サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される | ScanNetSecurity
2023.03.31(金)

サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される

サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。防御側から攻撃を与えることはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

研修・セミナー・カンファレンス セミナー・イベント
BlackHat USA 2021:The Kitten that Charmed Me
BlackHat USA 2021:The Kitten that Charmed Me 全 9 枚 拡大写真

 サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。先制攻撃の議論もあるものの、基本は防御側から攻撃を行うことはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

● ITG18 の内部資料が流出

 2020 年、IBM のセキュリティ研究機関「 X-Force 」が、ある国家支援型と見られているハッカーグループのトレーニングビデオを入手し解析することに成功した。企業や政府機関が、機密情報を盗まれて、悪用されたり身代金を要求されたりといったインシデントはよく耳にするが、こうして攻撃側の内部資料が暴露される愉快痛快な事例は多くない。

 攻撃者の手口を分析・レポートする論文や記事はよくあるが、これらはあくまで防御側の被害やマルウェアの解析結果に過ぎない。重要なポイントが解析できていなかったり、見立てが微妙に間違っていたりすることもある。攻撃者側からみれば「核心部分はバレていない」可能性も高い。

 X-Force が発見して解析したのは、ITG18 というイランのハッカーグループの内部ドキュメントなどが収められたオープンディレクトリのファイル一式。ITG18 は「 Charming Kitten 」とも呼ばれ、COVID-19 のワクチン情報に関して製薬会社への攻撃、大統領選挙に関連した攻撃などへの関与が指摘されている。国家支援型の脅威グループのひとつとして分類されている。

 ファイル総容量は 40 GB。4 時間以上の動画は、彼らが使うツールや攻撃環境の操作をレクチャーするトレーニングビデオなども含まれていた。これによって、ITG18 がいったいどんなツールを使い(日本の法律でいうところの)不正アクセスを行い、そして不正に情報を得ているのかが、文字通り可視化された。

 当該オープンディレクトリに含まれていたファイルは、標的データなどがかなりリアルなので、情報攪乱のための「おとり」「ダミー」ではないと推測されるという。資料が外部に漏れたのは「担当者」の設定ミスと言われている。近年設定ミスによる情報漏えいが AWS や SFDC などで頻繁に起こっているが、国家支援型の脅威グループにおいてもそれは同じのようだ。

 チンケな攻撃グループにわざわざ CrowdStrike が「 Charming Kitten 」などという名付けをすることはない。そんな国際的に暗躍するハッカーグループといえど、我々が電車に機密情報の入ったノート PC を置き忘れたり、個人情報や画像フォルダを間違ってインターネットに公開してしまったりするのと同じ失敗をすることがあるのだ。

● ITG18 はどんな攻撃をしていたのか

 本件については、セキュリティ関連媒体ではニュース記事や解説記事がでているが、昨夏開催された BlackHat USA 2021 において、発見および解析の当事者である X-Force メンバーがその詳細を発表している。本稿ではその要点をかいつまんで抄訳を試みたい。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. インターネットアーカイブが出版大手四社に破壊される可能性

    インターネットアーカイブが出版大手四社に破壊される可能性

  2. ランサムウェア感染を隠蔽したソフトウェア企業の末路

    ランサムウェア感染を隠蔽したソフトウェア企業の末路

  3. 大企業ほど脱PPAPに遅れ

    大企業ほど脱PPAPに遅れ

  4. Apache Tomcatに保護されていない認証情報の送信の脆弱性

    Apache Tomcatに保護されていない認証情報の送信の脆弱性

  5. 日本シーサート協議会「サイバー攻撃演習/訓練実施マニュアル」と解説動画公開

    日本シーサート協議会「サイバー攻撃演習/訓練実施マニュアル」と解説動画公開

  6. サイバー犯罪者が悪用する9つの認知バイアス

    サイバー犯罪者が悪用する9つの認知バイアス

  7. 古河電池の今市事業所の社員パソコンがEmotet感染

    古河電池の今市事業所の社員パソコンがEmotet感染

  8. デジタル庁が確定申告での郵送通知を複数発送

    デジタル庁が確定申告での郵送通知を複数発送

  9. Proofpoint Blog 第23回「返信しちゃだめ!ロシアの攻撃グループ「TA499」からのディープフェイクビデオ通話」

    Proofpoint Blog 第23回「返信しちゃだめ!ロシアの攻撃グループ「TA499」からのディープフェイクビデオ通話」

  10. ACCS、「海賊版ソフト利用に法的措置」メールに注意呼びかけ

    ACCS、「海賊版ソフト利用に法的措置」メールに注意呼びかけ

ランキングをもっと見る