ブログ
国家支援型ハッカーグループが攻撃のメカニズムを拡げ、コモディティ マルウェアをスパイ活動に活用
2020-04-08

数多くの国家支援型ハッカーグループが、過去数十年にわたり活動を続けています。こうした十分な資金力のあるハッカーグループは、国家政府のために活動しており、知的財産を窃取し、電力網・通信・金融システムなどの重要サービスに被害を与えて、日常生活に大きな混乱を引き起こしています。国家支援型のハッカーは、企業も標的とし、経済を不安定にして、社会不安を生み出そうとします。過去に注目度の高かった国家支援型のハッキング1つに、北朝鮮の最高指導者である金日恩(キム・ジョンウン) が否定的に描かれた「The Interview」の上映に対する報復活動として、北朝鮮系のハッカーグループ Guardian of the Peace (平和の守護者もしくは”GOP”)が行ったとされる、Sony Pictures へのサイバー攻撃があります。その他にも、よく知られた国家支援型のサイバー攻撃には、中国系のハッカーによるものと思われる三菱電機での最近のデータ侵害、データ搾取のためにインドの原子力発電所に対して仕掛けられた北朝鮮系のハッカーによるキャンペーン、またサウジアラビアの石油会社に対するイラン系のサイバースパイ活動などがあります。

上記のすべての攻撃には共通のテーマがあります、ハッカーグループは、洗練された、モジュール式の多様な機能を持つマルウェアを開発しています。高度な攻撃者たちは、データを窃取し、またデータを破壊して、重要かつ機密性の高い運用技術や機器の制御も奪う可能性があります。こうしたマルウェアは、明確に意図した被害をもたらすよう慎重に設計され、カスタマイズされてきました。

CYFIRMA Research による最近の観測で、国家支援型ハッカーグループの中で秩序や攻撃のメカニズムに変化が見られることが明らかになりました。2019年12月、CYFIRMAのアナリストはハッカーのコミュニティで EMOTET キャンペーンの開始について話し合う複数の会話をとらえました。これらのハッカーグループはすべて、国家から資金提供されていることが知られており、使用しようとしていた攻撃メカニズムとしてはシンプルなコモディティマルウェアでした。その名が示す通り、このようなマルウェアは、ハッカーがすばやく修正し攻撃を開始できるように直ぐに利用できるツールから設計されています。数ヵ月間のうちに、コモディティ マルウェアを使った国家支援型の攻撃の数は増え続けてきました。以下は、直近観測されたキャンペーンの一部となります。

2020年3月

1.キャンペーン名:동쪽의일어나는행동 (The Rising Action of The East)

  • が疑われる攻撃グループ:Lazarus Group または関連グループ
  • ターゲット: 小売および消費財業界
  • 動機: データの窃取および恐喝
  • 確認されたコモディティマルウェア: Agent Tesla, Miraibot

2. キャンペーン名:现役军人11 (Active Army11)

  • 関与が疑われる攻撃グループ: Sone Panda または関連グループ
  • ターゲット:小売、サプライチェーン、受発注および請求システム、製造、製品/ IT企業
  • 動機:機密性の高い個人データおよび財務データの窃取
  • 確認されたコモディティマルウェア: Phorpiex および Emotet

3.キャンペーン名: 現時点では不明

  • 関与が疑われる攻撃グループ: Fancy Bear または関連グループ
  • ターゲット:小売、消費財企業
  • 動機: 金銭的利益
  • 確認されたコモディティマルウェア: Emotet

2020年2月

4.キャンペーン名: 모래종이 (Sandpaper)

  • 関与が疑われる攻撃グループ: Lazarus Group または関連グループ
  • ターゲット: 画像処理・印刷・シェアリング テクノロジーの大手企業、およびそれら企業のグローバル展開された製品・ソリューション
  • 動機:知的財産(IP)、個人・顧客情報の窃取
  • 確認されたコモディティマルウェア:Shlayer および Miraibot

5.キャンペーン名:紅色撲克10 (Redpoker10)

  • 関与が疑われる攻撃グループ:Sone Panda、Gothic Panda、または関連グループ
  • ターゲット:製造/化学薬品・ゴム、 IT、スポーツ、タイヤ、小売、化粧品、重要インフラ
  • 動機: 機密データ・知的財産の窃取
  • 確認されたコモディティマルウェア: トロイの木馬「Razy」

6.キャンペーン名: 颜料 (Pigment)

  • 関与が疑われる攻撃グループ:Stone Panda または関連グループ
  • ターゲット: カメラ、画像処理、IT関連機器、化学およびアイコニックなテクノロジーに関する大手グローバル企業
  • 動機:自国のイメージング及びプリンティング企業の発展に向け、関連業界の知的財産 (IP) を窃取し、標的となる企業のブランド価値を低下
  • 確認されたコモディティマルウェア:Phorpiex

