回避ツール「EDRサイレンサー」ほか [Scan PREMIUM Monthly Executive Summary 2024年10月度]

　Scan PREMIUM Monthly Executive Summary は、大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理にたずさわる方々や、事業部長、執行役員、取締役、経営管理、セキュリティコンサルタントやリサーチャーに向けて毎月上旬に配信しています。

　前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的としており、分析を行うのは株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏です。なお、「総括」以外の各論の全文は本日朝配信の Scan PREMIUM 会員向けメールマガジンで限定配信しています。

＞＞Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

＞＞岩井氏 インタビュー記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

【前月総括】

　10 月は、北朝鮮兵がロシアによるウクライナ侵攻を支援するために派遣されたことが報じられ、緊迫した状況が一層深まっています。北朝鮮は、以前からロシアと軍事協力関係を強化しており、武器供与や技術支援を行っているとされ、サイバー空間における支援や協働も懸念されます。このことは、日本にとってもこの事態は重大な関心事であり、北朝鮮による軍事的な行動が強まる中、国内の防衛体制の強化に加え、特に重要インフラに対するサイバーセキュリティ面の強化が重要となってきます。

　日本に関連した報道では、日経新聞が沖縄独立を促す偽動画がソーシャルメディア上で拡散し続けていることを報じています。これは、いわゆる「琉球処分」に関連したもので、2013 年の習近平政権発足時からみられる一連の活動であると考えられます。

● オープンソースの EDR 回避ツール

　脅威動向に関してですが、TrendMicro 社は、オープンソースの EDR 回避ツール「EDRSilencer」が攻撃に利用されていることを報告しています。この種のツールの多くは、レッドチームに携わるセキュリティ研究者が開発しており、EDRSilencer もセキュリティ愛好家の Chiris Au 氏が開発したものです。

　本ツールに限らず、オープンソースの EDR 回避ツールは近年、多く開発されており、その対象は米国製 EDR としています。特に、Cobalt Strike や Sliverといった C2 Framework に対応したものは既に利用が確認されており、この種のツール利用は一般化しているようです。

　このようなセキュリティ対策回避ツールは、一部のランサムギャングが利用している可能性があります。実際、ランサムウェア事案の一部は EDR のアラートは確認できなかったとの報告は少なくありません。この点を鑑みますと、予防策重視のセキュリティ設計としている組織は、侵入後の対策とのバランスを再考してみては如何でしょうか。

● 北朝鮮技術者 開発側か

　次に北朝鮮関連の報道ですが、セキュリティ研究者の Haxrob が、北朝鮮の BeagleBoyz（別名 Lazarus、APT38 ）が Linux 版「FASTCash」マルウェアを報告しています。FASTCash は、金融機関の決算スイッチシステムを標的とし、不正に ATM からの現金引き出しを可能にするマルウェアです。これまで、Windows や IBM AIX を標的としたものが報告されていました。

　北朝鮮の脅威アクターは、豊富な金融システムの知識を有していると言われています。これは、情報提供者や内通者の存在が疑われています。しかし、米国で課題となっている北朝鮮の IT ワーカーの件を勘案しますと、意外に開発側で働いているのでは？ と邪推してしまうのは私だけでしょうか。