ナビゲーションをスキップする
BlackBerry ブログ

BlackBerry、APTグループに関するレポートを発行、 Linuxサーバーへの不正アクセスを検証

本ブログ記事は、2020年4月7日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

BlackBerryのリサーチ&インテリジェンスチームは、中国政府のために活動している高度標的型攻撃(APT)の5つの関連グループが、10年近くにわたって検知されずに、どのようにLinuxサーバー、Windowsシステム、モバイルデバイスを組織的にターゲットとしてきたかを検証した新しいリサーチを公開しました。

Decade of the RATs: Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android(RATの10年:Linux、Windows、Androidを標的としたクロスプラットフォームのAPTスパイ攻撃)」と題した今回のレポートは、知的財産を標的とした広範な経済スパイ活動に関しての見解を示すものです。米国司法省によると、知的財産に関する経済スパイ活動に関しては、米国連邦捜査局(FBI)の全56支局で1,000件以上の公開捜査が行われています。

新型コロナウイルス(COVID-19)のアウトブレイクによって在宅勤務者が急増している中、セキュリティ上の課題として、本レポートのクロスプラットフォームでのサイバー攻撃には特に注意が必要です。現在進行中の攻撃キャンペーンで利用されているツールが狙うのはクリティカルなシステムですが、そのセキュリティを維持する現場スタッフの在宅勤務による減少も、さらなるリスクとなっています。アウトブレイクに対する封じ込め対策の一環として、多くの労働者が在宅勤務を余儀なくされる一方、知的財産は引き続き企業のデータセンターに格納されており、その大半にはLinuxが使用されています。

Linuxは現在、上位100万Webサイトのほぼすべて、全Webサーバーの75%、世界のスーパーコンピューターの98%、主要クラウドサービス・プロバイダーの75%に使用されています(※Netcraft、Linux Foundation調べ)。大半の企業は、Webサイトの運用、ネットワーク・トラフィックのプロキシ、重要なデータの保存するためLinuxを使用しています。本日発表のレポートでは、Linuxサーバーの「常時接続・常時稼働」という特徴をAPTグループが悪用し、広範な標的を対象に「オペレーションの拠点」を確立した方法を検証しています。

BlackBerryのチーフ製品アーキテクトであるEric Corneliusは、次のように述べています。「多くのセキュリティ企業が、サーバーラックよりもフロントオフィス向けの製品の開発やマーケティングを重視しているため、一般ユーザー向けの製品でないLinuxへの対応が手薄になっているのが現状です。当該APTグループは、こうしたセキュリティの溝に着目し、これを戦略的優位性として悪用することで、標的にしていた業界の誰からも気づかれずに何年もの間知的財産を盗んできたのです。」

上記以外のレポートの主な内容は、以下の通りです。

  • レポートで検証したAPTグループは、中国政府のために働く民間の請負業者で構成されており、ツール、技術、インフラストラクチャ、標的の情報を互いに、そして政府関係者と積極的に共有していると考えられます。
  • これらのAPTグループはこれまで、別々の目標を追い、幅広い標的を対象としてきました。しかし、Linuxプラットフォームを標的とする場合は特に、グループの間での大規模な協力体制が見受けられました。
  • レポートでは、2つの新たなAndroidマルウェアのサンプルが特定されています。BlackBerryの脅威解析チームが以前に発行したレポート「Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform」では、現在進行中のクロスプラットフォームの監視/スパイ・キャンペーンを対象に、従来型のデスクトップ・マルウェアとの組み合わせでモバイル・マルウェアを悪用するAPTグループの行動を検証しましたが、その際に見られたトレンドは現在も継続しています。
  • Androidマルウェアのサンプルの1つは、市販の侵入テストツールのコードと酷似していますが、当該マルウェアの作成時期は、市販ツールの販売開始よりも2年近く前だったことが判明しています。
  • レポートでは、アドウェア用のコードサイニング証明書を使用することで、ネットワーク防御の監視の目をすり抜ける、既知のマルウェアの新たな亜種を複数検証しています。この戦術で攻撃者が期待するのは、アドウェアの警告が絶え間なく流れる中で、アンチウイルスの警告が単なる一過性のものとして看過され、感染率が上昇することです。
  • このほか、クラウドサービス・プロバイダーを使用することで、信頼できるネットワーク・トラフィックのように思われる形で、コマンド・アンド・コントロール(C2)やデータ流出の通信を行う方向に攻撃者がシフトしている点も浮き彫りになっています。

BlackBerryの最高情報セキュリティ責任者(CISO)であるJohn McClurgは、次のように述べています。「今回の解析では、大企業のネットワーク・インフラストラクチャのまさにバックボーンを標的としたスパイ活動の実態が、従来の認識よりも体系的であることが示唆されています。当社のレポートは、中国のIP窃盗のこれまでに判明していなかった部分を解き明かし、学ぶべき新たな教訓を伝えています。」

 

レポート全文のダウンロードはこちら (英語)

 

ライブオンラインセミナー(英語): Decade of the RATs: Corporate Espionage Attacks(10年間にわたるRAT:産業スパイ攻撃)
日付:2020年4月28日(米国時間)
時間:8:00 AM PDT | 11:00 AM EDT | 4:00 PM BST | 4月29日 0:00(日本時間)

このレポートで示した調査結果について、さらに洞察を深めるため、4月28日(日本時間:4月29日 0:00)のBlackBerryのオンラインセミナー「Decade of the RATs: Corporate Espionage Attacks」にご参加ください。登壇者は、BlackBerryの脅威インテリジェンス担当ディレクター、Kevin LivelliおよびBlackBerryのセールスエンジニアリング担当ディレクター、Sara Lofgrenです。

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。