7.キャンペーン名:金色平静 (Golden Calm)

  • 関与が疑われる攻撃グループ: 中国系の国家支援型ハッキンググループ
  • ターゲット: 電機および機器製造におけるグローバル企業 8 社
  • 動機: サプライチェーン・在庫情報や顧客情報の窃取、日本におけるブランド/評判の失墜
  • 確認されたコモディティマルウェア:Necurs Bot および Bashlite

8.キャンペーン名:人类分裂 (Mankind)

  • 関与が疑われる攻撃グループ:Stone Panda または関連グループ
  • ターゲット: 日本、台湾、米国の大手エンジニアリング会社、輸送およびコンテナ技術、電気機器製造会社
  • 動機: 知的財産および営業秘密の窃取、評判の失墜
  • 確認されたコモディティマルウェア: Phorpiex および Shade

今や、発展途上国や新興国でもこうした攻撃を行っており、その多くは限られた知識とノウハウを持って、サイバーの世界に参入してきています。今は入手が容易なマルウェアを活用する事でサイバー スパイの世界に簡単に参入することが可能です。これらの新興国は、まずコモディティ マルウェアを活用し、継続的に専門知識・技術を身につけることにより、彼らの攻撃メカニズムもサイバー攻撃先進国と同じくらい高度で洗練されたものになる可能性があります。

世界では新たな攻撃者にも対応しようとしていますが、より高度で成熟した国家支援型のハッカーたちは、欺瞞(ぎまん)な手法を使って混乱を引き起こしています。コモディティ マルウェアを使うことで、彼らは匿名の下で行動し、国家支援型ハッカーグループとして特定されることを回避しようとしています。コモディティ マルウェアは、セキュリティ アナリストたちにとって組織や企業への脅威が低いと見なされることが多いため、これらの脅威を見逃してしまう可能性があります。実際に侵害の復旧作業(リミディえーション)が即座に行われない場合、ハッカーはさらなる侵入を図るために別のマルウェアをインストールします。単純なコモディティ マルウェアが“Launch Pad”( 起動パッド)となり、侵害された組織に壊滅的な結末をもたらす恐れもあります。

CYFIRMA Research が中国系の Stone Panda と北朝鮮系の Lazarus ハッカーグループ間で観測したように、国家支援型ハッカーグループも協力し合い、情報を交換し、攻撃メカニズムを共有し始めました。彼らはチームを組んで、共通の攻撃対象を倒すことにより、効率を高め、より早く目標を達成しようとします。

人工知能(AI)や機械学習(ML)の分野における技術進歩の加速とコンピューター処理能力の高速化と同じようにマルウェアも急速に加速し進化しています。

政府と企業の両方が、サイバー セキュリティを重要課題として認識しているにもかかわらず、データ侵害数が減少する気配はありません。実際、サイバー攻撃数とデータ侵害に関わるコストは飛躍的に増大しています。国家間のサイバー紛争はこれからもエスカレートする可能性も高く、これに伴い、民間企業への侵害等の影響も同様に増加していく可能性があります。

CYFIRMAのコモディティ マルウェアに対する推奨対策

マルウェアの脅威に効果的に防止、検出、対応するために、以下のアクションをお勧めします。

a.侵害から修復までの期間を最小限に抑える:

インターネットに接続されたサーバでは、即時の修復対応が難しいことが多いため、最初のセキュリティ侵害から解決までの解決時間を測定し、組織のセキュリティ体制の実行要因として評価する必要があります。

b.侵害された端末(システム)の特定:

完全な修復をすぐに実行できない場合には、すべての調査と修復対応が完了するまで、侵害された端末(システム)をインターネットやイントラネットから分離する必要があります。侵害された複数の端末と調査を行う端末との間でネットワークアクセスを必要とする場合、調査中に、他のネットワークに接続されていないエアギャップ ネットワークと同等の分離されたネットワークを実装する必要があります。

c.コモディティ マルウェアを使用した標的型攻撃の対応を優先する:

インターネットに接続されたサーバで検出されたマルウェアがコモディティであり、侵害を引き起こしていない場合でも、関連するイベントをすべて調査・解析し、できるだけ早く修復してください。同様に、特定のユーザーまたは部門を完全に標的とするスピアフィッシングメールに添付されているコモディティ マルウェアの場合は、関連するすべてのイベントを調査し、すぐに対応してください。

d.マルウェアが検出されたことによる追加のアクティビティがないことを確認する:

コモディティ マルウェアによるインシデントに対して、直ちにまたは自動的に修復活動が実行された場合でも、処理されなかった追加のアクティビティがないことを確認してください。これを確認するには、EDR、SIEM、およびその他の監視ソリューションなどを活用する必要があります。