CYFIRMA リサーチ チーム
ここ数十年にわたり、国家支援型ハッカー グループの活動が盛んです。潤沢な資金を受けたこうしたハッカー グループは、政府のために、知的財産を盗み出したり、送電網、通信、金融システムなどの生活に不可欠なサービスに打撃を与えたり、日常生活に大きな混乱をもたらしたりします。また、国家支援型のハッカーは、経済を揺るがし、社会不安を生み出すために、民間企業も標的としています。国家主導のハッキングとしては、北朝鮮のハッカー グループ Guardian of the Peace による Sony Pictures に対するサイバー攻撃が非常に有名です。この攻撃は、北朝鮮の指導者キム・ジョンウンが否定的に描かれている映画 「The Interview」 の上映に対する報復として実行されました。顕著な国家主導型サイバー攻撃としては、他にも、中国系ハッカーの関与が疑われる三菱電機での最近のデータ漏洩、北朝鮮系ハッカーがインドの原子力発電所に対して仕掛けたデータ窃取キャンペーン、サウジアラビアの石油会社に対するイランのサイバースパイ活動などがあります。
上記の攻撃には、すべてに共通するテーマがあります。ハッカー グループが、高性能で悪質なモジュール式の多面的ソフトウェアを展開していたということです。サイバー攻撃者は、データを抽出したり、破壊したり、重要かつ機密性の高い運用テクノロジーや機械を制御することができました。マルウェアは、意図した被害をもたらすように慎重に設計およびカスタマイズされていたのです。
CYFIRMA リサーチ チームによる最近の観測で、国家支援型のハッカー グループの間で、攻撃メカニズムの速度とタイプに変化が見られました。2019年12月、ハッカー コミュニティの複数の会話の中で EMOTET キャンペーンの開始が話題に上っているのを弊社の研究者が傍受しました。こうしたハッカー グループはすべて国家によって運営され、資金提供を受けていることがわかっており、好んで用いられる攻撃メカニズムは単純にコモディティ マルウェアです。この種のマルウェアは、名前が示唆するとおり、すぐに利用できるツールから設計されていて、ハッカーは素早く再加工して攻撃を開始することができます。その後数か月の間に、コモディティ マルウェアを使用した国家主導の攻撃件数は増え続けています。確認されたキャンペーンの事例を以下に示します。
2020年3月
2020年2月
発展途上国や新興国もこうした国家間の競争に参入し、その多くは、限られたノウハウとスキルでサイバー攻撃能力を構築しようとしています。すぐに入手できるマルウェアを利用すれば、サイバースパイ活動の世界に簡単に参入できます。こうした新興国は、まずはコモディティ マルウェアを利用しますが、時間の経過とともに専門知識を習得すれば、その攻撃メカニズムは先進国に劣らない高度なものへと進化する可能性があります。
世界が新たな参入者に対処しようとする中、成熟度の高い国家支援型の攻撃者は、詐欺的手段を使って混乱を引き起こすレベルに達しています。彼らは、コモディティ マルウェアを利用することにより匿名の下で作戦を遂行し、国家支援型のハッカー グループであることが判明するのを回避しようとしています。コモディティ マルウェアは、セキュリティ アナリストの間で、組織にとってそれほど大きな脅威ではないと考えられているため、レーダーから外れることがありますが、直ちに修正措置を講じないと、ハッカーは、さらなる侵入に向けて別のマルウェアをインストールすることができます。簡素なコモディティ マルウェアが 「攻撃起点」 となり、侵害された組織に壊滅的な結果をもたらす可能性があります。
CYFIRMA リサーチ チームが中国の Stone Panda と北朝鮮の Lazarus の間で観察しているとおり、国家支援型ハッカー グループも協力、情報交換、攻撃メカニズムの共有を開始しています。彼らは、共通の敵を倒すためにチームを組むことで、効率を高め、目標の早期達成を図ります。
人工知能や機械学習の分野におけるテクノロジーの進歩の加速と、コンピュータ サーバの処理能力の高速化により、マルウェアの複製速度が加速しています。
政府と企業の両方がサイバーセキュリティの重要性を認識しているにもかかわらず、データ漏洩の件数が徐々に減少している兆候は見られません。実際、攻撃件数とデータ漏洩による被害額は飛躍的に増加しています。国家間のサイバー紛争がエスカレートするのに伴って、営利企業が付随的な損害を被る可能性が高くなっています。
コモディティ マルウェアに対する推奨策
マルウェア攻撃を効果的に防止、検出および対処するために、以下の推奨策を講じてください。
・ 侵害から修復までの期間を最短化する:
インターネットに接続されたサーバでは、即時修復が難しいことが多いため、最初のセキュリティ侵害から解決までの解決時間を測定し、組織のセキュリティ態勢のパフォーマンス要因として評価する必要があります。
・ 侵害されたシステムを分離する:
直ちに完全修復することが不可能な場合には、すべての調査と修復が完了するまで、侵害されたシステムをインターネットやイントラネットから分離する必要があります。複数の侵害されたシステムと調査システムへのネットワーク アクセスが必要な場合は、調査期間中、分離されたネットワーク (他のどのネットワークにもつながっていないエアギャップ ネットワークと同等) を実装する必要があります。
・ コモディティ マルウェアを使用した標的型攻撃を優先する:
インターネットに接続されたサーバで検出されたマルウェアが商品化されたマルウェアであり、被害をもたらしていない場合でも、関連するイベントをすべて調査し、できるだけ早く修復してください。同様に、特定のユーザまたは部署を狙ったスピアフィッシング eメールにコモディティ マルウェアが添付されている場合も、直ちに関連するすべてのイベントを調査し、修復してください。
・ 検出されたマルウェアによる追加のアクティビティがないことを確認する
コモディティ マルウェアのインシデントに対して、直ちに、または自動的に修復対応が取られた場合でも、対応から漏れた追加のアクティビティが発生していないことを確認してください。確認には、EDR、SIEM、およびその他の動作監視ソリューションを活用してください。