統領選挙の関係者やイスラエルの軍・政府・外交機関を標的にしているとGoogleが公表

Googleの脅威分析グループ(TAG)が2024年8月14日に、イランのイスラム革命防衛隊(IRGC)の支援を受けたハッカー集団「APT42」が、2024年5月から6月にかけてアメリカ大統領選挙の民主党・共和党陣営の合計12人に対してハッキングを仕掛けたとの報告書を公表しました。

Iranian backed group steps up phishing campaigns against Israel, U.S.
https://blog.google/threat-analysis-group/iranian-backed-group-steps-up-phishing-campaigns-against-israel-us/

Google says it saw Iran trying to hack the Trump, Biden-Harris campaigns
https://www.nbcnews.com/tech/security/google-says-observed-iran-trying-hack-trump-biden-harris-campaigns-rcna166645

Iran increases phishing attempts on U.S., Israeli targets | CyberScoop
https://cyberscoop.com/iran-israel-hacking-phishing/

TAGによると、APT42は2024年5月から6月にかけてアメリカ政府の現役および元高官、またアメリカ大統領選挙運動関係者約12人に対してフィッシング攻撃を行っていたとのこと。APT42による攻撃は民主党・共和党陣営を問わず行われたとのことで、TAGは「ターゲット個人のメールアドレスにログインしようとする多数の試みをブロックしました」と報告しています。

またTAGは、APT42がある著名な政治コンサルタントの個人Gmailアカウントにアクセスしたことを確認しており、2024年7月にFBIに対して報告したことを明らかにしています。

TAGの報告書によると、APT42は標的に対し、実在の組織や個人を装って個人情報を窃取するフィッシングメールを送信していたほか、GoogleドライブやGoogleのログイン画面に装ったポップアップページを表示するなどの手口で標的のPCに侵入。より上の立場の関係者にフィッシングメールを送信するために標的のPCを武器化していたことが指摘されています。

アメリカ大統領選挙の関係者だけでなく、APT42はイスラエルの軍や政府、外交機関にもフィッシング攻撃を実施していることが報告されています。実際に、2024年2月から7月下旬の期間中、イスラエルとアメリカのユーザーがAP42のターゲットの約6割を占めていました。

また、2024年2月から7月下旬にかけてイスラエルを標的としたAPT42の攻撃が急増しており、ピーク時には1日約45件ものフィッシングキャンペーンが展開されていたことが明らかになっています。

TAGによると、APT42は都市への攻撃に関するコメントを求めるジャーナリストとして行動して、イスラエルの元軍・航空宇宙高官をソーシャルエンジニアリングしようとするケースも確認されたとのこと。また、APT42はイスラエルの軍事研究所などの組織を模倣し、同様のウェブサイトや電子メールのドメインを使用していたことも指摘されています。

TAGは「私たちは、紛争を終わらせるための調停に入るようイスラエル政府に求める、APT42が作成した複数のウェブサイトを削除しました。一部のサイトには、HTMLではなく画像ファイルが埋め込まれており、アクセスするとフィッシングページにリダイレクトすることになります」と報告しました。

そしてTAGは「アメリカの選挙に関する情報には引き続き注意を払い、該当の議員や候補者、選挙運動員、ジャーナリスト、選挙関係者、政府関係者など、リスクの高い全ての個人にはGoogleの高度な保護機能プログラムへの登録を呼びかけています。高度な保護プログラムは、ユーザーをフィッシング攻撃などから保護するように設計された無料のオプトインプログラムで、パスワードが流出した場合でも許可されていないユーザーはアカウントにサインインすることはできません」と述べています。