日本の金融機関の名前をかたる脅威アクター「BlueNoroff」の実態

Kaspersky Labは脅威アクターBlueNoroffに関する動向を発表した。同社は、BlueNoroffが日本の金融機関やベンチャーキャピタルの名前をかたって攻撃する手口を使っていることから、日本企業が標的になっていると指摘している。

[後藤大地，有限会社オングス]

　Kaspersky Labは2022年12月27日（現地時間）、同社のブログでBlueNoroffと呼ばれる脅威アクターが、日本企業や組織を標的にサイバー攻撃を実行していると伝えた。同組織はサイバー攻撃手法を改善しており、今後もリスクの高い状況が継続する可能性が高い。

Kaspersky LabはBlueNoroffのサイバー攻撃について伝えた（出典：Kaspersky LabのWebサイト）

BlueNoroffが名前をかたる日本の金融機関名は？

　Kaspersky Labは、BlueNoroffがサイバー攻撃に日本語のファイル名を使用していることや、日本の金融機関やベンチャーキャピタルなどをふりをして攻撃を仕掛けていることから、日本企業や組織を標的としている可能性が高いと指摘した。

　BlueNoroffが名前をかたっている金融機関やベンチャーキャピタルは以下の通りだ。

• みずほフィナンシャルグループ
• 三井住友銀行
• 三菱UFJフィナンシャル・グループ
• ABF Capital
• Angel Bridge
• ANOBAKA
• Bank of America
• Beyond Next Ventures
• Trans-Pacific Technology Fund
• Z Venture Capital

　また、Kaspersky LabはBlueNoroffがWindowsのセキュリティ機能「MoTW」（Mark-of-the-Web）を回避するテクニックとしてISOディスクイメージファイルやVHD仮想HDDファイルを使い出した点にも言及している。

　Windowsは、インターネットからダウンロードしたファイルに対してMoTWマーク（Mark-of-the-Web）と呼ばれるフラグを設定するセキュリティ機能を提供している。このフラグが設定されたファイルに対してはデフォルトで警戒した動作を取るようにアプリケーション側が動作する。

　「Microsoft Office」はMoTWマークのファイルに関してはマクロの実行を制限する。電子メールにMicrosoft Officeのファイルを添付し、そのファイルをオープンすることでマクロを実行させるという従来のフィッシング詐欺の手法はMoTWマークとその利用によって効果が低くなったと評価されている。

　そのため、サイバー攻撃者はMoTWマークを回避する手法を模索している。添付ファイルやダウンロードしてくるファイルとしてISOディスクイメージファイルやVHD仮想HDDファイルを使うというのはMoTWマークのセキュリティ機能を回避する方法であり、BlueNoroffもこの方法を使い出したことになる。同脅威アクターはこれ以外のファイルタイプに関しても模索しており、より効率のよい感染方法について依然として開発手法を改善し続けている。

　日本企業を標的としたサイバー攻撃は巧妙さを増しており、フィッシングメールの段階では真偽の判断が難しいケースも増えている。サイバー攻撃が高度化していることを認識するとともに、どのようなタイミングであっても基本となるセキュリティ対策を適切に実施し続けてほしい。