サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される | ScanNetSecurity
2024.03.29(金)

サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される

サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。防御側から攻撃を与えることはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

研修・セミナー・カンファレンス セミナー・イベント
BlackHat USA 2021:The Kitten that Charmed Me
BlackHat USA 2021:The Kitten that Charmed Me 全 9 枚 拡大写真

 サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。先制攻撃の議論もあるものの、基本は防御側から攻撃を行うことはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

● ITG18 の内部資料が流出

 2020 年、IBM のセキュリティ研究機関「 X-Force 」が、ある国家支援型と見られているハッカーグループのトレーニングビデオを入手し解析することに成功した。企業や政府機関が、機密情報を盗まれて、悪用されたり身代金を要求されたりといったインシデントはよく耳にするが、こうして攻撃側の内部資料が暴露される愉快痛快な事例は多くない。

 攻撃者の手口を分析・レポートする論文や記事はよくあるが、これらはあくまで防御側の被害やマルウェアの解析結果に過ぎない。重要なポイントが解析できていなかったり、見立てが微妙に間違っていたりすることもある。攻撃者側からみれば「核心部分はバレていない」可能性も高い。

 X-Force が発見して解析したのは、ITG18 というイランのハッカーグループの内部ドキュメントなどが収められたオープンディレクトリのファイル一式。ITG18 は「 Charming Kitten 」とも呼ばれ、COVID-19 のワクチン情報に関して製薬会社への攻撃、大統領選挙に関連した攻撃などへの関与が指摘されている。国家支援型の脅威グループのひとつとして分類されている。

 ファイル総容量は 40 GB。4 時間以上の動画は、彼らが使うツールや攻撃環境の操作をレクチャーするトレーニングビデオなども含まれていた。これによって、ITG18 がいったいどんなツールを使い(日本の法律でいうところの)不正アクセスを行い、そして不正に情報を得ているのかが、文字通り可視化された。

 当該オープンディレクトリに含まれていたファイルは、標的データなどがかなりリアルなので、情報攪乱のための「おとり」「ダミー」ではないと推測されるという。資料が外部に漏れたのは「担当者」の設定ミスと言われている。近年設定ミスによる情報漏えいが AWS や SFDC などで頻繁に起こっているが、国家支援型の脅威グループにおいてもそれは同じのようだ。

 チンケな攻撃グループにわざわざ CrowdStrike が「 Charming Kitten 」などという名付けをすることはない。そんな国際的に暗躍するハッカーグループといえど、我々が電車に機密情報の入ったノート PC を置き忘れたり、個人情報や画像フォルダを間違ってインターネットに公開してしまったりするのと同じ失敗をすることがあるのだ。

● ITG18 はどんな攻撃をしていたのか

 本件については、セキュリティ関連媒体ではニュース記事や解説記事がでているが、昨夏開催された BlackHat USA 2021 において、発見および解析の当事者である X-Force メンバーがその詳細を発表している。本稿ではその要点をかいつまんで抄訳を試みたい。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る