標的型サイバー攻撃キャンペーン「Pawn Storm作戦」は、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきました。トレンドマイクロは、2017年4月25日、リサーチペーパー「Two Years of Pawn Storm」(英語)を公開しました。「APT28」、「Fancy Bear」、「STRONTIUM」などでも知られる攻撃者集団「Pawn Storm」の攻撃範囲と規模について詳細を明らかにするとともに、彼らの主な目的であるサイバー諜報活動の手法を解説しています。弊社は、Pawn Storm作戦の活動を7年前から調査してきました。本ペーパーでは、過去2年の間に Pawn Stormが活動の焦点をサイバープロパガンダへと移行し、また、彼らの標的型サイバー攻撃が2016年には4倍に増加した経緯について報告しています。
■「Pawn Storm作戦」による攻撃:2014年~2016年
弊社リサーチャの調査の結果、Pawn Stormは 2004年に既に攻撃を開始していたことが判明しており、弊社は、それまでの調査結果を 2014年に初めて報告しています。以降、Pawn Stormは、ロシアにとって政治的に不利益とみなされる世界各地の組織を標的とする集団として確立しました。彼らは、実に巧妙で計画的なフィッシング攻撃を通して、世界中の標的を攻撃してきました。
2016年米大統領選挙に関連する攻撃については大きく報道されましたが、他にも、多数の組織が過去3年間に標的とされ、攻撃を受けていました。
- 2014年6月: ポーランド政府の正規Webサイト改ざん
- 2014年9月: 偽の Microsoft の Webメールサービス「Outlook Web Access (OWA)」の社員用ログインページを設置し、米国の大手核燃料販売企業を攻撃。また、欧米の軍事・防衛機関へ、同様に偽のOWAのログインページを利用した攻撃を実行
- 2014年12月: 米国の大手新聞社に所属する米軍関係の特派員のメールアカウントを乗っ取り、同月それを利用し同社55人の社員用メールアカウントへの攻撃を実行
- 2015年1月: YouTube の有名な動画作成者 3人の Gmailアカウントへ、標的型メールによる攻撃。彼らがホワイトハウスにオバマ元米大統領を訪問した 4日後に実行
- 2015年2月: 不正な iOSアプリを諜報活動に利用していることが確認される。また、偽の OWAの Webサイトを利用しウクライナの「北大西洋条約機構(NATO)」の連絡係を攻撃
- 2015年4月: NATO関係者への攻撃を開始。また、仏テレビ局「TV5Monde」を攻撃し、複数のグローバルチャンネルの放送を停止
- 2015年7月: 新しい Javaのゼロデイ脆弱性を利用した攻撃をトレンドマイクロが確認
- 2015年7月: PawnStormのコマンド&コントロール(C&C)サーバの1つがトレンドマイクロの IPアドレスに誘導される
- 2015年8月: ロシア国内での諜報活動が確認される。ロシアの反体制派、メディア、芸能人、軍人および米国高官の配偶者などを攻撃
- 2015年9月: オランダ安全委員会の「SSH File Transfer Protocol(SFTP)サーバ」の偽サーバを設置。その後、偽の OWAサーバを設置して MH17墜落事故調査におけるオランダ安全委員会のパートナーを攻撃
- 2015年10月: 複数国の外務省に標的型メールにより攻撃。標的型メールに Adobe Flash Player のゼロデイ脆弱性を突くクスプロイトコードが利用されているのをトレンドマイクロが確認
弊社は、2016年も引続き Pawn Stormによるサイバー攻撃を確認しており、攻撃手法について、新たに2つの変更を確認しました。Pawn Stormにとって重要な標的の認証情報をより活発に継続して窃取する一方で、サイバープロパガンダへと目的を転じました。以下の表に示すフィッシングサイトのドメインからは、政党とメディアに重点を置いていることがうかがえます。
日付 | 組織 | フィッシングドメイン |
---|---|---|
軍 | ||
03/04/16 | ブルガリア軍 | mail.armf.bg.message-id8665213.tk |
国防省 | ||
02/19/16 | ポーランド国防省 | poczta.mon-gov.pl |
メディア | ||
02/24/16 | Hurriyet | posta-hurriyet.com |
03/14/16 | Anadolu Agency | anadolu-ajansi.com |
03/15/16 | Anadolu Agency | mail.anadoluajansi.web.tr |
05/11/16 | Hurriyet | webmail-hurriyet.com |
06/12/16 | Hurriyet | mail-hurriyet.com |
11/14/16 | Al Jazeera | account-aljazeera.net |
11/14/16 | Al Jazeera | ssset-aljazeera.net |
11/15/16 | Al Jazeera | sset-aljazeera.net |
11/16/16 | Al Jazeera | sset-aljazeera.com |
11/21/16 | Al Jazeera | mail-aljazeera.net |
政党 | ||
01/21/16 | トルコ首相 | e-post.byegm.web.tr |
01/12/16 | トルコ首相 | mail.byegm.web.tr |
02/01/16 | トルコ首相 | eposta.basbakanlik.qov.web.tr |
02/01/16 | トルコ大国民議会 | e-posta.tbmm.qov.web.tr |
