超大型情報流出案件か／10年未認知だったAPT／大学生が窃取資料翻訳／ディープフェイク採用面接 ほか [Scan PREMIUM Monthly Executive Summary]

　大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。
※「●」印は特に重要な事象につけられています。

＞＞Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

【1】前月総括

　過去最速で梅雨が明け、夏は酷暑が予想され益々リモートワークが増えそうな今日この頃ですが、いかがお過ごしでしょうか。

　6 月のサイバー情勢ですが、中国やロシアを含め、複数の APT グループが Follina（ CVE-2022-30190 ）の攻撃コードを利用し始めており、ちょっとした流行となっています。初期の攻撃は、Open Office XML（ docx 拡張子）を利用したものでしたが、Microsoft Office の保護ビューを回避することを意図して RTF ファイルを利用してのゼロクリック攻撃が散見されるようになっています。同脆弱性は 0day で悪用されていたことを踏まえますと、同種の攻撃手法は今後も利用される可能性があります。その意味では、パッチ適用に加え、保護ビューを回避された際の対応策も併せて検討しておきたいところです。

　脅威動向に関してですが、これまで未認知であった中国の APT グループ「 Aoqin Dragon 」の活動が報告されています。標的は東南アジアやオーストラリアということですので、日本に直接的な影響を及ぼす話ではありません。しかし、同グループが約 10 年にわたって「未認知」であったことは注目に値します。といいますのも、現在、日本でも「未認知」とみられる攻撃が一部確認されており、脅威の見える化がなかなか難しくなってきているのが現状であるためです。この点に鑑みますと、インテリジェンスを活用してのリスクシナリオの設定と、万一の際のデータ保護策等は早めに検討しておきたいところです。

　今月は、30 日に中国で超大型の情報流出事件の可能性が指摘されています。これは、ChinaDan を名乗るハッカーが、流出情報売買サイトにおいて、上海市の警察当局のデータベースから窃取したとする約 10 億人分のデータを売りに出した事件です。提示されたサンプルだけでも 75 万件が含まれ、内容も信憑性の高い情報であることから注目度が高いニュースとなりました。既に模倣犯も現れており、中国の個人情報の売買はしばらく注目を集めそうです。

　また、今月はロシアの APT グループの活動が散見されており、セキュリティベンダー各社がロシア連邦軍参謀本部情報総局（ GRU ）の傘下である APT28 や Sandworm の攻撃を報告しています。ウクライナ侵攻に関連した攻撃においては、74455 部隊の Sandworm と 26165 部隊の APT28 とでは活動目的が異なっており、現時点では、それぞれが次のサイバー攻撃の準備を行なっているようです。

　最後に、英国の Financial Times（ FT ）紙が、中国国家安全部が産業スパイ体制の一環として、サイバー攻撃により窃取した文書を翻訳する仕事を、テクノロジー企業を隠れ蓑として、大学生を騙して行わせていると報じています。以前から予想されていた話ではありますが、FT 紙の取材により具体的に企業名が明かされ、具体的な採用までの流れが明らかとなったことは非常に興味深い記事です。

　中国やロシアに関連する情報が多く目にしますが、日本への攻撃として北朝鮮の活動もみえています。業務メールやプライベートで利用する SNS へのメッセージを含め、違和感を感じましたら閲覧しないよう心がけてください。