出典:Oleksii Liskonih / Getty Images
パキスタンの国家支援型ハッカー集団(APT)が、アフガニスタン政府の財政機構を標的にしたスパイ活動を展開していることが明らかになりました。財務省を起点に、各州の地方政府職員まで広範に監視の手が伸びています。
カラシニコフ、ピックアップトラック、部族評議会といったイメージはもはや時代遅れです。2026年、タリバン政権でさえ、現代的で広範なITインフラを運営しています。
「一般的な認識とは異なり、アフガニスタンは多くの人が想像するよりもはるかに大きなデジタル基盤を持っています」と、セキュリティ企業Seqriteの研究者たちはDark Readingへのメールの中で述べています。「同国政府は複数の省庁ポータル、教育機関、規制機関、メールシステム、行政サービスを運営しており、日常的なガバナンスを支える広大かつ相互接続されたデジタルエコシステムが構築されています。」
そのため、他の国の政府と同様に、アフガニスタンも数多くのサイバーセキュリティ上の脅威に対処しなければなりません。たとえば、両国間の緊張が近年高まるなか、国境を接するパキスタンは少なくとも2025年5月以降、アフガニスタンの政府財務部門へのスパイ活動を試みています。Seqriteは、現在も継続中とみられるこのフィッシングキャンペーンを「SideCopy」として知られるグループによるものと断定しています。SideCopyはパキスタン政府に関連する組織とみられており、パキスタンの包括的なAPTである「Transparent Tribe」(別名:APT36)との関連が指摘されているほか、周辺諸国を標的にしてきた実績があります。
パキスタンによるアフガニスタンへの攻撃キャンペーン
SideCopyが今回のアフガニスタン攻撃で用いた攻撃チェーンは、これまで長年にわたって使い続けてきた手口と同一のものであり、中堅の脅威アクターとして典型的な教科書的手法です。
攻撃はスピアフィッシングメールから始まりました。メールにはZIPアーカイブが添付されており、その中にPDFに偽装した悪意あるLNKファイルが含まれていました。LNKファイルはmshtaを利用してHTAペイロードを取得し、メモリ上でデコードされる仕組みになっています。その後、複数のローダーが実行され、攻撃者はWindowsレジストリを通じて持続性を確立しました。この際、悪意あるタスクをMicrosoft Edgeのプロセスに見せかけることで検知を回避しています。
これらの手順を経て展開されるマルウェアが「Xeno RAT」です。オープンソース(OSS)のリモートスティーラーであるXeno RATは、今回の攻撃においてブルガリアのバレットプルーフサービス上にホストされたハードコード済みのC2(コマンド&コントロール)ドメインを使用するようカスタマイズされていました。
一方、被害者に提示されたおとり文書は、アフガニスタン財務省の職員名簿でした。そこには全国34州に点在する高位職員の氏名と携帯電話番号が記載されていました。
これらのTTP(戦術・技術・手順)は一見ありきたりに見えますが、いくつかの細やかな配慮によって効果を高めています。
LNKファイルのファイル名から、その後に投下されるおとり文書に至るまで、攻撃チェーン全体でパシュトー語が意図的に使用されています。パシュトー語はアフガニスタンで2番目に多く話されている言語であり、公用語であるダリー語に次ぐ存在ですが、タリバンの主要な出身母体であるパシュトゥーン人にとって母国語にあたります。
さらに重要な点として、攻撃者はリモートペイロードを、アフガニスタン通信情報技術省のIPアドレス空間にある侵害済みドメイン上にホストしていました。200を超える正規の政府・教育関連サイトが並ぶ中に悪意あるサイトを紛れ込ませ、政府自身のソブリンインフラを経由して不正なトラフィックを流すことで、ハッカーたちは本物の行政活動に攻撃を溶け込ませることに成功しました。
「この作戦は新たなマルウェア技術を導入しているわけではありませんが、防御回避、持続性の確保、そして作戦セキュリティに対する成熟した意図的なアプローチを示しています」と研究者たちは指摘しています。「今回の高度さは、単一の技術的革新ではなく、実績ある手法の実行精度、標的選定の的確さ、そして各要素の巧みな組み合わせに宿っています。」
タリバン政権下のサイバーセキュリティ
2021年のアフガニスタン撤退時の映像を思い出す方も多いでしょう。数十年にわたって蓄積された兵器、車両、軍・政府のインフラが、侵攻してきたタリバンに無償で残されていきました。
タリバンが現在のサイバーインフラを手にした経緯も同じです。旧タリバン政権が崩壊した2001年以降の約20年間、外国からの援助と投資によって、アフガニスタンはモバイル通信、光ファイバー、その他の電気通信インフラを整備してきました。その上に、セキュリティ・監視システム、生体認証データベース、そしてパキスタンが近年強い関心を示している財務省の行政ネットワークなど、ITおよびサイバーセキュリティサービスが構築されました。5年前に政権が交代した際、新たな支配者たちはこうしたシステムをそのまま引き継いだのです。
デジタル化の恩恵を無償で受け継いだタリバンですが、そのインフラを守るためのサイバーセキュリティ資源は、米国によってテロ組織に指定されていない一般的な政府と比べて著しく限られています。これが、ある国家がアフガニスタンへの攻撃に最も高度なTTPを投入しない理由の一つかもしれません。
「アフガニスタンのサイバーレジリエンスは、経済的孤立、国際的なサイバーセキュリティパートナーシップへのアクセス制限、優秀なサイバーセキュリティ人材の確保困難、技術近代化における制約など、複数の要因によって課題を抱えている可能性があります」と研究者たちは述べています。「こうした状況は、脅威アクターが長期にわたってアクセスを維持し、検知されるリスクを低く抑えながらスパイ活動を展開する機会を生み出しかねません。」
