Flashの脆弱性悪用攻撃、国内ハイテク2社に被害

国内2組織のWebサイトが改ざんされた攻撃で、Webサイトを利用していた別の2つのハイテク企業が被害に遭ったという。

[國谷武史，ITmedia]

　米FireEyeは7月22日、標的型サイバー攻撃の対応を支援する「FireEye as a Service」サービスを年内に日本で提供すると発表した。Adobe Flash Playerの脆弱性を突く攻撃で国内2組織のWebサイトが改ざんされた事案で、Webサイトを閲覧した大手のハイテク2社に被害が発生したことも明らかにした。

　この事案は、同社が米国時間19日に明らかにしたもので、国内2組織のWebサイトに、Flash Playerの脆弱性（CVE-2015-5122）を突いて閲覧者にマルウェアを感染させるコードが埋め込まれた。同社が攻撃を確認したのは14日だという。

Hacking Teamからの情報流出で発覚した脆弱性が国内組織を狙う攻撃に悪用された

　22日のサービス発表会で会見したFireEye傘下で調査サービスを担当するMandiant バイスプレジデントのチャールズ・カーマカル氏は、「改ざんされたWebサイトを利用する日本の2つのグローバルハイテク企業が被害にあっており、Webサイトを改ざんされた2組織を含め、合計で4つの日本の組織に被害が及んでいる」と述べた。

　また、カーマカル氏はここ数年における米国の組織が狙われた標的型攻撃の傾向についても解説。同社が注視しているという中国政府の関与が疑われる組織の行動について、「米国市民の個人情報を狙っており、米国社会に侵入を試みる狙いがあるのは明らか」と話した。

中国が開発した無人偵察機や戦闘機が米軍のものに酷似し、FireEyeは同国がサイバー攻撃で米国から得た機密情報を活用したとみる

　2013年に発覚した小売大手Targetへのサイバー攻撃や2015年2月に発生した医療保険大手Anthemへの不正アクセスでは数千万件規模の情報流出が発生。こうした事案から犯罪組織の行動の特徴として（1）VPNやCitrixの製品を経由して侵入、（2）ベンダーから盗んだ正規のデジタル証明書を悪用、（3）閲覧者をマルウェア感染させるために正規サイトを改ざん、（4）Windows Management InstrumentationやPowerShellを使って検知を回避、（5）Kerberosのゴールデンチケットを使って任意のアカウントの認証を突破――などがみられると解説する。

　この発表した新サービスは、高度な手法を用いるサイバー攻撃などのインシデントについて、FireEyeがインシデント検知後の調査や対応、再発防止策などの支援を、国内のセキュリティサービス事業者経由で提供する。伊藤忠テクノソリューションズ、インターネットイニシアティブ、NTTコミュニケーションズ、ソフトバンク・テクノロジー、日立製作所、マクニカネットワークス、ラックが新サービスに賛同を寄せており、各社などから「FireEye as a Service」をベースにしたセキュリティインシデント対応サービスが提供される見込み。

インシデント対応の部分でFireEyeが支援にあたるという「FireEye as a Service」

　FireEye アジア太平洋・日本担当シニアディレクターのワイアス・イサ氏は、「FireEye as a Serviceは現在のセキュリティ監視サービスなどに追加して利用できる。組織に侵入した標的型攻撃の脅威が検知されるまで平均205日を要するが、FireEye as a Serviceでは数分単位にまで大幅に短縮することを可能にする」と説明している。