攻撃者はなぜCobalt Strikeが“大好き”なのか?:Cybersecurity Dive
Fortraのペネトレーションツール「Cobalt Strike」はサイバー攻撃者に好んで悪用されている。なぜ彼らはこのツールを積極的に悪用するのか。そしてこれを防ぐためにどのような取り組みが企業間で進んでいるのだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティ企業のFortraが提供するセキュリティ用の侵入ツール「Cobalt Strike」は、サイバー犯罪者や国家に関連する攻撃者に広く使用されている(注1)。攻撃者は、レッドチームが使用しているCobalt Strikeのクラック版(セキュリティ機能が不正に解除されたもの)を悪用して、被害者の環境内でコマンドアンドコントロールの通信と持続的なアクセスを確立している。
攻撃者はなぜCobalt Strikeが“大好き”なのか?
FortraおよびMicrosoftのデジタル犯罪ユニット(DCU)、医療業界の組織が参加する非営利団体であるHealth-ISACは2年前にパートナーシップを締結し(注2)、Cobalt Strikeに起因する悪質な活動を減少させるために連携した。Fortraは2025年3月7日(現地時間、以下同)のブログ投稿で「私たちの取り組みにより、野放しになっていた不正コピー版の数を80%削減した」と述べた(注3)。
このパートナーシップは、近年サイバーセキュリティ業界に属する組織と法執行機関が共同で実施している多くの取り組みの一つであり、ランサムウェアギャングに人気のツールであるCobalt Strikeの悪用を抑制することに特に焦点を当てている(注4)。
攻撃者がレッドチームのツールであるCobalt Strikeを好む理由は、それが検出を回避するのに役立つためだ。企業のセキュリティチームが、Cobalt Strikeの不正利用と、事前に承認を受けた侵入テストやレッドチームによるネットワーク内での正規利用を区別することが難しい点も関係している。
FortraおよびMicrosoft DCU、Health-ISACによるパートナーシップは、Cobalt Strikeを使った悪質な活動に関連する200以上のドメインを押収し、隔離した。Fortraにおいて研究と開発を担うボブ・エルドマン氏(アソシエイト・バイスプレジデント)は、「Cybersecurity Dive」に対して「これらのドメインは一般的に米国の管轄下にあり、取り締まりは米国の司法システムを通じて実行された」と話した。
Fortraは「このパートナーシップによってCobalt Strikeを使った悪質な活動における『滞在時間』を短縮できた」と述べている。滞在時間は、米国において1週間未満、世界全体では2週間未満に短縮された。
エルドマン氏は、電子メールで次のように述べた。
「滞在時間の短縮は、FortraおよびMicrosoft、私たちのパートナー間で構築された、識別および確認、ホスティングプロバイダーのテイクダウン通知のプロセスの自動化によるものだ」
Fortraは2024年、国際的な法執行機関の取り組みである「Operation Morpheus」を支援し(注5)、Cobalt Strikeを使った悪質な活動に関連するIPアドレスに対して行動を起こした。このオペレーションでは、27カ国で690件のIPが特定され、そのうち593件が取り下げられた。2022年には、攻撃者によって使用される不正なCobalt Strikeのバージョンを検出するために、Googleが「YARA」(マルウェアを検出するツール)のルールを公開した(注6)。
(注1)Cobalt Strike targets VMware Horizon after UK warnings of Log4Shell threats(Cybersecurity Dive)
(注2)Microsoft, Fortra & Health-ISAC Team Up to Remove Illicit Cobalt Strike Tools(Dark Reading)
(注3)Update: Stopping Cybercriminals from Abusing Cobalt Strike(Cobalt Strike)
(注4)CISA, FBI warn of Ghost/Cring ransomware attacks(TechTarget)
(注5)Europol coordinates global action against criminal abuse of Cobalt Strike(Europol)
(注6)Google's new YARA rules fight malicious Cobalt Strike use(TechTarget)
関連記事
なぜ医療機関はランサム対策に乗り出せない? 地方病院が語る“根深い課題”
医療機関を標的にしたランサムウェア攻撃が激化している。これに対して多くの病院は危機感を覚えているが、そう簡単に対策を講じられないのは業界特有の“根深い問題”が関係している。地方病院の生々しいセキュリティ実態を明らかにしよう。
「C++」存続の危機? 生みの親が安全なプログラミング言語への転換を模索
C++の生みの親であるビャーネ・ストロヴストルップ氏はC++を安全にするためにコミュニティーの協力を呼びかけた。政府や企業は安全なプログラミング言語に移行しており、メモリ安全性の問題がC++の存続を脅かしている。
セキュリティ人材不足の裏にある“からくり”と“いびつな業界構造”
セキュリティ業界の人材不足が深刻化している。専門スキルの要求は高まる一方で、実際の採用市場は厳しく、多くの求職者が職を得るのに苦労している。この背景には“いびつな業界構造”が関係していた。
無償トレーニングを提供 Googleが中小企業のセキュリティ強化に本腰
Googleは中小企業のセキュリティ強化を目的に「Japan Cybersecurity Initiative」を開始した。経産省らと連携して、基本的なセキュリティ対策を身に付けられる無償のトレーニングメニューなどを提供する。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。