Triangulationの問題

当社経営陣に対するトロイの木馬Triangulationを用いた標的型攻撃について最新の情報です。

皆さん、こんにちは。
今日は、私たちが発見したサイバーセキュリティに関するニュースです。

当社の専門家が、Appleのモバイル機器を利用した極めて複雑で専門的な標的型攻撃を発見しました。攻撃の目的は、少なくとも当社の従業員(中間管理職とトップマネジメント)のiPhoneにスパイウェアを目立たぬように仕込むことです。

この攻撃は、iOSオペレーティングシステムに存在する多数の脆弱性が利用されており、悪意のあるファイルが添付された、目に見えないiMessageが使用されています。そして攻撃はデバイス上で実行され、スパイウェアがインストールされます。スパイウェアは、完全に秘密裏に展開されるため、ユーザーのアクションは必要ありません。その後スパイウェアは、録音された音声、メッセンジャーで共有された写真、位置情報、その他感染したデバイス所有者の様々なアクティビティに関するデータなど、個人情報をリモートサーバーに静かに送信します。

この攻撃は、できる限り目立たないように実行されていましたが、セキュリティ情報とイベント管理のためのネイティブなSIEMソリューション、Kaspersky Unified Monitoring and Analysis Platform(KUMA)によって感染が確認されました。さらに調査を進めたところ、数十台の管理職のiPhoneがこのスパイウェアに感染しているのが確認されました。私たちはこの非常に技術的に洗練された新種のスパイウェアを「Triangulation(トライアンギュレーション)」と名付けました。

iOSの閉鎖的な性質により、感染したスマートフォン上でこのスパイウェアを検出・除去するためのOSの標準ツールは存在しませんし、存在し得ません。そのため、外部ツールが必要になります。

ではスパイウェア、Triangulationの存在にどのように気づいたのか説明します。デバイスにTriangulationが存在することを間接的に示す兆候は、iOSのアップデート機能が無効化されている点です。実際の感染をより正確かつ確実に認識するためには、デバイスのバックアップコピーを作成し、特別なユーティリティでチェックする必要があります。より詳しい技術的な説明は、Securelistの記事に記載されています。当社は、検知ユーティリティを開発中で、テストが終了したら無料で提供する予定です。

感染したデバイスではiOSのアップデートがブロックされるという特殊な特徴があるため、ユーザーがデータを失うことなくスパイウェアを削除する効果的な方法はまだ見つかっていません。スパイウェアを除去するには、感染したiPhoneを工場出荷時の状態にリセットし、最新バージョンのオペレーティングシステムとユーザー環境全体をゼロからインストールする方法しかありません。そうでなければ、再起動後にスパイウェアがデバイスのメモリから削除されたとしても、Triangulationは古いバージョンのiOSの脆弱性を利用して、デバイスを再び感染させることが可能です。

Triangulationに関する今回のレポートは、この巧妙な攻撃に関する調査の始まりに過ぎません。今日、私たちはまず最初の分析結果を発表しましたが、まだ調査すべきことは山ほどあります。今後も調査を続け、新しいデータについてはこのTriangulationの特設ページで最新情報をお伝えします。最終的な調査結果は、10月に開催される国際的なセキュリティ・アナリスト・サミット(SAS)で発表する予定です(当サイトでお知らせします)。

このサイバー攻撃の主な標的は、私たちカスペルスキーではなかったと確信しています。今後数日間のうちにこのスパイウェアの世界的な拡散について、より明確になり詳細が明らかになることでしょう。

このインシデントの主な原因は、iOSのプロプライエタリな性質にあると私たちは考えています。このオペレーティングシステムは「ブラックボックス」であり、Triangulationのようなスパイウェアが何年も隠れることができます。このような脅威の検出と分析は、Appleが調査ツールを独占しているため、より一層難しくなっており、スパイウェアにとっては絶好の隠れ場所です。つまり、私がよく言うように、ユーザーはシステムの完全な不透明性に伴うセキュリティの幻想を抱かされているのです。iOSで実際に何が起きているのかは、サイバーセキュリティの専門家にとっても未知な領域であり、攻撃に関するニュースがないからといって、攻撃が不可能だというではありません。Triangulationの例が示しています。

私たちのビジネスに対する標的型攻撃は、今回が初めてではありません。私たちは、非常にアグレッシブな環境で仕事をしていることを認識しており、適切なインシデント対応手順があります。このような対策により、当社は通常通り営業しており、ビジネスプロセスやユーザーデータに影響はなく、脅威は無力化されています。私たちは、これまで通り、お客様を守り続けます。

P.S. なぜ「Triangulation」という名前なのか?

攻撃されたシステムのソフトウェアとハードウェアの仕様を認識するために、Canvas Fingerprinting 技術を使用して、デバイスのメモリに黄色の三角形を描画するからです。

 

ヒント
新着記事をメールでお知らせします