「Pawn Storm作戦」、次なる標的はトルコ

標的型サイバー攻撃キャンペーン「Pawn Storm作戦」は、2007年以降、経済および政治的な諜報活動を目的としたサイバー攻撃を活発に実行しています。この作戦で標的となった人物および組織は、これまで、軍事機関や外交機関、報道関係者、反体制関係者、ソフトウェア開発者など多岐に渡っています。今回トレンドマイクロは、トルコの首相官邸および議会を含む複数の政府関連機関、そして、同国大手新聞社が攻撃を受けたのを確認しました。

こうした標的となった人物・組織には共通点があります。それは、何からの形でロシアにとって政治的な脅威と受け取られた点です。弊社は、今回のトルコに対する攻撃に関して、2015年10月に本ブログ上で報告した反シリア派やロシアのシリア介入に反対するアラブ各国に対する攻撃に関連していると見なしています。

トレンドマイクロは、今回の攻撃についてトルコ当局に早期に連絡を取ることができたため、万が一気付かずに攻撃を受けた場合発生したであろう損害を軽減することができたと考えます。

Pawn Storm作戦は、冒頭で説明したとおり、経済および政治的な諜報活動が動機で、活発に攻撃を仕掛けています。このことから、攻撃者がなぜトルコを標的としたのかいくつかの理由が以下のとおり考えられます。

• 両国間における様々な相違。その一例として、2015年11月24日、トルコ空軍により、トルコとシリア国境付近で、ロシア軍の戦闘機が撃墜された事件が挙げられる。
• トルコ経由でヨーロッパに入国するシリア難民の移動について

上記両国間の懸念について Pawn Storm作戦と直接関係があるわけではありませんが、こうした状況を鑑みて、トルコが Pawn Storm作戦といったサイバー攻撃の標的リストに追加されることは当然といえるでしょう。例えば、同国における特定の標的に対して、偽の「Outlook Web Access（OWA）」のサーバ設置が確認されていますが、OWAユーザに対するフィッシング攻撃は攻撃者にとって比較的安価な一方で、個人情報を窃取するには非常に効果的な手段です。昨年 4月に報告した NATO やホワイトハウスを標的にした攻撃では、標的者の Webメール情報を窃取するために、非常に練られたソーシャルエンジニアリングが利用されていました。

弊社が確認した標的および偽の OWAサーバ設置の日付は、以下のとおりとなります。

上記の標的リストのとおり、今回の Pawn Storm作戦においては、トルコ議会が攻撃を受けた後でさえ攻撃が続いていることから、政治的な情報窃取が目的であることが伺えます。トルコ大手新聞社への攻撃に少なくとも2つの偽OWA が設置されている事実からも、同国内でどのような情報がメディア上で流通されるのか情報を入手しようとした証拠だといえるでしょう。

今回のトルコへの攻撃において利用されたネットワーク基盤は、オランダが拠点となっていました。攻撃者は、アラブ首長国連邦の郵便番号を利用する「仮想専用サーバ（Virtual private server, VPS）」のプロバイダーで、サーバはオランダのデータセンターに安全地を求めたようです。2015年から 2016年にかけての Pawn Storm作戦の多くが VPS のサービスを利用しており、これは、「DustySky」や金融機関を攻撃した「Carbanak」の攻撃者にも同様の傾向が伺えます。また、同VPSプロバイダーは、ロシア最大の銀行の 1つを狙った攻撃にも利用されていました。こうしたことから、この VPSプロバイダーは、オランダに拠点を置く「防弾ホスティングサービス」を利用していると考えられます。

これまでの Pawn Storm作戦の情報については、下記（英語情報）をご参照ください

• Operation Pawn Storm: Fast Facts and the Latest Developments
  　　http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-pawn-storm-fast-facts

参考記事：

「Pawn Storm Campaign Adds Turkey To Its List of Targets」
by Feike Hacquebord (Senior Threat Researcher)

翻訳：船越 麻衣子（Core Technology Marketing, TrendLabs）

【更新情報】

2016/03/10

13:00

本文の一部を更新しました。