ナビゲーションをスキップする
BlackBerry ブログ
  1. BlackBerry ThreatVector Blog
  2. 2022
  3. 07
  4. ロシアを標的とする新たなサイバー攻撃の影響が、あらゆる中小企業(SMB)に波及する理由

ロシアを標的とする新たなサイバー攻撃の影響が、あらゆる中小企業(SMB)に波及する理由

セキュリティ / 07.15.22 / Bruce Sussman

原文のブログはこちらからご覧いただけます。

脅威アクターは、犠牲者の周辺にあるものを武器化し、標的を絞り込んでいきます。

ある著名な CISO は、国家が背後にある攻撃者の、ロシアを標的とする特定の種類のサイバー攻撃が、今や中小企業(SMB)に対して行われるようになっていると指摘しています。このため、全ての規模の企業が最近よく見られるこうした種類の攻撃に注意し、このような攻撃が場所を問わず、極めて身近においても発生する可能性に留意しなければなりません。
 

ロシアに対するサイバー攻撃の概要

ロシア政府機関を標的とする一連のスピアフィッシング攻撃の動向を追跡しているセキュリティリサーチャーによれば、これらの攻撃は、国家を背後に持つ未知の脅威アクターにより、ロシアのウクライナ侵攻からわずか数日後に開始されていました。この最初のキャンペーンに続いて、さまざまな洗練や変更が加えられた同種の攻撃が行われたということです。

これらすべてのキャンペーンにはある共通点があります。MalwareBytes のリサーチャーによれば、この脅威アクターは、時流を踏まえた身近で疑われにくいルアーを用いて犠牲者をおびき寄せていました。たとえば以下のような手段です。

  • 「Free map of Ukraine(ウクライナ無料マップ)」:攻撃者は、ウクライナのインタラクティブマップを無料進呈する内容の電子メールを、犠牲者を選んで送信していました。このファイルをダウンロードした人々は、地図の代わりに悪意ある行為を受け取ることになります。

「interactive_map_UA.exe」と名付けられたこのドキュメントは、カスタムのマルウェアを実行し、リモートアクセス型トロイの木馬(RAT)をターゲットのエンドポイントに埋め込みます。これにより攻撃者はアクセスを奪取して、感染した各デバイスと通信できるようになります。

  • 「Free Log4j patch」:このキャンペーンは、ロシア政府が所有するニュース専門のテレビ局 R/T (旧称 Russia Today)を標的に、ロシアの省庁とロシア国営コングロマリット Rostec の名前を偽装し、Log4j の「緊急脆弱性修正プログラム」が含まれていると主張するものでした。

この手口がフィッシング攻撃だとターゲットに見抜かれる可能性まで考えていた脅威アクターは、VirusTotal の正規ページへのリンクを追加していました。このページの最上部には「No security vendors and no sandboxes flagged this file as malicious(このファイルを有害と判定したセキュリティベンダーやサンドボックスはありません)」というメッセージが表示されています。実際は、この VirusTotal のページは添付ファイルと何の関係もありません。

  • さらに偽の Log4j パッチを適用するリクエストの信頼性を高めるため、正規の SNS アカウントも偽装していました。 
  • 「求人案内」:このスピアフィッシングキャンペーンでは、Saudi Aramco の原油アナリストの求人に応募するよう勧誘する電子メールを、持続的標的型攻撃(APT)グループが送信した例も確認されています。この電子メールでは、MITRE ATT&CK®で「テンプレートインジェクション」に分類される手法が使われていました。

攻撃者は、このようなやり方で悪意あるコードをユーザー文書経由で実行するとともに、それらのアクションを秘匿します。このケースでは、Microsoft® Word 文書から複数の不正な命令が投下されました。その 1 つである「HelpCenterUpdater.vbs」と名付けられた Virtual Basic(VB)スクリプトは、実際は攻撃者を支援する目的で作成されています。
 

