海外コメンタリー

未熟な単独犯でも大規模サイバー攻撃ができた理由

Danny Palmer (ZDNET.com) 翻訳校正: 石橋啓一郎

2017-08-22 06:30

 石油産業、鉱業、建設業の数千社の企業を標的とした国際的なハッキングキャンペーンと聞けば、洗練されたサイバー犯罪組織の仕業だと思う人が多いに違いない。それだけの規模の活動には、大規模なリソースとマンパワーが必要とされるのが普通であり、国家の支援がある可能性さえ考えられる。

 しかし、新たに明らかになった石油・ガス産業、鉱業、建設業、運送業の4000社以上の企業を標的としたサイバー攻撃は、ナイジェリアに住む20代の男1人によって実行されたものだった。

 この単独犯は、少なくとも14社のネットワークをハッキングして侵入することに成功しており、これにはクロアチアの海洋エネルギー企業、アブダビの運送業者、エジプトの鉱業会社、クウェートの石油・ガス会社、ドイツの建設会社が含まれる。

 犯人は、トロイの木馬とキーロガーによるリモートアクセスを使って、これらの企業のログイン認証情報や財務情報を盗んでいた。

 一連の攻撃が、特定の地域と業界(欧州と中東のエネルギー業界と運送業界の企業)で働く財務スタッフを標的としており、大手石油・ガス会社であるSaudi Aramcoを装ったフィッシングメールが使われていたことから、研究者らは当初、この攻撃キャンペーンは高度に組織化されたグループの犯行だと考えていた。

 しかし、この攻撃を調査していたCheck Pointの研究者らは、実際にはそうではなかったことを突き止めた。

 Check Pointの調査責任者Maya Horowitz氏は、米ZDNetの取材に対して、「われわれは、これが単独犯であることに気付き、マルウェアとC&C通信の技術的な分析から、これは国家が行っている諜報活動ではなく、犯罪行為であることに気づいた」と述べている。

 また、プロのサイバー犯罪グループとは異なり、犯人のセキュリティ技術が未熟だったため、研究者らは犯人を特定して行動を監視することができたという。

 同氏は「フィッシングメールにもつたない部分があり、インフラにもあちこちに穴があった」と述べている。

 フィッシングメールの内容は稚拙で説得力が低く、スペルミスがあったり、一般的な表題が使われていたり、送り先を「Sir/Ms」として名前も性別も特定していなかったりした。大量送信されたメッセージは、ユーザーに添付ファイルをダウンロードするよう求めるもので、この添付ファイルを開くとマクロを実行する許可を与えるかどうかを尋ねられ、その後、ウェブから簡単に入手可能な2つのマルウェアがインストールされる。

 被害者がファイルを開いてしまうと、リモートアクセス可能なトロイの木馬であり、感染したマシンを完全に制御できるようになる「Netwire」と、簡単に購入可能なキーロガーである「Hwkeye」に感染する。どちらのマルウェアも比較的単純なものだが、犯人はこれらを使うことで、銀行にアクセスするための認証情報や、その他の認証情報を手に入れ、口座から金銭を盗んだり、認証情報を販売したりして数千ドルを稼いだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]