Microsoftは、高度で継続的な脅威(APT)グループで中国を拠点とする「Nickel」が使用していた多数のドメインを押収したと発表した。これらのドメインは、欧州、米大陸、カリブ海地域の政府機関やNGOへの攻撃で使用されていたという。
提供:Microsoft
Microsoftでバイスプレジデントを務めるTom Burt氏、Microsoft Digital Crimes UnitとMicrosoft Threat Intelligence Centerは米国時間12月6日、それぞれブログ投稿を公開し、同社がNickelを2016年以来追跡していたことを明らかにした。ブログ投稿によると、バージニア州連邦裁判所は、同グループが米国やその他の国々の組織を攻撃するために使用していたウェブサイトの差し押さえ要求を認めたという。
Burt氏は、「Nickelの被害者へのアクセスを断ち、攻撃にウェブサイトが使用されるのを防ぐ」ことができるように、同社は2日、バージニア州東部地区の米地方裁判所に対して訴訟を起こしたと説明した。
「これらの攻撃は主に、政府機関、シンクタンク、人権擁護団体に対する諜報活動のために利用されていたようだ」とBurt氏は述べた。
「裁判所は差し押さえ命令を速やかに承認しており、その内容は本日、ホスティングプロバイダーの作業完了を受けて明らかにされた。悪意のあるウェブサイトを制御し、そうしたサイトからのトラフィックをMicrosoftの安全なサーバーへとリダイレクトできるようになったため、現在と将来の被害者を守ると同時に、Nickelの活動について詳細を知ることができるだろう。当社によるこの措置は、Nickelがほかのハッキング行為を続けるのを阻止することはできないが、このグループが最近の一連の攻撃で依拠していた、重要なインフラの一部を取り除くことができたと考えている」(同氏)
これらの攻撃は、検出が困難なマルウェアを挿入して、侵入、監視、データ窃盗を行っていた。アルゼンチン、バルバドス、ボスニア・ヘルツェゴビナ、ブラジル、ブルガリア、チリ、コロンビア、クロアチア、チェコ共和国、ドミニカ共和国、エクアドル、エルサルバドル、フランス、グアテマラ、ホンジュラス、ハンガリー、イタリア、ジャマイカ、マリ、メキシコ、モンテネグロ、パナマ、ペルー、ポルトガル、スイス、トリニダード・トバゴ、英国、米国、ベネズエラの組織が標的になっていた。
Microsoft Threat Intelligence Centerによると、NickelはVPNサプライヤーを侵害したり、盗まれた認証情報を入手したりする場合もあれば、パッチが適用されていない「Exchange Server」や「SharePoint」システムを悪用することもあった。
同社は、これらの攻撃にMicrosoft製品の新たな脆弱性が利用されていないと指摘した。攻撃者は一旦ネットワーク内部に入ると、より価値の高いアカウントや、システム内のその他の足場にアクセスする方法を探していたようだ。Nickelグループは、「Mimikatz」「WDigest」「NTDSDump」などのパスワードダンピングツールを攻撃に使用していたことが確認されている。
「Nickelの標的と中国の地政学的利益の間には、しばしば相関関係があるようだ。また、Nickelを調べたセキュリティコミュニティーの他の研究者らは、このグループを『KE3CHANG』『APT15』『Vixen Panda』『Royal APT』『Playful Dragon』という名称でも呼んでいる」と、Burt氏は説明した。
「国家支援の攻撃は、一貫してその数も巧妙さも増している。当社は今回のケース以外にも、中国の『Barium』、ロシアの『Strontium』、イランの『Phosphorus』、北朝鮮の『Thallium』などの活動を妨げようとしてきたが、そうした試みの目的は、悪意のあるインフラを停止し、攻撃者の戦術に対する理解を深め、顧客を保護すると共に、サイバー空間で許容される規範についての論議に情報提供を行うことだ」(Burt氏)
同氏によると、Microsoftはこれまで24件の訴訟を起こし、サイバー犯罪者による1万以上の悪意のあるウェブサイトと、国家支援グループによる約600のウェブサイトを停止させたという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
