Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「あなたが(性的な)サイトにアクセスしている証拠を記録した」――巧妙なセクストーションスパムに警戒せよ

edited by Security Online   2019/03/14 08:00

 カスペルスキーは2019年3月5日、記者向けにサイバーセキュリティフォーラムを開催。直近の高度な標的型サイバー攻撃を解説し、昨年から出回っているセクストーションスパムについて注意喚起した。

平昌冬季オリンピックで暴れたOlympic Destroyerは誰だったのか

 カスペルスキーのグローバル調査分析チームGReAT(Global Research & Analysis Team)はサイバー攻撃グループを追跡するなど、脅威の情報収集や調査研究を行っている。オーストラリアを拠点にリバースエンジニアリングと標的型攻撃の調査を担当しているノーシン・シャバブ氏が、直近の高度なサイバー攻撃について攻撃グループごとに動きを解説した。

カスペルスキー グローバル調査分析チーム、シニアセキュリティリサーチャー ノーシン・シャバブ氏

 まずシャバブ氏が挙げたのが北朝鮮の関与が疑われているLazarusと、そのサブグループのBluenoroff。サイバー攻撃グループとしてはすっかり有名だ。2018年にはトルコの金融機関、南米のカジノ施設ほか、金融機関から仮想通貨取引所など、金銭目的の攻撃を継続している。

 続けて「非常に活発だった」とシャバブ氏が挙げるのがScarCruft(Group123 / Reaper)。ゼロデイエクスプロイトを用いた韓国への攻撃、Androidマルウェアを用いた韓国企業製(サムソン)スマートフォンユーザーへの攻撃、新たなバックドア攻撃など、高度な攻撃を展開している。

 ロシア語圏で活動が目立つのがTurlaやLightNeutron。前者は新しいCarbonインプラントや新しいPhoenixフレームワークで標的内部で活動する。後者はExchangeサーバーの新しいバックドアを用いて中央アジアや中東の標的を攻撃した。外交関係や大使館を狙ったと見られる。

 平昌冬季オリンピックに被害をもたらしたOlympic Destroyerも忘れてはならない。マルウェアによりオリンピックシステムに障害が発生し、チケット印刷ができなくなるなどの支障が出た。コードの類似性から一時はLazarusの関与が疑われたが、結局は偽旗で、Lazarusに見せかけただけだった。攻撃手法を綿密に解析したところ、攻撃グループはSofacyではないかという結論に至っている。Sofacyはもともと欧米を標的とするグループだったが、最近アジアへとシフトしている。

 Olympic Destroyerの攻撃グループはオリンピック終了後も標的を変えて活動を継続しており、カスペルスキーは攻撃グループ名を新たに「Hades」と呼ぶことにして、調査を続けている。  

 シャバブ氏は企業に向けた推奨事項として、企業で使用するアプリケーションのホワイトリスト化(安全性が確かなものだけを利用する)、パッチ適用(もれがないように)、Microsoft Officeのマクロ設定(信頼できるファイルのマクロのみ有効とする)、ユーザーアプリケーションで不必要なポートは閉じるなどを挙げた。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5