中国語を操るハッカー集団がアフガニスタン政府の国家安全保障指導部にサイバー攻撃で侵入し、標的を定めたスパイ工作を行っていたことが分かった。サイバーセキュリティー企業のチェックポイント社が明らかにした。

　カリフォルニア州とイスラエルに本社を置く同社によると、ハッキング工作は2014年から始まった。工作活動の詳細は１日に公表されたが、世界各国、特に米国では中国によるサイバースパイや影響工作に関心が高まっている。例えば、バイデン政権はマイクロソフト・エクスチェンジのサーバーに不正侵入した集団を正式に特定する準備を進めているが、マイクロソフト社は中国で活動する、政府の支援を受けた集団の仕業だとみている。

　チェックポイント社の調査チームは、中国語を操る「インディゴゼブラ」というハッカー集団が中国政府の指示や支援を受けているかどうかは分からないとしている。同社によると、ハッカー集団はアフガン大統領室を装ってアフガン国家安全保障会議に侵入し、その活動を隠すためにファイル保管サービスのドロップボックスを利用していた。

　アフガン国家安全保障会議の職員は、大統領室から届いたように装った記者会見の添付資料を開いた。だが、調査チームによると、それによってハッカー集団が情報を盗み出すバックドア（裏口）が作られてしまったという。このバックドアはハッカー集団がコントロールするドロップボックスのアカウントに通じていて、ハッカー集団はドロップボックスを指令管制センターとして利用していた。

　「ここで驚くべきは、この脅威主体がどのように省庁同士を欺く戦術を用いていたかだ。この戦術は卑劣であり、他人に自分たちの求めることをやらせるのに効果的だ。このケースでは、悪質な活動が主権の最高レベルで行われていたことになる」。チェックポイント社で脅威情報部門を率いるロテム・フィンケルスタイン氏は、声明でこう指摘した。「さらに、この脅威主体が探知されないように隠れるためにどのようにドロップボックスを利用していたかは、注目に値する。これはすべての人が察知し、警戒すべきテクニックだと思う」

　フィンケルスタイン氏はワシントン・タイムズ紙に対し、同氏の調査チームはネット上にアップロードされたファイルや電子メールを発見し、このスパイ工作に気付いたと語った。

　チェックポイント社の広報担当者エクラム・アフメド氏によると、調査チームはアフガン政府に通知しないことを決めており、アフガン政府は同社の顧客ではないという。200人の職員から成る調査チームは、米連邦捜査局（FBI）や欧州警察機関（ユーロポール）、欧州連合の法執行機関と定期的にやりとりしているが、これらの機関にも通報しなかったという。

　代わりにチェックポイント社は報告書を公表し、報道機関に通知した。同社は世界各国に5400人以上の職員を抱え、昨年の年間収入は20億㌦を超える。

　在米アフガン大使館とドロップボックス社にコメントを求めたが、返事はなかった。チェックポイント社は、アフガン以外に何カ国がインディゴゼブラの標的になっているかは分からないが、キルギスとウズベキスタンも被害を受けているとみている。

　「この工作活動はアフガン、キルギス、ウズベクにとどまらない。これらはインディゴゼブラの被害リストに確実に入れられる国だ」と、フィンケルスタイン氏はワシントン・タイムズ紙への声明で指摘した。「彼らの攻撃基盤の分析から、旧ソ連諸国やそれ以外の国々も標的にしている可能性がある」

（７月１日付）

Chinese-speaking hackers breached the Afghanistan government to infiltrate the country’s national security leadership in a targeted espionage campaign, according to the cybersecurity firm Check Point.

The hacking campaign started as long ago as 2014, according to the company, which is headquartered in California and Israel. Details of the campaign, revealed Thursday, come as Chinese cyber espionage and influence operations are increasingly gaining attention around the globe, particularly inside the U.S. For example, the Biden administration has said it is preparing to formally identify those responsible for the hack of Microsoft Exchange servers that the company said was conducted by a state-sponsored group operating in China.

Check Point said its research team does not know whether the Chinese-speaking “IndigoZebra” hacking group is directed or sponsored by the Chinese government. According to the company, hackers impersonated the Office of the President of Afghanistan to infiltrate the Afghan National Security Council and used filestorage service Dropbox to hide their activity.

An Afghan National Security Council official opened an attachment about a press conference that purportedly came from the president’s office but that the researchers said instead created a backdoor for the hackers to steal information. The backdoor communicated with an attacker-controlled Dropbox account, and the hackers leveraged Dropbox as their command and control center.

“What is remarkable here is how the threat actors utilized the tactic of ministry-to-ministry deception. This tactic is vicious and effective in making anyone do anything for you; and in this case, the malicious activity was seen at the highest levels of sovereignty,” Lotem Finkelstein, Check Point head of threat intelligence, said in a statement. “Furthermore, it’s noteworthy how the threat actors utilize Dropbox to mask themselves from detection, a technique that I believe we should all be aware of, and that we should all watch out for.”

Mr. Finkelstein told The Washington Times that his researchers were alerted to the espionage campaign through the discovery of files and emails uploaded online.

Company spokesman Ekram Ahmed said the researchers decided not to notify the Afghan government and noted that it is not a Check Point customer. Mr. Ahmed said the 200-employee research team regularly interacts with the FBI and Europol, the European Union’s law enforcement agency, but did not alert those agencies, either.

Check Point, which reports having more than 5,400 employees around the world and more than $2 billion in annual revenue last year, instead published a report and notified the press.

Neither the Embassy of Afghanistan in Washington nor Dropbox responded to requests for comment. Check Point has said it does not know how many nations beyond Afghanistan were targeted by IndigoZebra hackers but believes Kyrgyzstan and Uzbekistan were also victims.

“This campaign is not limited to Afghanistan, Kyrgyzstan and Uzbekistan – these are the ones we were sure enough to associate with the victim list of IndigoZebra,” Mr. Finkelstein said in a statement to The Times. “From analyzing their offensive infrastructure, it is also possible they had other targets in previous [USSR countries] and even broader than that.”

July 1, 2021