チェック・ポイント・リサーチ、ハクティビストグループの帰属分析における革新的アプローチを発表

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、ハクティビストグループの帰属を分析する新しいアプローチと、その分析結果を公開しました。

新たなアプローチでは、従来のサイバー脅威インテリジェンスの手法に、最新の言語ベースの機械学習モデルと言語分析を組み合わせています。この手法で数十のハクティビストグループから収集した公開メッセージデータを分析することで、これらのグループにおける動機や標的について理解し、グループ間の関連性や帰属について新たな知見が得られています。一方で、この手法における課題も浮き彫りになりました。

ハクティビズムの変化と国家の関与

過去数十年間、ハクティビズムの活動は主にウェブサイトの改ざんやDDoS攻撃などの小規模なものを主体としてきました。しかし近年ではその活動に大きな変化が見られ、その最も重要な変化の一つが国家主体の関与です。

主体となる国家はハクティビストの手法が持つ戦略的価値を認識し、自らの目的のためにそれらの手法を採用・適応させています。国家はサイバー作戦員を雇い、草の根のハクティビズム活動を模倣する作戦を実行しています。その目的の多くは、対立を煽り、世論に影響を与え、政治的な敵対者を弱体化させることにあります。

こうした国家は、一見独立して行動している複数の、時には数十ものグループを操作している場合があります。これは、標的に攻撃主体を見誤らせることに加え、本来のハクティビスト運動に対する信用を失墜させることにも役立ちます。この独立したハクティビズムの活動を装う戦術によって、主体となる国家は、直接的な帰属を隠しながら目標を達成できると同時に、攻撃に対する国際的な対応と責任の追及を複雑なものにしています。その結果グローバルなサイバー環境はより複雑化し、実際のハクティビスト活動と国家支援による偽装を見分けることを難しくしています。

CPRは、ハクティビズムにおけるこの近年の変化に伴い、数十のハクティビズムグループを追跡してきました。その一部は共通のイデオロギーや関心を持つハッカーグループによって運営されている一方、他はハクティビストを装った国家主体によって運営されています。CPRは、これら後者のグループによって実行されたと見られる重要な作戦について詳述した、複数の公開記事を収集しました。それらのデータを新たなアプローチによって分析した結果、いくつかのケースでは、異なるハクティビストグループを同一の運営者に結びつけることに成功しました。

革新的な分析手法

CPRが採用したのは、収集した大量のデータに対し、トピックモデリングとスタイロメトリック分析（文体計量学的分析）を組み合わせて分析する以下のアプローチです。

1. データ収集 ：X(旧Twitter)とTelegramから、国家支援の可能性があるハクティビストグループの約20,000件のメッセージを収集

2. トピックモデリング： BERTopic フレームワークを使用して、グループが議論している主要テーマを特定

3. スタイロメトリック分析 ：各グループの文章スタイルの特徴を抽出し、類似性を比較

データは、国家主体によって運営されていると考えられるハクティビストグループのソーシャルメディアアカウントとメッセージから収集しました。主要なデータソースは、ハクティビストグループがメッセージを拡散するために一般的に使用するプラットフォームであるX(旧Twitter)とTelegramです。

トピックモデリングは、大規模なテキストデータコレクション内のテーマ（トピック）を識別するために使用される機械学習技術であり、ハクティビストグループによって議論される主要なテーマを時系列的に理解するのに役立ちます。これにより、グループの主要な目標と標的、地政学的事件に関する焦点領域や、戦略的目標に関する洞察が得られます。

一方、スタイロメトリック分析は、言語スタイルの研究に基づき、著者の帰属分析に多く使用されます。異なるグループのユニークな文体に焦点を当て、単語の選択、文の構造、およびその他の言語パターンなどの特徴を調査することで、異なるグループ同士の関連性に加え、その背後にどのような存在がいるかを明らかにすることができます。

主な発見

この分析を通じて、以下の内容が明らかになりました。

• ハクティビストグループの多くは、イスラエル、ウクライナ、ロシア、イラン、インド、スペイン、アメリカなど特定の国や組織に対するサイバー攻撃をテーマとしていました。

• 多くのトピックがロシアのウクライナ侵攻やイスラエル・ハマス紛争などの地政学的事象と直接関連していました。

• スタイロメトリック分析により、一見結びつきを持たないグループ間の関連性が明らかになりました。例えば、「Cyber Army of Russia Reborn」、「Solntsepek」、「XakNet」は文体の類似性が高く、Googleの報告通り、これらがAPT44によって運営されている可能性が裏付けられました。

• 一部のアカウントでは文体の急激な変化が見られ、特にウクライナの軍について、2022年頃を境に内容と文体に大きな変化が確認されました。

新たな分析手法の意義と今後の展望

今回の分析手法は、ハクティビストグループの帰属分析において革新的なアプローチを提供しています。トピックモデリングとスタイロメトリック分析を組み合わせることで、これらのグループの動機、戦略、相互関係について包括的な理解が可能になります。トピックはしばしばロシアのウクライナ侵攻やイスラエル・ハマス紛争など主要な地政学的事件を中心とし、サイバー戦争と宣伝におけるハクティビストグループの役割を裏打ちしています。一方、スタイロメトリック分析では、特定のグループ間で共通する書き手の存在や調整を示唆する類似した文体を通じ、ハクティビストグループの相互接続性が示されました。これはウクライナ、イスラエル、イランなどの特定の地域を標的とするグループのクラスターで特に顕著でした。

トピックモデリングとスタイロメトリック分析を組み合わせることにより、これらのグループの活動とその進化に関する包括的な可視化が得られました。一方で、このアプローチに関して、データの網羅性や機械学習モデルの限界など、いくつかの課題があることにも注意が必要です。サイバー脅威の情勢は継続的に進化しており、分析の方法も同様に進化しなければなりません。これらの脅威に先んじて対抗するためには、絶えず実験と革新、協力をしていく必要があります。国家支援によるハクティビズムと従来の草の根的なハクティビズムの境界が曖昧になる中、適応力と革新性を備えた脅威インテリジェンス手法の必要性が高まっています。CPRは、サイバー脅威の変化する状況に対応するため、今後も継続的な研究と改善に取り組んでいきます。

 本プレスリリースは、米国時間2025年2月27日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp