当局がTelegram CEO兼創設者のドゥロフ氏を逮捕、サイバー犯罪者の反応はいかに

2024年8月25日、Telegram のCEO兼創設者であるパヴェル・ドゥロフ(Pavel Durov)氏がパリで逮捕されました。逮捕の容疑はTelegramが違法行為に使用されたこととされており、この逮捕の3日後、同氏はTelegramでの違法行為に関する6つの容疑で起訴されたものの、保釈されました。世界中の人々がTelegramのモデレーション(コンテンツ規制)のゆるさについて議論し、プラットフォーム側がユーザーの犯罪行為に責任を負わされる事態に疑問を呈する声も上がりました。その一方で、Telegramを利用するサイバー犯罪者にもそれぞれの意見があるようです。

 

KELAがこれまでに公開したブログやレポートでも取りあげてきたとおり、近年Telegramは様々なサイバー犯罪のプラットフォームとして人気を博しています。具体的には、不正に入手したデータ(個人情報や機密文書、侵害されたアカウント情報など)の売買、情報窃取マルウェアやランサムウェア、ハクティビストなどのオペレーションでの利用が挙げられます。Telegramがサイバー犯罪者にとって魅力的なポイントとして、匿名性を確保できることと、コミュニティを構築する機能があることが挙げられます。そしてこの2つを活用することによって、サイバー犯罪者は法執行機関による身元特定を回避することができ、またサイバー犯罪商品の取引相手を多数獲得することができます。

そして今、彼らはドゥロフ氏の逮捕が自分達の活動にどのような影響を及ぼすのかを懸念しています。サイバー犯罪者の中には捜査の可能性を懸念し、新たな安全策を講じるべく議論している者がいる一方で、ドゥロフ氏を支持するべくフランスにサイバー攻撃を仕掛け、攻勢に回る者もいました。今回KELAは、ドゥロフ氏の逮捕を取り巻くサイバー犯罪者の議論と活動を調査しました。

ドゥロフ氏を支持する脅威アクター

TelegramのCEOであるドゥロフ氏が逮捕された後、世界中で多くの人々が同氏の逮捕は不当であると不満の意を表明しました。またこの出来事を受けて、インターネット上では「#FreeDurov」や「#Fr​​eePavel」というハッシュタグを使ったキャンペーンが拡大しました。このキャンペーンに参加した著名人としては、イーロン・マスク氏やロバート・F・ケネディ氏などが挙げられます。

その一方で、Telegramを積極的に活用するハクティビストをはじめとする脅威アクターらが、ドゥロフ氏の逮捕について議論し、同氏を支持する様子が観察されました。例えば、イスラエルの組織を標的にしていることで知られるハクティビストグループ「StucxTeam」は、メッセージの末尾に「#freedurov」というハッシュタグを付け、「ドゥロフ氏は、Telegramをコミュニケーションプラットフォームとして利用しているテロ組織や、(Telegramで行われている)違法行為について責任があるのか」を議論していました。以下のメッセージはそのうちの一つですが、同じハッシュタグを付けてドゥロフ氏を支持している声明が、様々なハクティビストチャンネルで多数観察されました。

durov telegram cybercriminals react

StucxTeamがドゥロフ氏の逮捕についてコメントしている投稿(上図はKELAのプラットフォームで表示した投稿)


またドゥロフ氏の逮捕を受けて、ハッシュタグを付けたメッセージにとどまらず、フランスに対するサイバー攻撃を立ち上げたアクターもいました。8月25日、親ロシア派ハクティビストグループ「People’s Cyber Army of Russia」は、“#freedurov”とのハッシュタグ付きで、ドゥロフ氏の逮捕に対する抗議として、フランスの「インターネットポータル」を1週間攻撃するとの犯行声明を出しました。また同グループは、他の脅威グループにもこの攻撃に参加するよう呼びかけていました。そしてPeople’s Cyber Army of Russiaは、まず最初にフランス政府と関連がある国立医薬品・保健製品安全庁(ANSM)に対してDDoS攻撃を行ったとの犯行声明を出しました(そしてKELAが確認したところ、実際に同サイトはしばらくの間アクセス不可能となっていました)。

durov telegram cybercriminals react

People’s Cyber Army of Russiaの犯行声明(上図はKELAのプラットフォームで自動翻訳した投稿)


