サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される | ScanNetSecurity
2024.06.14(金)

サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される

サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。防御側から攻撃を与えることはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

研修・セミナー・カンファレンス セミナー・イベント
BlackHat USA 2021:The Kitten that Charmed Me
BlackHat USA 2021:The Kitten that Charmed Me 全 9 枚 拡大写真

 サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。先制攻撃の議論もあるものの、基本は防御側から攻撃を行うことはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

● ITG18 の内部資料が流出

 2020 年、IBM のセキュリティ研究機関「 X-Force 」が、ある国家支援型と見られているハッカーグループのトレーニングビデオを入手し解析することに成功した。企業や政府機関が、機密情報を盗まれて、悪用されたり身代金を要求されたりといったインシデントはよく耳にするが、こうして攻撃側の内部資料が暴露される愉快痛快な事例は多くない。

 攻撃者の手口を分析・レポートする論文や記事はよくあるが、これらはあくまで防御側の被害やマルウェアの解析結果に過ぎない。重要なポイントが解析できていなかったり、見立てが微妙に間違っていたりすることもある。攻撃者側からみれば「核心部分はバレていない」可能性も高い。

 X-Force が発見して解析したのは、ITG18 というイランのハッカーグループの内部ドキュメントなどが収められたオープンディレクトリのファイル一式。ITG18 は「 Charming Kitten 」とも呼ばれ、COVID-19 のワクチン情報に関して製薬会社への攻撃、大統領選挙に関連した攻撃などへの関与が指摘されている。国家支援型の脅威グループのひとつとして分類されている。

 ファイル総容量は 40 GB。4 時間以上の動画は、彼らが使うツールや攻撃環境の操作をレクチャーするトレーニングビデオなども含まれていた。これによって、ITG18 がいったいどんなツールを使い(日本の法律でいうところの)不正アクセスを行い、そして不正に情報を得ているのかが、文字通り可視化された。

 当該オープンディレクトリに含まれていたファイルは、標的データなどがかなりリアルなので、情報攪乱のための「おとり」「ダミー」ではないと推測されるという。資料が外部に漏れたのは「担当者」の設定ミスと言われている。近年設定ミスによる情報漏えいが AWS や SFDC などで頻繁に起こっているが、国家支援型の脅威グループにおいてもそれは同じのようだ。

 チンケな攻撃グループにわざわざ CrowdStrike が「 Charming Kitten 」などという名付けをすることはない。そんな国際的に暗躍するハッカーグループといえど、我々が電車に機密情報の入ったノート PC を置き忘れたり、個人情報や画像フォルダを間違ってインターネットに公開してしまったりするのと同じ失敗をすることがあるのだ。

● ITG18 はどんな攻撃をしていたのか

 本件については、セキュリティ関連媒体ではニュース記事や解説記事がでているが、昨夏開催された BlackHat USA 2021 において、発見および解析の当事者である X-Force メンバーがその詳細を発表している。本稿ではその要点をかいつまんで抄訳を試みたい。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  2. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  3. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  4. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

  5. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  6. 失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

    失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

  7. 海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

    海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

  8. 九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

    九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

  9. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  10. 2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

    2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

ランキングをもっと見る