米ファイア・アイ日本法人は2014年11月25日、ロシア政府から支援を受けたサイバースパイ活動の可能性について、都内で調査結果を説明した。2014年11月1日にサイバーディフェンス研究所(CDI)と兼務する形でファイア・アイ日本法人CTO(最高技術責任者)に就任した名和利男氏が解説した(写真1)。名和氏は今後、徐々に業務の比重をCDIからファイア・アイに移すという。
ファイア・アイの調査結果によれば、同社が「APT28」と呼ぶ脅威グループが、ジョージア(グルジア)や東欧諸国、NATO(北大西洋条約機構)などの安全保障機関を対象に、マルウエアを使ったデータの窃盗を行っていた(写真2)。名和氏によれば「十分な証拠があるとはいえないが、特徴が似たウイルスは日本でも見つかっている」という。
同社によれば、東欧諸国を含めたNATO加盟国が軍事演習を行った2014年6月ごろに、NATO関連サイトのコンテンツを模したフィッシングサイトが出現。さらに、米国を含むNATO加盟国、ウクライナ、ジョージア、モルドバが軍事演習を実施した2014年9月にも、軍事組織を対象にした標的型メール攻撃やフィッシングサイト攻撃が確認された。
これらの攻撃で使われたマルウエアを解析したところ、2008年にロシアとジョージアが武力衝突した際、ジョージアへのサイバー攻撃に使われたマルウエアの特徴と似ていたという。「過去に開発したコアな部分を使い回すことで、高度で使い勝手のいいマルウエアを短期間で開発できているようだ」(名和氏)。
加えてマルウエアの解析結果から、マルウエア開発者がロシア語話者である可能性が高いという。ファイア・アイは「ロシア政府にとって有益と思われる各国の政府、軍、安全保障機関に関連する機密情報を、APT28が標的としてきている」とした。