別の親ロシア派ハッカーグループ「UserSec」は、自らのTelegramチャンネルで「#FreeDurov」という名の攻撃キャンペーンを立ち上げました。そして「今回の起訴内容でドゥロフが投獄されてしまえば、我々の誰にとっても良い事態にならないぞ。興味のあるグループはみな、このキャンペーンに参加してくれ。我々はドゥロフのメッセンジャーを使っているんだということを忘れるな」と、自らをはじめとするハッカーグループがTelegramを利用していることに言及し、団結してフランスに対するサイバー攻撃を実行しようと他の脅威グループに呼びかけていました。

そしてその後、UserSec は、People’s Cyber Army of Russiaと連携してフランスの標的にDDoS 攻撃を行ったことを発表しました。最初に標的となったのはフランス国立裁判所のウェブサイトであり、8 月 27 日、同サイトは攻撃を受けてダウンしました。2 番目に標的となったのは、パリにある裁判所のウェブサイトでした。またUserSec は、フランスの標的に「スティーラー」を展開したとも主張していました (このスティーラーとは、1 年前に同組織のチャンネルで言及されていたGoogle Chrome を標的とする情報窃取マルウェアであると思われます)。このキャンペーンには「Cyber​​Dragon」 や「OverFlame」なども参加しており、それ以外のグループもUserSecのメッセージを再投稿しています。

durov telegram cybercriminals react

UserSec がTelegramチャンネルで 「#FreeDurov」キャンペーンを立ち上げた投稿(上図はKELAのプラットフォームで自動翻訳した投稿)


ドゥロフ氏を支持するキャンペーンに参加しているのは、親ロシア派のハクティビストグループだけではありません。親パレスチナ派のハクティビストグループ「RipperSec」も、「PriceBank」をはじめ様々なフランス組織のウェブサイトに対してサイバー攻撃を実行しました。またRipperSecは別の脅威グループ「CGPLLNET」から送られたメッセージを公開し、両グループが新たに同盟を結んだことを公表しました。さらに両グループは、合同でフランスを標的にしようと計画し、参加者を募っていました。そしてその後の2024年8月27日、RipperSecはフランスで新たに発生したサイバー攻撃について犯行声明を出し、この攻撃に参加したグループの名を公表しました。

durov telegram cybercriminals react

RipperSec が、フランスに対するサイバー攻撃に協力した脅威グループを讃えている投稿


これらの活動から、ドゥロフ氏の事件の展開次第では、近い将来フランスの組織に対するハクティビストの攻撃が激化する可能性があると思われます。

そして興味深いことに、サイバー犯罪者の中にはTelegramを金銭的に支援することを決定した者もいました。例えば最近Telegramは、ユーザーがボットやミニアプリからデジタルグッズやサービスを購入したり、チャンネルを収益化する際に活用できる決済システム「Telegram Stars」を導入しましたが、一部のサイバー犯罪者はこのTelegram Starsに投資することで、Telegramを金銭的に支援しようとしています。

「Deanon club」とKillnetのTelegramチャンネルを運営するユーザーが、ドゥロフ氏を支援するためにTelegram starsに投資したと発言している投稿(上図はKELAのプラットフォームで自動翻訳した投稿)


サイバー犯罪者の懸念

脅威アクター以外にも、多くのサイバー犯罪者とその顧客がTelegramを使用しています。今回のドゥロフ氏の逮捕により、彼らの間ではTelegramの安全性や今後モデレーションが変更される可能性について懸念が沸き起こりました。そして様々なサイバー犯罪フォーラムでは、ユーザーが今回の逮捕に関するスレッドを多数立ち上げ、それぞれの見解を示しています。