03/01/16 | 米民主党 | myaccount.google.com-securitysettingpage.gq |
04/01/16 | 米民主党 | myaccount.google.com-changepasswordmyaccount-idx8jxcn4ufdmncudd.gq |
04/22/16 | キリスト教民主同盟(CDU) | webmail-cdu.de |
05/06/16 | キリスト教民主同盟(CDU) | support-cdu.de |
06/06/16 | 米民主党 | actblues.com |
10/20/16 | モンテネグロ議会 | mail-skupstina.me |
大学 | ||
03/04/16 | Tartu University | mail.university-tartu.info |
09/13/16 | Baikal State University | mail-isea.ru |
国際組織 | ||
08/03/16 | 世界アンチ・ドーピング機関(WADA) | mail.wada-awa.org |
08/08/16 | 世界アンチ・ドーピング機関(WADA) | inside.wada-arna.org |
08/08/16 | スポーツ仲裁裁判所(TAS) | tas-cass.org |
■フィッシング攻撃の効果
Pawn Stormは、攻撃の第一段階として、標的への足掛かりを得るために関連する政治的イベントを利用して認証情報のフィッシング攻撃を実行します。スペルも文法も正しい文章で巧妙にメールを作成してスパムメールのフィルタを回避し、標的の組織内に侵入します。
法人 Webメールアカウントは、ビジネスに関する情報流通経路の中でも狙われやすい部分と言えます。そのようなメールアカウントから、世論を操作するために利用できる機密情報が漏えいする可能性があります。例えば Pawn Stormは、2016年に「World Anti-Doping Agency (世界アンチ・ドーピング機関、WADA)」の Webメールアカウントの情報を窃取し、ハンドルネーム「Fancy Bear」で公開し、ロシアのスポーツ選手が第31回夏季オリンピックへの参加を禁止されたことに関する世論に影響を与える試みを実行しました。また、Webメールアカウントは、標的の組織にさらに深く侵入するための足がかりとして利用される恐れがあります。
長期間に渡る Pawn Stormによる攻撃キャンペーンでは、Yahoo!や Gmailなどの無料 Webメールアカウントを利用する重要な人物に対しても攻撃が継続されました。多くの場合、週に何度もフィッシングメールを送信し、攻撃が成功するまでさまざまな手法を試みます。トレンドマイクロのリサーチャは、このようなメールを 2015年初期以来何千通も確認しています。
■収集された認証情報がサイバー諜報活動への発端に
ソーシャルエンジニアリングの手法に惑わされたユーザが、メールの不正なリンクをクリックしたり不正な添付ファイルを開けたりすると、攻撃者は、第1段階として比較的単純なマルウェアを利用し、機微な情報とシステム情報を検索し窃取します。 Pawn Stormは、対象システムの情報を1年かそれ以上かけて密かに収集します。標的について多くの情報を得た後、重要度の高い標的と判断した場合、より深く侵入するための第2段階のマルウェアを送り込みます。そのように重要と判断される標的は、通常、最終的な標的の組織内の下位グループです。
Pawn Stormは、収集した情報を以下の 2つの方法で利用します。
- 標的とする組織内ネットワークに、さらに深く侵入するために、収集した認証情報を利用してメールを送信する。「Island Hopping」と呼ばれる古典的な手法を取ることもあり、これは、実際に標的とした人物ではなく、その人物と交流する可能性のある企業や人物を標的にする
- 標的の組織にとって不利益となる機密情報を含むメールを一般に公開し、標的の組織に対する世論に影響を与える
■Pawn Stormの次の手
Pawn Stormは 2017年も活発な活動を維持すると予測されています。弊社は、3月と 4月に作成されたフィッシングドメインがフランスおよびドイツの政治運動に関連があることを確認しています。ドイツの政治財団である「Konrad Adenauer Stiftung(コンラート・アデナウアー財団)」、およびフランスの政治家エマニュエル・マクロン氏の選挙キャンペーンが標的にされています。
Pawn Stormは、多くのメディアの注目を集めているようです。2016年米大統領選挙への関与が大いに注目され、今後もこのような攻撃が続くと予測されています。トレンドマイクロは、既に「2017年セキュリティ脅威予測」でサイバープロパガンダが主流になることを予測していました。このリサーチペーパーで、今まさに Pawn Stormが干渉しているフランスとドイツの選挙に関連するフィッシングドメインついても明記しています。
政治組織も、他のすべての組織と同様に、常に侵害を受けたと仮定して行動することが重要です。機密情報を保護するためには、役員会議室からサーバ室まですべてが連携しなければなりません。Pawn Storm、ハクティビスト、サイバー犯罪グループ、内部からの漏えいの恐れなど、攻撃者が誰でも、知的財産や機密情報が間違った人間の手に渡ればどの組織にとっても不利益となります。
トレンドマイクロの、3年間に渡るPawn Stormの調査から得た情報については、こちらを参照してください。
参考記事:
- 「Pawn Storm: The Power of Social Engineering」
by Ed Cabrera (Chief Cybersecurity Officer)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)