仮想通貨を狙うハッカー集団「HYDSEVEN」とは何者か?──セキュリティ大手LAC・報告書

情報セキュリティ大手のラック <3857> は6月19日、仮想通貨の窃取を目論む新たなハッカー集団に関する報告書をまとめた。

報告書によると、「HYDSEVEN(ハイドセブン)」と呼ばれるグループは、2016年から継続的に日本やポーランドを含む国々でサイバー攻撃を行ってきた。同グループはロシア系言語を使って活動していると推測されると、報告書は述べる。また、HYDSEVENの名前はラックがつけたもので、このグループが攻撃を行う過程で「HYD」と「7」の文字と数字が複数回使われていたことから、そう命名したという。

ハイドセブンの攻撃の多くは、「スピアフィッシング」と呼ばれる、特定の組織や個人を狙ったEメールを送り個人情報を盗み取ることから始まる。大学や研究機関の研究者を装い、攻撃をしかけるという。ラックによると、ハイドセブンがしかけたハッキング行為による仮想通貨の被害額は、把握できていない。

今年3月、国連安全保障理事会の専門家パネルは、仮想通貨取引所をターゲットにしたハッキングの多くが、北朝鮮のグループ「ラザラス(Lazarus)」による可能性を示唆する報告書を公開した。取引所のコインチェックから580億円におよぶ仮想通貨を流出させたケースも、ラザラスによるものだと、報告書は述べた。安保理・専門家パネルの報告書は、サイバーセキュリティ対策を専門とする国際組織Group-IBの調査結果を基にまとめられた。

ラックの調査によると、ハイドセブンはラザラスと侵入手口では類似する点があるものの、攻撃に悪用されるマルウェア(有害な動作をさせるために作られたソフトウェア)が異なるという。ハイドセブンは主に「NetWire」「Ekoms (Mokes) 」というマルウェアを使用している。

Group-IBの調査結果では、2017年から2018年までにハッキング被害を受けた取引所がリストアップされたが、多くのケースにおいてその犯罪行為を犯したグループの特定はされていない。

Group-IBのHPより

「仮想通貨市場の急成長とともに、仮想通貨取引所が乱立している。攻撃者にとって、大量の仮想通貨を扱う取引所は格好の標的であり、仮想通貨取引所を狙ったサイバー攻撃は、今後ますます増加することが予想される」とラックの報告書は述べる。ラックは継続的にハイドセブンによる攻撃を調査していくという。

文:小西雄志
編集:佐藤茂
写真:Shutterstock
(編集部より:グループがハッキング攻撃を行う過程で使用した文字の1つを2パラグラフ目で訂正し、記事を更新しました)