サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される | ScanNetSecurity
2024.06.18(火)

サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される

サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。防御側から攻撃を与えることはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

研修・セミナー・カンファレンス セミナー・イベント
BlackHat USA 2021:The Kitten that Charmed Me
BlackHat USA 2021:The Kitten that Charmed Me 全 9 枚 拡大写真

 サイバーセキュリティでは、行動のイニシアティブをとりやすい攻撃者側が有利とされている。先制攻撃の議論もあるものの、基本は防御側から攻撃を行うことはできず、備えて待つしかない。しかし、稀に防御側(つまり我々)が攻撃側を出し抜くこともある。

● ITG18 の内部資料が流出

 2020 年、IBM のセキュリティ研究機関「 X-Force 」が、ある国家支援型と見られているハッカーグループのトレーニングビデオを入手し解析することに成功した。企業や政府機関が、機密情報を盗まれて、悪用されたり身代金を要求されたりといったインシデントはよく耳にするが、こうして攻撃側の内部資料が暴露される愉快痛快な事例は多くない。

 攻撃者の手口を分析・レポートする論文や記事はよくあるが、これらはあくまで防御側の被害やマルウェアの解析結果に過ぎない。重要なポイントが解析できていなかったり、見立てが微妙に間違っていたりすることもある。攻撃者側からみれば「核心部分はバレていない」可能性も高い。

 X-Force が発見して解析したのは、ITG18 というイランのハッカーグループの内部ドキュメントなどが収められたオープンディレクトリのファイル一式。ITG18 は「 Charming Kitten 」とも呼ばれ、COVID-19 のワクチン情報に関して製薬会社への攻撃、大統領選挙に関連した攻撃などへの関与が指摘されている。国家支援型の脅威グループのひとつとして分類されている。

 ファイル総容量は 40 GB。4 時間以上の動画は、彼らが使うツールや攻撃環境の操作をレクチャーするトレーニングビデオなども含まれていた。これによって、ITG18 がいったいどんなツールを使い(日本の法律でいうところの)不正アクセスを行い、そして不正に情報を得ているのかが、文字通り可視化された。

 当該オープンディレクトリに含まれていたファイルは、標的データなどがかなりリアルなので、情報攪乱のための「おとり」「ダミー」ではないと推測されるという。資料が外部に漏れたのは「担当者」の設定ミスと言われている。近年設定ミスによる情報漏えいが AWS や SFDC などで頻繁に起こっているが、国家支援型の脅威グループにおいてもそれは同じのようだ。

 チンケな攻撃グループにわざわざ CrowdStrike が「 Charming Kitten 」などという名付けをすることはない。そんな国際的に暗躍するハッカーグループといえど、我々が電車に機密情報の入ったノート PC を置き忘れたり、個人情報や画像フォルダを間違ってインターネットに公開してしまったりするのと同じ失敗をすることがあるのだ。

● ITG18 はどんな攻撃をしていたのか

 本件については、セキュリティ関連媒体ではニュース記事や解説記事がでているが、昨夏開催された BlackHat USA 2021 において、発見および解析の当事者である X-Force メンバーがその詳細を発表している。本稿ではその要点をかいつまんで抄訳を試みたい。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  2. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  5. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  6. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  7. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  8. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  9. 実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

    実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

  10. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

ランキングをもっと見る