編集部からのお知らせ
「半導体動向」記事まとめ
「リスキリング」に関する記事まとめ

MS、中国APTグループ「Nickel」が攻撃に使用していたドメインを押収

Jonathan Greig (Special to ZDNet.com) 翻訳校正: 編集部

2021-12-07 14:23

 Microsoftは、高度で継続的な脅威(APT)グループで中国を拠点とする「Nickel」が使用していた多数のドメインを押収したと発表した。これらのドメインは、欧州、米大陸、カリブ海地域の政府機関やNGOへの攻撃で使用されていたという。

Microsoft seizes domains used to attack 29 governments across Latin America, Caribbean, Europe
提供:Microsoft

 Microsoftでバイスプレジデントを務めるTom Burt氏Microsoft Digital Crimes UnitとMicrosoft Threat Intelligence Centerは米国時間12月6日、それぞれブログ投稿を公開し、同社がNickelを2016年以来追跡していたことを明らかにした。ブログ投稿によると、バージニア州連邦裁判所は、同グループが米国やその他の国々の組織を攻撃するために使用していたウェブサイトの差し押さえ要求を認めたという。

 Burt氏は、「Nickelの被害者へのアクセスを断ち、攻撃にウェブサイトが使用されるのを防ぐ」ことができるように、同社は2日、バージニア州東部地区の米地方裁判所に対して訴訟を起こしたと説明した。

 「これらの攻撃は主に、政府機関、シンクタンク、人権擁護団体に対する諜報活動のために利用されていたようだ」とBurt氏は述べた。

 「裁判所は差し押さえ命令を速やかに承認しており、その内容は本日、ホスティングプロバイダーの作業完了を受けて明らかにされた。悪意のあるウェブサイトを制御し、そうしたサイトからのトラフィックをMicrosoftの安全なサーバーへとリダイレクトできるようになったため、現在と将来の被害者を守ると同時に、Nickelの活動について詳細を知ることができるだろう。当社によるこの措置は、Nickelがほかのハッキング行為を続けるのを阻止することはできないが、このグループが最近の一連の攻撃で依拠していた、重要なインフラの一部を取り除くことができたと考えている」(同氏)

 これらの攻撃は、検出が困難なマルウェアを挿入して、侵入、監視、データ窃盗を行っていた。アルゼンチン、バルバドス、ボスニア・ヘルツェゴビナ、ブラジル、ブルガリア、チリ、コロンビア、クロアチア、チェコ共和国、ドミニカ共和国、エクアドル、エルサルバドル、フランス、グアテマラ、ホンジュラス、ハンガリー、イタリア、ジャマイカ、マリ、メキシコ、モンテネグロ、パナマ、ペルー、ポルトガル、スイス、トリニダード・トバゴ、英国、米国、ベネズエラの組織が標的になっていた。

 Microsoft Threat Intelligence Centerによると、NickelはVPNサプライヤーを侵害したり、盗まれた認証情報を入手したりする場合もあれば、パッチが適用されていない「Exchange Server」や「SharePoint」システムを悪用することもあった。

 同社は、これらの攻撃にMicrosoft製品の新たな脆弱性が利用されていないと指摘した。攻撃者は一旦ネットワーク内部に入ると、より価値の高いアカウントや、システム内のその他の足場にアクセスする方法を探していたようだ。Nickelグループは、「Mimikatz」「WDigest」「NTDSDump」などのパスワードダンピングツールを攻撃に使用していたことが確認されている。

 「Nickelの標的と中国の地政学的利益の間には、しばしば相関関係があるようだ。また、Nickelを調べたセキュリティコミュニティーの他の研究者らは、このグループを『KE3CHANG』『APT15』『Vixen Panda』『Royal APT』『Playful Dragon』という名称でも呼んでいる」と、Burt氏は説明した。

 「国家支援の攻撃は、一貫してその数も巧妙さも増している。当社は今回のケース以外にも、中国の『Barium』、ロシアの『Strontium』、イランの『Phosphorus』、北朝鮮の『Thallium』などの活動を妨げようとしてきたが、そうした試みの目的は、悪意のあるインフラを停止し、攻撃者の戦術に対する理解を深め、顧客を保護すると共に、サイバー空間で許容される規範についての論議に情報提供を行うことだ」(Burt氏)

 同氏によると、Microsoftはこれまで24件の訴訟を起こし、サイバー犯罪者による1万以上の悪意のあるウェブサイトと、国家支援グループによる約600のウェブサイトを停止させたという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    なぜ、コンテナー技術を使うことで、ビジネスチャンスを逃さないアプリ開発が可能になるのか?

  2. セキュリティ

    2022年、セキュリティトレンドと最新テクノロジーについて、リーダーが知っておくべきこと

  3. ビジネスアプリケーション

    全国1,800人のアンケートから見えてきた、日本企業におけるデータ活用の現実と課題に迫る

  4. 運用管理

    データドリブン企業への変革を支える4要素と「AI・データ活用の民主化」に欠かせないテクノロジー

  5. 経営

    テレワーク化が浮き彫りにしたリソース管理の重要性、JALのPCセットアップを支えたソフトウエア

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]