ロジャー・フィンガス
· 1分で読めます
シマンテックが水曜日に発表した調査論文によると、これまでアップル、ツイッター、フェイスブックを標的にしていたハッカー集団は、企業秘密を利用して利益を得るという明確な目的を持って独立して活動している模様だ。
「モルフォ」というニックネームを持つこのグループは、少数の標的を絞った攻撃を成功させており、おそらくは不正な第三者へのデータ販売や金融市場への不正アクセスを目的としているとみられる。ロイター通信が報じたシマンテックの報道によると、モルフォは現在、どの国の政府からも正式な支援を受けていないとみられるが、有料でサービスを提供している可能性があるという。
Morphoは2012年以降、主に米国、カナダ、ヨーロッパの少なくとも49の組織を攻撃したとされています。標的の数は年々増加しており、2015年には14組織にまで増加しました。
このグループが初めて注目を集めたのは、2013年初頭、Appleをはじめとする大手テクノロジー企業への攻撃が明るみに出た後のことでした。同グループは、導入済みのセキュリティ対策を突破するために、これまで知られていなかった重大なJavaの脆弱性を悪用するなど、様々な手法を用いていたと報じられています。Appleを攻撃するために、MorphoはiPhone開発者が訪問するウェブサイトに感染させる「水飲み場型」攻撃戦術を採用しました。
当初、一部の疑惑は中国に向けられた。中国はハッカー集団を定期的に利用して企業秘密を盗み、米軍ネットワークを偵察していることが知られているからだ。
シマンテックによると、Morphoは報道機関の注目を集めた後、活動を停止していたが、その後復活し、航空会社や製薬会社など多くの企業を攻撃している。このグループは10人ほどのメンバーで構成されており、中には英語が堪能な者もおり、政府情報機関での経験を持つ者も1人か複数いる可能性がある。
Morphoの攻撃手法の緻密さは、特定の企業において比較的少数のコンピュータ、特に研究部門が使用するコンピュータに感染していることからも明らかです。また、このグループは各インシデント発生から1~2日以内に痕跡を隠蔽し、複数のプロキシサーバを用いて所在地を偽装すると言われています。窃取されたデータは厳重な暗号化によって保護されています。
シマンテックは、標的マシンのバックアップを、Morphoのハッキングツールがまだ活動していた12時間の間に作成することで突破口を開いたと指摘した。これらのツールは、他のMorpho攻撃を特定するための指紋として利用された。調査結果は、米国および欧州の法執行機関に報告されている。
