サイバー諜報企業の実態　人権活動家やジャーナリストを狙って監視・盗聴

2021年02月08日（月）17時30分

6カ国で数千人に盗聴を行ったインドのBellTroX InfoTech Services

2017年、フィッシング攻撃を受けたジャーナリストから相談を受けたCitizenLabは大規模なオペレーションとその背後の企業BellTroX InfoTech Servicesを突き止めた。同社の経営者Sumit Guptaは似たようなサイバー犯罪でカリフォルニアで告訴されたことがある。

ターゲットは複数の国の政府関係者、候補者、金融サービス、製薬会社、ジャーナリストが含まれ、特にアメリカの温暖化やネット中立性をテーマにした市民団体が目立っていた。

BellTroX InfoTech Servicesがこれらのオペレーションを実行したことはほぼ確実だが、依頼主が誰であるかは明らかになっていない。

サイバー諜報企業の草分けGamma Group

サイバー諜報企業の草分け的存在は1990年代に創業したGamma Groupである。同社のマルウェアは感染した相手のPCやスマホの通信を盗聴するだけでなく、蓄積されている個人情報やデータを盗み、カメラやマイクを遠隔操作してリアルタイムで撮影したり、周囲の音を拾ったりできる。

Gamma Groupの実態は、トロント大学のCitizenLabのレポートによって2013年3月13日に暴かれた。国際的サイバー諜報活動と、25カ国でスパイウェアに命令を出すサーバ（C&Cサーバ）を確認したことが書かれていた。日本にも過去にC&Cサーバが存在していたことが確認されたが、目的や主体は不明である。その後、追加の調査でＣ＆Ｃサーバは36に増えた。

2014年8月には、同社の資料がネット上にさらされる事件が起きた。漏洩した資料は40GBで多岐に及び、ソースコードやリリースノートまで含まれていた。クライアントサポートのアクセス統計を見ると、FinFisherが世界各国で幅広く利用されているかわかる。統計には日本も登場しており、日本にサーバがあったことが確認されていたことと合わせると、日本政府機関がFinFisherを利用していた可能性がある。

2017年10月16日、ロシアのセキュリティベンダ、カスペルスキーが、中東のハッキンググループ「BlackOasis」がFinSpyの技術を利用したマルウェアを使用していたことを発見した。

さらに2019年6月10日、カスペルスキーは、ミャンマーで使われていたガンマグループの最新の製品の機能をブログに掲載した。プライベートなメッセンジャー（Facebook Messenger、Wechat、Skype、LINEなど）の内容を取得でき、iOS版、アンドロイド版があった。

Memento Labsと社名を変えたHacking Team

Hacking TeamはGamma Groupと並ぶ老舗である。CitizenLabは2014年6月24日に「Galileo」と呼ばれる世界規模のRCS（Remote Control System）についてのレポートを公開し、Hacking Teamの活動の実態を暴いた。同社のマルウエアGalileoは世界規模のRCS（Remote Control System）であり、スマホに感染し、位置情報、画像、カレンダー、ソーシャルネットワークの通話やメッセージを盗聴し、サーバに送信する。C&Cサーバ(マルウェアに命令を送るサーバ)が感染したマルウェアに命令を送ってこうした活動を行わせる。

Galileo用のC&Cサーバは、メキシコ、サウジアラビア、UAEなど21カ国に設置されている疑いがあった。Hacking Teamは自社の製品について、サイバー犯罪やテロを未然に防ぐための強力なツールであり、販売先は政府関係機関のみに限定している、としている。しかし、実際にはジャーナリストや反体制的アメリカ人もGalileoのターゲットになっていたことがCitizenLabによって明らかにされた。

2015年7月5日にネット上に同社の400GB以上の内部資料が公開された。内部の電子メールや顧客リスト、ソースコードなどまで含むもので、人権上問題のある国々との取引が明るみ出た。この漏洩データから同社の保有していた脆弱性を突いた攻撃が日本と韓国に対して行われていたことが判明した。また、この脆弱性は$45,000（約450万円）でモスクワ在住のハッカーから購入したものであることもわかった。この漏洩事件をきっかけに同社は凋落した。

その後、2019年4月にInTheCyberに買収された後、合併し、Memento Labsとして再スタートしている。同社の現在の主力製品はRCSXやAndroid攻撃用マルウェアKRAITである。どちらも検知が難しいという。RCSXは批判をかわすために感染を最大50までに抑え、広範な感染による人権侵害に配慮しているという。

次のページ利便性と危険性の高い民間サイバー企業の台頭