高度な標的型攻撃:偽旗作戦、サプライチェーン攻撃、IoTデバイスへの脅威

高度な標的型攻撃はどのような進化・変化を見せているのか。カスペルスキーの調査分析チーム(GReAT)のエキスパートによる概説と、特に偽旗攻撃について。

Kaspersky Labは、多様な専門分野のリサーチャーを擁するグローバル調査分析チーム(Global Research and Analysis Team:GReAT)を抱え、最新のサイバー脅威の追跡および分析にあたっています。

2019年3月開催のカスペルスキー サイバー セキュリティ フォーラムでは、GReATエキスパートの石丸傑がRoaming Mantisの更新情報について、情報セキュリティラボの大沼千亜希がセクストーション詐欺スパムについて講演したほか、オーストラリアを拠点に活動するGReATエキスパート、ノーシン・シャバブ(Noushin Shabab)がゲストとして登壇し、2018年の高度な攻撃について振り返りを行いました。

ノーシン・シャバブ

ノーシン・シャバブ

偽旗(にせはた)作戦

攻撃者の特定(アトリビューション)は、かねてから慎重を要するセンシティブな問題でした。平昌オリンピックの開会式を混乱させたことで知られる攻撃活動「Olympic Destroyer」は、アトリビューションの難しさを改めて突きつけた格好です。当時、どの攻撃者グループが背後にいるかについては、業界の中でもさまざまな見立てがありました。

Kaspersky Labの調査では、Olympic Destroyerの実行ファイルのRichヘッダーに、Lazarusと一致するコード配列が確認できました。しかし、さらに調査を進めたところ、このRichヘッダーの中身がOlympic Destroyerマルウェアの開発環境と一致しないことが判明し、解析の攪乱を狙った「False Flag(偽旗)」であると明らかになりました。

Kaspersky Labでは指令サーバーのインフラを解析し、攻撃に使われたマルウェア、VPNプロバイダーなどのインフラ、Bitcoinによる支払状況を調査し、Torベースのインフラが使われていたことを確認しました。これらすべてを総合した結果、Olympic Destroyer のTTP(戦略、技術、手段)はSofacyとの関連性を示していました。また、活動のタイムスタンプがUTC+2またはUTC+3であることも、これを裏付けています。

Olympic Destroyerキャンペーンの背後にいる攻撃者グループ(現在の呼称は「Hades」)は、金融機関や医療関連組織を標的に現在も活動を継続しています。

Olympic Destroyerについては、以下も併せてご参照ください。

その他の動向

以前から活動しているTurla、Sofacyなどの大規模なAPTグループは2018年、新たな標的へとシフトし、新たな攻撃手法およびツールを導入する動きを見せました。

このほか、ネットワークデバイスへの攻撃がさらに増加しています。2018年に見られた象徴的な例はVPNFilterでした。IoTデバイスのセキュリティの問題は、これからも論じられるでしょう。

また、2017年の事例ながら、インパクトの大きかったサプライチェーン攻撃「ShadowPad」についてもプレゼンテーションで取り上げられました。サプライチェーン攻撃は、大企業を狙う有効な攻撃手段として警戒を要します。

シャバブが紹介した個々の攻撃の詳細については、「付録」セクションにて参考情報を付しています。併せてご覧ください。

企業での対策

こうした動向を踏まえ、企業での対策について、シャバブは次の4項目を推奨しています。

  • アプリケーションのホワイトリスティング。実行してよいアプリケーションを絞ることによって、危険なアプリケーションまたは不正なアプリケーションの実行を未然に防ぐ。
  • アプリケーションへの定期的なパッチ適用。脆弱性が公表されていて、しかしセキュリティパッチのあたっていないアプリケーションが攻撃に対して弱い。
  • Microsoft Officeのマクロ設定。メールに添付されたドキュメントを通じて悪質なマクロを使った攻撃が今でも見られる。信頼できるソースからでないとマクロを実行しないようにする必要がある。
  • ユーザーアプリケーションの強化。オフィス内のアプリケーションを安全に運用できるよう、ネットワーク不要なアプリケーションはネット接続させない、特定のポートが不要ならポートを閉じる、などの対策を講じる。

付録:プレゼンテーションで取り上げられたその他トピック

1. 大規模な攻撃者グループの2018年の活動

Lazarus/Bluenoroff
金銭目的の攻撃活動を継続。トルコ、アジアの金融機関、南米のカジノ施設、仮想通貨交換所に対する攻撃を行った。

ScarCruft(Group 123/Reaper)
Samsung製デバイスを標的とするAndroidマルウェアを使用し、主に韓国を標的に活動。ゼロデイ脆弱性(CVE-2018-4878)を悪用。新種バックドア「PoorWeb」を使用。

DarkHotel
Kaspersky Labが2014年に公表したDarkHotelの活動は、2018年も活発だった。これまで同様、高級ホテルで企業幹部を狙う。やはり新たなゼロデイ脆弱性を利用した。

Turla
2018年はExchangeサーバーを標的とするバックドア「LightNeuron」を用いて中央アジア、中東の標的を攻撃した。マルウェア「Carbon」の新種を使った外交関係機関および大使館への攻撃、新たな攻撃の枠組み(Phoenix)の採用、横展開時にオープンソースのツールを利用、といった動きが見られた。

Sofacy
スケールの面でも活動の面でも、特に目立ったAPTの1つ。かつてはNATO加盟国を標的としていたが、アジアへとシフトした。ComputraceやLoJackを悪用してマルウェア感染させる事例が見られている。このほか、新たなカスタムドロッパー、新たな.NETモジュールの利用も見られた。

 

2. サプライチェーン攻撃

ShadowPad
サーバー管理ソフトウェアに混入されたマルウェアが、同ソフトウェアを使用する企業のシステムに入り込んで情報収集活動を行った。

 

3. IoTデバイスを狙う脅威

VPNFilter
ルーターなどネットワークデバイスに感染するマルウェアVPNFilterの大規模感染が見られた。ネットワークデバイスは製造元でセキュリティが十分に考慮されていないことが多く、セキュリティに関して注意を払う必要がある。

 

4. 産業用制御システムに対する攻撃

Triton/Trisis
2018年に発見された、石油精製所の稼働停止を狙ったとされるゼロデイ攻撃。

 

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?