攻撃者集団「Pawn Storm」は、「Sednit5」や「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM8」などのさまざまな名称で呼ばれていますが、実際には、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきた同一のサイバー攻撃者集団を指します。Pawn Stormは、情報窃取型マルウェア「SEDNIT」に誘導する標的型メールや脆弱性を突く攻撃手法、そして特に認証情報を窃取するフィッシング攻撃などを効果的に組み合わせ、同じ標的に対してさまざまな角度から攻撃を仕掛けることで攻撃目標を達成してきました。
認証情報を狙ったフィッシング攻撃は効果的なサイバー諜報活動です。多くのインターネットユーザは、文法やつづりの明らかな間違い、URL に含まれた不審なドメイン、保護されていない通信のブラウザ表示などを手掛かりに、フィッシング攻撃を回避することができます。しかし、Pawn Storm のような組織的に構成された攻撃者集団は、このような単純な失敗を避け、ユーザの警戒を回避する巧妙なソーシャルエンジニアリング手法を考案する人材とと経験を持っています。彼らは、いかなる言語でも正しい文法とつづりでフィッシングメールを作成し、スパムフィルタやその他のセキュリティ製品による対策を難なく突破します。認証情報を狙ったフィッシング攻撃は、大量の機密情報の窃取や消去、それを利用した恐喝などの被害をもたらす効果的な手法となっています。また、このような攻撃は標的のインフラストラクチャにより深く侵入するための足掛かりとしても利用されます。
Pawn Stormは、元米国務長官コリン・パウエル氏や同じく元米国務長官ヒラリー・クリントン氏のような個人、あるいは米国の「Democratic National Committee(民主党全国委員会、DNC)」や「World Anti-Doping Agency(世界アンチ・ドーピング機構、WADA)」のような組織を標的としてきました。このようなサイバー攻撃に対する組織の防御力を高めるために、以下のような対策を取ることが可能です。
- 必要のない PC はインターネットに接続させないようにし、攻撃経路を最小化すること
- リモートワーカーが企業のネットワークにアクセスする際は VPN 接続を必須とすること
- 管理するドメインの数を最小化し、メールサーバを一元管理すること
- 信頼できる、あるいは二要素認証が可能なドメイン登録事業者のみを利用し、DNS 設定の改ざんを防ぐこと。ドメインの不正な変更を困難にするために、ゾーンファイルの変更時には電話による確認を必須とするなど、事業者による制限をかけること
- Web メールの利用に、二要素認証を用いること。更に安全な選択肢として物理的なセキュリティキ(例えば、USB)による認証を利用すること
- 従業員を教育し、個人の無料メールおよびソーシャルメディアアカウントを守るように従業員を教育すること。また、それらのアカウントの業務利用を禁止すること。
- 従業員が海外に出張したり、国際会議に出席したりする場合は、各組織にとって重要な情報が入っていない会社支給のレンタルPCを持たせること。出張後は情報を消去し、OS を再インストールすること。
- 外注しているサービスが攻撃されることもあるため、信頼できるサードパーティのみ利用すること
- メールシステムやメールアカウントの管理について従業員を教育すること。特に、暗号化していない機密情報は受信箱に保持しないこと。暗号化していない機密情報をメールで送信しないこと
- 信頼できる企業に依頼し、ソーシャルエンジニアリングも含めたネットワーク侵入テストを定期的に実施すること
- ソフトウェアを最新版に保ち、パッチを適用すること。
Pawn Storm に関するより詳細なリサーチペーパー「サイバー犯罪者集団 Pawn Storm、2年間の軌跡と攻撃手法の分析」はこちらをご参照ください。
参考記事:
- 「A Storm’s a Coming: How businesses can defend against threat actor groups like Pawn Storm」 by Feike Hacquebord (Senior Threat Researcher)
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)