米英のセキュリティ当局、ロシア対外情報庁の脅威アクターによる攻撃手法など注意喚起

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2021-05-10 11:46

 ロシアのハッカーは世界中の政府や組織、エネルギー企業を標的とする攻撃を続けているとみられている。そうした中、ロシアによるサイバー攻撃では、新しい手法も利用されているようだ。また、最近では、「Microsoft Exchange Server」のゼロデイなどの脆弱性が悪用された。

 米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)、米連邦捜査局(FBI)、国家安全保障局(NSA)、英国国家サイバーセキュリティセンター(NCSC)による共同勧告は、ロシア対外情報庁(SVR)が使用している新しいTTP(戦術、手法、手順)について、組織に警告することを目的としている。サイバーセキュリティ研究者はSVRと関連するハッカーを「APT29」や「Cozy Bear」「The Dukes」といった名称で呼ぶこともある。

 米英のサイバーセキュリティ機関は4月、SolarWinds製品に対する攻撃や新型コロナウイルスのワクチン開発組織を標的とする複数のキャンペーンにSVRが関与していると明らかにした。

 共同勧告では、「SVRは、洗練された技術と高度な能力を持つサイバーアクターだ。英国、米国、欧州、北大西洋条約機構(NATO)加盟国、ロシアの近隣諸国を含む世界中の組織を標的にする能力を身につけている」と説明されている。

 また、これまでにNCSCやNSA、CISAらが発したサイバー脅威に関する警告を受け、対策を整えた企業もあることなどから、ロシアのサイバー攻撃者はTTPを変化させ、ネットワークを保護者によるさらなる検知や対策を回避しようとしていると警告している。

 このロシアの攻撃者が変化させた新しい攻撃手法には、オープンソースツール「Sliver」の導入などがある。侵害されたネットワークへのアクセスを維持し、さまざまな脆弱性を悪用する手段として使用するとみられる。また、このグループは複数の脆弱性を悪用しており、最近では、広く報告された「Microsoft Exchange」の脆弱性も対象となった。

 Sliverは、オープンソースのレッドチーム用ツールだ。つまり、ペネトレーションテストのテスターがネットワークセキュリティを合法的にテストする際に使用するツールだ。しかし、SVRは「WellMess」や「WellMail」で侵害されたネットワークへのアクセスを確保する目的でSliverを悪用した可能性があるという。

 共同勧告では、SVRが悪用した脆弱性について、以下の通り挙げている。このリストは必ずしも完全なものではないとしている。

  • CVE-2018-13379 FortiGate
  • CVE-2019-1653 Ciscoルーター
  • CVE-2019-2725 Oracle WebLogic Server
  • CVE-2019-9670 Zimbra
  • CVE-2019-11510 Pulse Secure
  • CVE-2019-19781 Citrix
  • CVE-2019-7609 Kibana
  • CVE-2020-4006 VMWare
  • CVE-2020-5902 F5 Big-IP
  • CVE-2020-14882 Oracle WebLogic
  • CVE-2021-21972 VMWare vSphere

 また、攻撃者はネットワークの情報とアクセスを得るために、管理者のメールボックスを標的とする場合もあるという。標的のネットワークに関する理解を深め、さらなる権限や認証情報を取得して、永続性を維持したり、「ラテラルムーブメント」を行ったりするための動きである可能性がある。

 それでも共同勧告で提示されている緩和策には、「基本的なサイバーセキュリティの原則に従うことで、高度なアクターが標的とするネットワークに侵害することを難しくする」と書かれている。

 ガイダンスとして、セキュリティパッチを迅速に適用し、サイバー攻撃者(サイバー犯罪者や国家を後ろ盾とする攻撃者)がネットワークへの侵入や永続性維持の手段として既知の脆弱性を悪用できないようにすることなどが挙げられている。また、多要素認証を利用し、パスワードが侵害された場合にネットワークを攻撃から保護することも提案されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]