概要

2019年6月、Reutersは、2018年10月から11月にかけて西側諸国の情報機関のハッカーがロシア最大のテクノロジ企業「Yandex」に侵入してマルウェア「Regin」を展開し、同社の検索エンジンYandexの認証に関わる技術情報を窃取しようとしたと報じた。

Yandexとは

Yandexは、ロシア版Googleと呼ばれ、国内に月間1億8百万人以上のユーザを持つ。加えて、ベラルーシやカザフスタン、トルコで事業を行っている。

Reginとは

Kaspersky Labによると、Reginは、標準的なスパイウェアの機能に加えて、GSMネットワークを監視可能な「サイバー攻撃プラットフォーム」だという。Regionは、感染端末でキーボード操作の記録やスクリーンショットの取得、ファイルやメールの窃取、通信の盗聴が可能である。また、GSMインフラを制御するGSM Base Station Controllerを乗っ取り、GSMネットワークを制御して通話やSMSの傍受などを行う。2014年、The Interceptによると、EUや、ベルギーの通信会社Belgianに対する洗練されたサイバー攻撃にReginが利用されたという。さらに、元NSA職員Edward Snowden氏が公開した内部文書から、これらの攻撃が米国NSAと英国GCHQによる「最高機密の監視任務 (top-secret surveillance operation)」であることが発覚した。その後2015年、SPIEGELが、Snowden氏が公開した文書から、FiveEyesの情報機関が使用するマルウェアWARRIORPRIDEのキーロガーモジュール「QWERTY」を公開した。これを分析したKaspersky Labは、QWERTYとReginの開発者が同一または協力関係にあると結論付けた。

FiveEyesとは

FiveEyesとは、SIGINT (Signals Intelligence) 分野での共同を目的とする「UKUSA (United Kingdom – United States of America Agreement) 協定」を締結している米国、英国、カナダ、オーストラリア、ニュージーランドの同盟を指す。世界中に張り巡らせたSIGINTシステム「Echelon」などの設備や盗聴情報を相互・共同利用している。

影響等

Reutersの情報提供者によると、ハッカーの目的は知的財産の窃取や破壊活動ではなく、諜報活動を目的だという。Yandexの認証技術が分かれば、ハッカーはYandexユーザになりすまし、メッセージを閲覧することができる。Yandexは、少なくとも2週間、知らずのうちに侵害を受けていたという。セキュリティ専門家によると、難読化のために攻撃者を特定することは難しい。ただし、今回の攻撃に利用されたReginには複数の新たなコードが使われていたことが分かった。Symantec Security Responseの技術部長Vikram Thakur氏によると、「この数か月の間、Reginの様々なコンポーネントを確認している」という。同氏は、「Reginが2019年に再びレーダーに戻ってきた」と述べた。