APTの巻き添え被害

APTが直接の標的ではない一般市民のプライバシーやセキュリティを侵害する場合があります。どういったシナリオが考えられるでしょうか。

世間では、APT(Advanced Persistent Threat:高度で執拗な脅威)は、いわゆる諜報活動と同じように考えられています。曰く、確かに大ごとではあるけれど、一般人には関係ないのでは?スマートフォンに重大な企業秘密や国家機密が入っているわけではないし、コンピューターで極秘情報を取り扱ってもいないし。サイバー攻撃を仕掛けるような人たちが自分に興味を持つわけがない。

まあ、ほぼそのとおりです。普通の人が国家の支援を受けた犯罪組織に狙われることは、まずありません。それでも、巻き添えになる可能性はあります。Kasperskyのグローバル調査分析チーム(GReAT)のダニエル・クレウス(Daniel Creus)は先日、バルセロナでこれをテーマに講演を行いました。この記事では講演内容をざっくりと振り返り、一般の人がAPT攻撃に巻き込まれるパターンを3つ紹介します。

巻き添え被害のシナリオ その1:間違ったWebサイトへ間違ったタイミングでアクセス

APT攻撃グループは、小規模な犯罪組織に比べると、ゼロデイエクスプロイトを大量購入できるほど十分な資金を持っています。その中には、水飲み場攻撃を仕掛けるのに利用可能なエクスプロイトもあります。水飲み場攻撃とは、標的とする人がよくアクセスするWebサイトを改竄し、そこから密かにマルウェアに感染させる攻撃です。2019年にGoogle Project Zeroが行った調査(英語)では、1つの攻撃グループが5つのエクスプロイトチェーンで14種類の脆弱性を使用し、標的をスパイウェアに感染させていたことが明らかになりました。

これら脆弱性の一部は、ある政治関連のWebサイトにアクセスしたiOSデバイスをスパイウェアにリモート感染させるために使われました。問題は、Webサイトにアクセスする人々を、攻撃者が特に区別しなかったことです。そのため、アクセスしたiOS利用者は、攻撃グループの興味の範疇にあったかどうかに関係なく全員が感染したのでした。

水飲み場型のAPT攻撃はこれだけではありません。たとえば、NotPetya(別名ExPetr)の攻撃経路の中には、ある官庁のWebサイトが感染したところに端を発するものがありました。このWebサイトにアクセスすると、アクセスしたコンピューターにマルウェアがダウンロードされ、実行されます。ご記憶かと思いますが、NotPetyaは大きな巻き添え被害を発生させました。

このように、攻撃者側が特にあなたを標的にしたわけではなくても、あなたがたまたま間違ったWebサイトにアクセスした、または間違ったアプリをダウンロードしてしまったことで、あなたのデバイスが感染し、デバイスにある個人情報が彼らの目に触れることになってしまう場合があります。感染したのがNotPetyaのようなランサムウェアだった場合には、データにダメージを受けます。

巻き添え被害のシナリオ その2:危険なツールの暴走

APTグループは、ほかのAPTグループの秘密をしばしば探り回っています。APTグループは互いにハッキングし合いがちで、相手が使用しているツールをリークすることもあります。こうして流出したツールを、技術レベルの低い別の小規模な犯罪グループが見つけ、自分たちがマルウェアを作成するのに利用して、結果的に歯止めがきかない事態に陥ることがあります。2017年に大流行したWannaCryというマルウェアは、ShadowBrokersがEquation Groupのサイバー兵器を公開したときに漏洩したエクスプロイトの1つであるEternalBlueを基に作成されたものでした。

NotPetya/ExPetr、Bad Rabbit、EternalRocksなど、EternalBlueを利用する脅威はほかにも多数あります。漏洩した1つのエクスプロイトが、いくつもの大型感染や小規模な事件の数々を引き起こし、こうした諸々によって何十万台ものコンピューターに影響が及び、世界中で企業や政府機関の業務が混乱させられてしまうのです。

このように、攻撃グループが危険なツールを作成し、これを自分たちのうちにとどめおくことができなくなる場合があります。このような危険なものが、こういったツールを使うことをためらわないサイバー犯罪者(能力の程度はさまざまですが)の手にわたり、多数の罪なき人々が巻き込み被害を受ける可能性があるのです。

巻き添え被害のシナリオ その3:集められた情報の漏洩

前の項で述べたように、APTの背後にいる攻撃グループは互いにハッキングし合う傾向があります。時には、略奪したツールだけでなく、敵対するグループがそういったツールを使って収集した情報を公開することもあります。たとえば、ZooParkというスパイウェアが収集したデータが公にされた経緯はまさにこれでした。

同様に個人情報を集めて回るストーカーウェアのインフラがハッキングされ、集められた情報が、誰でもアクセスできるWebサーバーに置かれた事例もあります。この手の漏洩は、より本格的な当事者を悩ませてもいます。合法的なスパイウェアであるFinFisherの開発元がハッキングされ、過去に監視ツールを開発していたHacking Teamもハッキング被害に遭いました(リンク先はいずれも英語)。

APTが普通の人々と何の関わりもなくても、自分たちが得た個人情報を使って一般人を攻撃することなくただ溜め込んでいるだけであっても、そのAPTグループからデータが漏洩したならば、小規模な犯罪組織がその情報に食いつくことでしょう。こういった情報は脅迫に使われるかもしれませんし、さらに多くの個人情報を得るために使われる可能性もあります。それこそ、クレジットカード番号、スキャンした文書、連絡先情報、人に見られたくない写真まで。

APTから身を守るには

APTは普通のマルウェアよりもずっと高度ですが、一般の脅威に対する場合と同じ対策がAPTに対しても有効です。

  • Androidスマートフォンでは、公式ストアや公式Webサイト以外からのアプリのインストールを無効化しておく。信頼できると分かっているアプリをGoogle Play以外のサイトからどうしてもインストールしなければならない場合は、許可する設定にそのときだけ変更し、インストールが終わったら忘れずに設定を元に戻してください。
  • デバイスにインストールしたアプリの権限を定期的に確認し、そのアプリには必要ないと思われる権限をすべて無効化する。アプリをインストールする前に、そのアプリが使用する権限をひととおりチェックするのも良いでしょう。権限の一覧はGoogle Playで確認できます。
  • 不審なWebサイトにアクセスしたり、なんとなく信用できない情報源の提供するリンクをクリックしたりしない。知らない人が善意でリンクやアプリを送ってくることはありません。なお、正規のWebサイトに感染する能力を持つAPTもありますが、多くはフィッシングサイトを使用します。
  • インストールまたはダウンロードしようとしているものや、あらゆるリンク、それからアプリのパッケージをチェックしてくれる、信頼できるセキュリティ製品を使用する。誰かがあなたをうまく欺いたり、デバイスに入り込む経路としてエクスプロイトを使ったりした場合、セキュリティ製品が最後の防衛線になると考えましょう。
ヒント