APT 攻撃に対する BlackBerry CISO の見解

今回紹介した攻撃の背後にある APT グループの標的はロシア政府機関でした。しかし BlackBerry の SVP 兼最高情報セキュリティ責任者を務める John McClurg は、国家が背後にある攻撃者や、その他の洗練された手法を持つ攻撃者による被害を受けるリスクは、企業においてますます高まっていると述べています。

なぜ攻撃者は中小企業(SMB)を標的にするのでしょうか。

この質問に対し McClurg は、ポッドキャストの最新エピソードですべてを説明しています。
 


「私が過去さまざまに経験してきた数多くの任務の実体験から言えることですが、国家が戦場で発揮するような能力を持つ敵対者であっても、相互接続が進んだ現実社会でターゲットに直接接触することが容易ではないということを認識しています。ターゲットの活動は、常に誰かと連携して行われるためです。その一方で敵対者は、このような協力のために中小企業の力が必要であること、ターゲットが実際に中小企業各社との結びつきを強めていることを把握しています。そして、こうした中小企業には、本来達成すべき水準のセキュリティを実現できるような時間やリソースはありません。相手は、ターゲットが中小企業と連携していることを知ったうえで、その綻びを突く機会を執拗にうかがっています」

McClurg が言う「綻びを突く」試みを仕掛ける攻撃者の数は着実に増え続けています。このことは、「Commodification of Cyber Capabilities: A Grand Cyber Arms Bazaar(コモディティ化するサイバー機能:大規模化するサイバー武器市場)」でも、米国国土安全保障省の重要な所見として以下のように指摘されています。

「新興勢力(国家を背後に持つ攻撃者と持たない攻撃者の両方)が急速に拡大し、機能を洗練させていく中で、サイバー脅威を取り巻く環境の再編が進んでいます。(中略)サイバーツールを商品として購入できる仕組みが進化したことで、両タイプの攻撃者は、『新たに登場した脅威』から『誰もが警戒する脅威』へと一足飛びに成り上がりました。このように短期間で存在感を高められることが、現在のサイバー脅威環境の大きな原動力となっています」

これは、あらゆる規模の企業がこのような動きに対抗し、業界や国境をまたいだ集合的なサイバー防衛機能の水準も、一足飛びに高めなければならないということです。
 

サイバーセキュリティ:必要なのは「防御シールドを張る」こと

McClurg は、あらゆる企業のサイバーセキュリティはサードパーティのサイバーセキュリティと切っても切れない関係にあり、私たち全体が未然の防御に集合的に取り組まない限り、脅威アクターはこの事実を悪用し続けると考えています。

「ですから防御シールドを張りめぐらすことが大切なのです。高まった機運をコミュニティ全体としての動きにつなげたいと考えているのであれば、パートナーである中小企業を巻き込み、彼らとともに歩む必要があります。

相互接続が進んだ現在の環境では、こうしたサードパーティとの関係性が高度な技術と能力を備えた敵対者によって特定され、攻撃され、利益の追求に悪用されてしまいます。過去の SolarWinds 事件でも、最近の Okta の不正アクセスでも、まさにこれが行われました」

現在のリソースレベルではこうした脅威に対抗することが難しいとお考えの方も心配ありません。BlackBerry にお任せください。CylanceGUARD® が管理する XDR プラットフォームでは、人工知能(AI)と脅威エキスパートが連携してサイバーセキュリティインシデントアラートを管理し、攻撃への対処と未然の防御を実行し、リソースやスキルのギャップを解消することで、高度に洗練された脅威に対して無防備な状態をなくします。 

その他の有益なリソースとして、CISA による「Cyber Essentials(サイバーの基礎知識)」の一連の内容もぜひチェックしてください。

今こそ防御シールドを固めるときです。まずは企業としての取り組みを始めましょう。
 

関連記事

BlackBerry の インシデント対応チームは、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃(APT)など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。

弊社はグローバルコンサルティングチームを常に待機させており、ご希望があれば、24 時間サポートと現地支援を提供できます。弊社製品をご使用いただいていなくても構いません。次の URL からご相談ください。 https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

 

Bruce Sussman

About Bruce Sussman

Bruce Sussmanは BlackBerryの シニア・マネージング・エディターです。

戻る