サイバー犯罪商品や麻薬を購入するTelegramユーザーの中には、販売者とのやり取りに予防措置を講じている者や、Telegramの利用を一旦停止している者もいました。一方、それら商品の販売者であるユーザーも、特にTelegramに機密情報を保存している者は、当局の捜査がTelegramのデータにまで及べば重大なリスクにさらされる可能性があることを認識しており、自らのビジネスの安全を懸念していました。そしてKELAは、様々なフォーラムで「当局がTelegramのサーバーを押収した場合にデータの損失を回避する方法」についてのアドバイスが公開されていることを発見しました。

durov telegram cybercriminals react

逮捕されるリスクを減らす為、「ディーラー」との定期的なやり取りを中止すると発言しているユーザー


durov telegram cybercriminals react

クレジットカードや銀行口座などから窃取した情報のアーカイブをTelegramから削除すると発言しているユーザー


また脅威アクターの中には、法執行機関がTelegramのデータにアクセスした場合に自分達の正体が発覚する可能性を恐れて、プライベートなやり取りに他のプラットフォーム(ToxやSession、Jabberなど)を使用することを検討したり、議論している者もいます。とはいえ、それらの活動は単にバックアップ用のチャンネルを確保するためのものであり、サイバー犯罪者らは積極的にTelegramを離れようとしているわけではないようです。例えばLapsus$とつながりがあると主張する某アクターは、XMPPプロトコルを使用したチャンネルを作成して自らのTelegramチャンネル上でリンクを公開し、他のユーザーに参加を呼びかけていました。

durov telegram cybercriminals react

Lapsus$と関連のあるチャンネルで、バックアップ用に作成したXMPPベースのディスカッションチャンネルを周知しているメッセージ


概してドゥロフ氏が逮捕されるかなり前から、多くのサイバー犯罪者がTelegramは安全ではないと主張し、機密情報を含んだ非公開のやり取りには同プラットフォームを使用しないようになっていました。彼らの中には、Telegramはロシアや他の国の当局と協力関係にあると疑っている者もいれば、チャットの大半(シークレットチャットを除く)がエンドツーエンドで暗号化されていない点を指摘している者もいました。そのため、特に用心深いアクターは以前からTelegramを利用することをやめており、また大半のランサムウェア・アズ・ア・サービスも、現在はToxやJabber、Sessionだけを連絡先として記載しています。

durov telegram cybercriminals react

Telegramを使用することのリスクを語るユーザー


次になにが起こるのか

ドゥロフ氏の逮捕を受けて発生したサイバー攻撃や議論は、サイバー犯罪者が同氏の逮捕を懸念していることを意味しており、またその中には、同氏の逮捕が自分達の主要な通信プラットフォーム(Telegram)に影響を及ぼすのではないかと懸念している者もいます。そして今回の逮捕劇は、Telegramにおけるサイバー犯罪活動に2つの影響を及ぼしていると思われます。

まず1つめの影響として、ドゥロフ氏の逮捕の行方が明らかになるまで、一部のアクターが予防措置を講じたり、他のコミュニケーションプラットフォームの利用を検討するであろうことが挙げられます。ただし、多くのアクターがTelegramの機能に大きく依存していることから(例えばTelegramのチャンネル/グループ機能を用いたコミュニティの形成、潜在的購入者に向けた商品宣伝活動、Telegramのボットを使ったビジネスの自動化など)、現時点でTelegramを利用しているアクターが大量に同プラットフォームを離れる可能性は低いと思われます。また今のところ、サイバー犯罪者の間でTelegramの代替として話題に上っているプラットフォームのうち、同様の機能を提供しているものはありません。

2つめの影響として、今回のドゥロフ氏の逮捕は一部のハクティビストグループの怒りを買い、その結果、報復としてフランスの組織に対するサイバー攻撃が増加したことが挙げられます。今回の逮捕劇の行方次第では、状況はさらに変化する可能性があると思われます。


サイバー犯罪社会の最新情報をご希望の皆様、 KELAのサイバー脅威インテリジェンスニュースレターに登録して、日々進化する脅威とサイバー犯罪情勢のトレンドに関するKELAならではのインテリジェンスをご覧ください!