過去最大規模のサイバー諜報活動「Operation Cloud Hopper」、日本も標的に

過去最大規模のサイバー諜報活動「Operation Cloud Hopper」、日本も標的に

2017年4月初旬、諜報活動を目的とした大規模な標的型サイバー攻撃キャンペーン「Operation Cloud Hopper(クラウドホッパー作戦)」がセキュリティリサーチャによって最近明らかにされました。この攻撃は、報道によると、攻撃者集団「APT10(別名:「MenuPass」、「POTASSIUM」、「Stone Panda」、「Red Apollo」、「CVNX」)」によって仕掛けられ、「Managed Services Provider(マネージド・サービス・プロバイダ、MSP)」が狙われていました。そして、標的となった企業の資産や取引上の機密情報の窃取を目的としています。本記事では、この最新の脅威の概要と企業が取るべき対策について解説します。

■標的となったのは?
この攻撃キャンペーンは、北アメリカ、ヨーロッパ、南アメリカ、アジアの各地域に影響を及ぼしており、ごく最近では英国、アメリカ、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、そしてオーストラリアの MSP が標的とされたことが報じられています。

MSP はさまざまな顧客企業のアプリケーション、ネットワーク、システムインフラストラクチャを管理しています。MSP への攻撃における真の標的はそれら顧客企業であったと考えられます。真の標的となった業種は、エンジニアリング、工業生産、小売、電力、薬剤、通信、政府等、多岐にわたるものと推測されています。

■MSPへの侵入方法
報告によると、クラウドホッパー作戦では、「PlugX(「BKDR_PLUGX」として検出)」、「Poison Ivy(「BKDR_POISON」として検出)」、「ChChes(「BKDR_CHCHES」として検出)」、そして「Graftor(「TROJ_GRAFTOR」として検出)」といった古いけれど悪名高い「remote access trojan(RAT)」が頻繁に利用されています(※1)。また、この攻撃キャンペーンでは、システムの脆弱性を突く不正な Microsoft Office文書(「TROJ_ARTIEF」として検出)、Microsoftの正規ファイルのシグネチャやプロパティを模倣した不正なファイル(「TROJ_FAKEMS」として検出)が用いられました。トレンドマイクロでは、この攻撃キャンペーンに関連する 70種以上のマルウェアを検出対応しています。

これらのマルウェアは、「APT10」が標的とした MSP に対して、公共機関のような正規の組織を装った標的型メールによって送信されました。感染した PC上に足掛かりを維持するため、同グループは MSPとその顧客の共有システムおよびインフラストラクチャにアクセスできる正規の管理者権限認証情報を窃取する攻撃ツールを利用しました。そして攻撃者は、こうしたツールを利用して侵入したネットワーク内を探索し、MSP の顧客企業のネットワークにアクセスすることが可能になりました。また、タスクのスケジュールを作成したり、Windows のサービスおよびユーティリティソフトウェアを悪用することにより、コンピュータが再起動した後も侵入したPCに留まり続けます。

「APT10」は、単純に重要な役割を担う PC を狙って感染させるわけではありません。IT およびシステム管理者の注意を引かないように、まず基幹業務に関わらない PC にマルウェアをインストールし、標的の PC に侵入するための探索活動を行っていました。「APT10」は、オープンソースのマルウェアとハッキングツールを攻撃手法に合わせて改造することが知られており、リモート・デスクトップ・プロトコルを介して PC に不正侵入したり、あるいは RAT を使って標的とする情報を選定したりします。

窃取した情報は圧縮され、MSP のネットワークから攻撃者が管理するインフラストラクチャに送信されます。

■企業が取りうる対策
諜報活動を目的としたサイバー攻撃の手法は変化を続けています。標的組織のセキュリティレベルが高い場合、関連組織や取引先などを経由する攻撃手口はこれまでも確認されてきました。そして今回明らかになったクラウドホッパー作戦では、MSP と顧客企業の「接点」を攻撃経路として悪用されました。企業にとっては、サードパーティのインフラストラクチャを業務に組み込む際、十分にそのリスクを精査し検証する重要性を再認識する契機となりました。クラウドホッパー作戦が示したように、MSP は顧客のシステムインフラストラクチャの管理を効率化するだけでなく、電子メールのホスティングであれ、クラウドアプリケーションであれ、効率性と安全性を両立させる必要があります。

システムを最新の状態に保つのはもちろんのこと、MSP と顧客企業は積極的にセキュリティインシデントに対応することも含めて、このような種類の脅威への対策を取るべきです。IT およびシステム管理者は、企業の機密情報が漏えいした場合の被害を抑えるために保有する情報のカテゴリ分けを実施することが可能です。機密情報や企業ネットワークへのアクセス権を制限するネットワークのセグメンテーションは、攻撃者の情報探索を防ぐ有効な手段です。標的型メールがクラウドホッパー作戦の侵入経路になったことを踏まえると、特に電子メールによる脅威に対して、職場でサイバーセキュリティに関して十分な社員教育を実施することも必須だと言えます。

■トレンドマイクロの対策
ネットワーク挙動監視ソリューション「Deep Discovery™ ファミリー」は、サンドボックスや「Script Analyzer」エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。また、「Deep Discovery™ Inspector」は、ネットワーク挙動監視による各種RAT の遠隔操作通信の検出や「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などにより脅威を警告します。

ネットワークセキュリティ対策製品「TippingPoint」では、以下の ThreatDVフィルタにより今回の脅威をブロックします。

  • 27813: TCP: Backdoor.Win32.Redleavy.A (RedLeaves) Checkin

ウイルスバスター クラウド」、「ウイルスバスター™ コーポレートエディション」、「ウイルスバスター™ ビジネスセキュリティサービス」などのエンドポイント製品では「ファイルレピュテーション(FRS)」技術によりウイルス検出を行っています。同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のマルウェアであってもその不正活動を検知してブロック可能です。特に「ウイルスバスター™ コーポレートエディション XG」はクロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現しています。

参考記事:

※1:遠隔操作ツール「PlugX」は、株式会社 地理情報開発から提供されている PlugX(R) シリーズとは無関係な不正なプログラムです

翻訳:澤山 高士(Core Technology Marketing, TrendLabs)