訴訟を有利に進めるために弁護士や裁判の当事者にハッキングを仕掛ける「傭われハッカー」の実態とは？

Googleの脅威分析グループ(Threat Analysis Group：TAG)が2022年6月30日に、ハッキングをサービスとして行う「雇われハッカー(hack-for-hire)」がインドやロシア、アラブ首長国連邦で台頭しているとのレポートを公開しました。また、ロイターもインドで暗躍する雇われハッカーについて取り上げた特集を組んでおり、これらの記事により金で雇われてハッキングし訴訟を有利に進める雇われハッカーの脅威が浮き彫りになっています。

Countering hack-for-hire groups
https://blog.google/threat-analysis-group/countering-hack-for-hire-groups/

How mercenary hackers sway litigation battles
https://www.reuters.com/investigates/special-report/usa-hackers-litigation/

Google: Hack-for-Hire Groups Present a Potent Threat
https://www.darkreading.com/threat-intelligence/google-hack-for-hire-groups-present-a-potent-threat

以前から、北朝鮮やロシアなどの政府を後ろ盾とするハッカーの脅威が頻繁に報告されていますが、これに加えて近年はハッキングをビジネスとしている「雇われハッカー」による被害も急激に拡大しています。

史上最大級のハッキングがインド企業により行われたことが判明、ハッカーらは自分の仕事をSNS上で自慢 - GIGAZINE

雇われハッカーの顧客の多くは私立探偵、法律事務所、競合他社を蹴落としたい企業など、自力でハッキングを行う能力がない組織です。政府の意を受けたハッカーが、標的を絞り秘密裏にハッキングを行うAPT攻撃を展開するのに対し、このような雇われハッカーはしばしば公然とハッキングサービスを宣伝し、クライアントが悪意を持つあらゆる組織や人物を標的にします。

GoogleのTAGチームはレポートの中で、「我々は2012年からインドのハッカー集団の追跡を続けており、こうしたハッカーの多くはAppinやBelltroxと呼ばれているインドの攻撃型セキュリティプロバイダーで働いた経歴を持っていることが分かっています。その一連の活動の中でハッカーらは、サウジアラビア・アラブ首長国連邦・バーレーンなどの政府・医療・通信セクターを標的としたフィッシングキャンペーンを頻繁に行っています」と報告しました。

以下は、インドの雇われハッカーがフィッシング詐欺のために作成したページの例です。雇われハッカーによる攻撃は、特定の政府組織をターゲットにしたものからAmazon Web Services(AWS)のアカウント、Gmailアカウントまで多岐にわたりました。

また、ロイターもインドの雇われハッカーの脅威について報じています。伝えられるところによると、インドの雇われハッカーが関与した訴訟事件は2013年以降で35件確認されており、欧米の企業35社・人権擁護団体やメディアグループ30団体以上・その他多数の欧米の企業幹部がハッキングの対象となっていたとのこと。

また、ハッカーが2013～2020年の間にのべ1万3000人のターゲットに送った8万通以上のメールの中には、108の法律事務所に所属する弁護士1000人以上を対象としたものが含まれていました。

以下は、インドのハッカーが欧米の弁護士から情報を窃取するために送信したメールのリストの一部で、左から送信日・対象のメールアドレス・偽装された送信元・件名が記載されています。ハッカーの手口は多様で、ニュースメディアやSNSを装ったり法曹界の同僚についての話題で興味を引いたりしていたほか、ポルノサイトであるYouPornをかたったメールも送信されていました。

TAGは、目覚ましい拡大を見せている雇われハッカーについて、「雇われハッカーの作戦におけるターゲットの幅広さは、任務とターゲットが明確に定義されていることが多い政府支援のハッカーとは対照的です。例えば、インドのハッカー業者が最近行ったキャンペーンでは、キプロスのIT企業やナイジェリアの教育機関、バルカン半島のフィンテック企業、イスラエルのショッピング企業などが標的となっていたことが確認されています」と述べて、雇われハッカーが地域や組織の種類を問わず手広くハッキングを行っていることを指摘しました。