ニュース
» 2016年05月26日 07時57分 UPDATE

軍需産業を狙うサイバースパイの活動詳細、スイス当局が手口を公開

攻撃側は特段に高度な手口を使ったわけではなく、ただ周到な準備を行ったうえで、多大な忍耐力をもって侵入し、組織内で感染を広げていた。

[鈴木聖子,ITmedia]

 スイスの軍事航空宇宙企業RUAGのネットワークが何者かに不正侵入されるサイバースパイ事件が発覚し、スイス政府のCERTが攻撃の手口について詳しく分析した報告書をまとめた。米セキュリティ機関SANS Internet Storm Centerも、攻撃の実態を知って組織のセキュリティ対策に役立てるため、一読するよう勧めている。

 RUAGに対する不正アクセスは2016年1月に発覚し、詳しく調べたところ、少なくとも2014年9月ごろからネットワークに侵入されていたことが分かった。

攻撃活動を時系列で示したもの(報告書より)

 使われたのは数年前から出回っているマルウェアの「Turla」で、rootkit機能は持たないものの、難読化技術を使って検出されないまま潜伏していた。

 攻撃側は特段に高度な手口を使ったわけではない。ただ、周到な準備を行ったうえで、「多大な忍耐力をもって侵入し、水平移動していた」という。まず狙いを定めた相手のみを標的として攻撃を仕掛け、ネットワークへの侵入に成功すると、他のデバイスへと水平移動して感染を広げ、高い権限を獲得していった。

 主な標的の1つはActive Directoryだった。「これで他のデバイスを制御する機会が得られ、パーミッションやグループメンバーシップを使って興味深いデータにアクセスできる」(報告書)

 感染デバイスの制御や情報の持ち出しは、80番ポートを使ったHTTP経由で行われた。マルウェアからHTTPリクエストを送ってデータを外部の制御用サーバに転送させ、その制御用サーバから感染デバイスに新しいタスクを割り当てていたという。

侵入先での活動状況

 侵入したネットワークの内部では名前付きパイプを使って感染デバイス同士で通信を行い、階層化されたP2Pネットワークを形成して、検出を難しくしていた。

 「被害の程度を推定することは難しい。だがプロキシログのパターンを解析すると、活動がほとんどなかった期間と、活動が活発で大量のデータが流出していた期間が存在していた」と報告書は解説する。

 報告書では、こうした攻撃を阻止、あるいは検出するためのエンド端末レベルやネットワークレベル、アクティブディレクトリのセキュリティ対策についてもそれぞれ紹介。「こうした対策の多くはそれほどコストがかかるものではなく、それなりの労力を費やせば実装できる」と指摘している。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -