編集部からのお知らせ
新着PDF:商用5G活用を考える
テレワーク関連記事一覧はこちら

ロシアの攻撃グループが戦術を変更--脆弱性を持つメールサーバーをスキャン

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-03-23 12:01

 Trend Microは米国時間3月19日、ロシア政府の支援を受けたハッキンググループが、インターネットをスキャンして脆弱性を持つメールサーバーを見つける作業に力を入れていることを明らかにした。

APT28

 同社が発表したレポートは、「APT28」と呼ばれるグループの活動について扱ったものだ。同グループは「Fancy Bear」「Sednit」「Pawn Storm」などの名前で呼ばれることもある。

 APT28は2004年から活動を続けており、ロシア軍の情報機関であるGRUのために活動していると考えられている。2016年に米民主党全国委員会のメールサーバーをハッキングした攻撃グループの1つでもある。

 過去の報告によれば、APT28はこの10年間、主な攻撃手段としてスピアフィッシング攻撃を使用している。同グループは15年以上にわたって、選ばれた標的をターゲットとして、巧妙に作成されたメールとゼロデイ脆弱性を利用して被害者をさまざまなマルウェアに感染させる手法を使っていた。

インターネットをスキャンして脆弱性を持つサーバーを発見

 しかし、Trend Microが3月19日に発表したレポートによれば、APT28の活動には大きな変化が見られるという。

 APT28は、スピアフィッシングとマルウェアを使った攻撃も引き続き行っている一方で、インターネット上のTCPポートの445番と1433番をスキャンし、脆弱性を持つウェブメールサーバーや、「Microsoft Exchange」の自動検出サービスを発見しようとしている。

 同グループが脆弱性があると判断したサーバーにどのような攻撃を行っているかは不明だが、目的がサーバーに保管されている秘密情報を盗むことであれ、そのサーバーをほかの作戦の足がかりとして利用することであれ、パッチが適用されていないシステムを乗っ取ろうとしていることは想像に難くない。

乗っ取ったメールアカウントを利用したフィッシング攻撃

 しかし、Trend Microによれば、APT28はサーバーのスキャンに加えて別の攻撃も積極的に行っている。

 APT28は、VPNサーバーのネットワークを経由して、実在企業のメールサーバー上にある、乗っ取られたメールアカウントに接続している。

 Trend Microは、APT28はメールアカウントにログインするための認証情報をフィッシング攻撃によって盗んでいる可能性も、総当たり攻撃でパスワードを推測している可能性もあると考えている。

 攻撃者は、VPN経由で認証情報を手に入れると、盗んだパスワードを使って侵害されたアカウントに接続する。

APT28の新戦術

 この段階まで達すると、攻撃者は関心のあるデータを盗み出すことも、乗っ取ったメールアカウントを使って、ほかの標的に対するフィッシングメールを送信することもできる。

 Trend Microによれば、電子メールアカウントが侵害されたのは、アラブ首長国連邦の企業と防衛産業の企業が多かったという。

 APT28が新しい戦術に適応したことは、同グループの攻撃が特定の脅威マトリクスに分類できないこと、および今後は攻撃手段を多様化させていく可能性が高いことを示している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]