シリーズ第1回「侵入するための偵察活動」でご紹介した通り、攻撃者は攻撃対象をありとあらゆる面から調べ上げ、偵察活動を通じて使えそうな情報を手に入れようとします。一方で偵察活動を含めてターゲットを絞り込む段階では足掛かりとなるものが必要となります。この足掛かりは実際の侵害行為にも流用されるものが含まれます。シリーズ第2回の今回は、攻撃者が足掛かりとして何を用意するか、その事例をお伝えします。
足掛かりの種類
大きく足掛かりとなるものの種類を分類すると以下の通りになります。
アクセス手段の取得
- 対象のシステム・ネットワークへの正規アクセス手段の購入・取得
- アカウントの侵害(対象は最終的な被害者とは限らない)
- アカウントの作成
偵察活動・攻撃のためのインフラ・機能の準備
- 偵察活動・進入用のインフラストラクチャの用意
(自前、レンタル、リース、サードパーティーからの奪取など) - 各種機能の自主開発
- 各種機能の入手
- 開発・入手した機能のステージング
アクセス手段の取得の例
アカウントの侵害やなりすましによるアカウントの作成、ネットワークアクセスの取得や購入、といった手法が明らかになっていないものも含めると、アクセス手段を取得する手法は多くの脅威アクターやランサムウェアギャングが採用していると考えられます。アカウントの侵害・作成もメールアカウントやクラウドアカウントなど即攻撃につながるものもあれば、SNSのアカウントを侵害・作成することで別人になりすます、架空のペルソナを手に入れる、といったものまで幅広い手法があります。こういったSNSアカウントからのDM(ダイレクトメール)などを介して、Microsoft 365のログイン情報を窃取するためのフィッシングサイトのリンクを送り、その後の侵害に悪用する手法*1も存在しています。
最近の事例
次の事例は実際の攻撃の初期アクセスに当たる可能性もありますが、攻撃者による事前の足掛かりづくりとしてもアクセスの取得が悪用されている可能性があることから参考として掲載します。
香港消費者委員会に対するALPHVランサムウェア攻撃
2023年9月4日に管理者の認証情報を窃取し、その情報を悪用されたとの報道がある*2
- 米CISAからもフィッシングによる偵察活動と並んで侵害されたアカウントを悪用した攻撃について注意喚起がされている*3
- なお、本件では過去にセキュリティインシデントを経験していたにもかかわらず、多要素認証(MFA)が未実装だったとの指摘もある*4
2024年9月19日~20日にかけてランサムウェアが展開され、環境内の80%のアセットがダメージを受けたことが発表されている*5
漏洩したとされる情報は以下の通り
- 職員の個人情報(離職者を含む)、職員の家族の個人情報、採用応募者の個人情報
- メールマガジンの購読者の情報(クレジットカード情報を提示した購読者8000人の情報も含まれる)
- 不服申し立てや通報を行った人の情報
- 取引先の情報
次の事例は実際の攻撃や被害に至っていないケースですが、場合によってはランサムウェア攻撃やマルウェアによる被害にもつながる可能性があること、ペルソナ(人格)のなりすましによる足掛かりづくりとしてわかりやすいことから一例としてご紹介します。
北朝鮮のIT技術者なりすましによる就労*6
外国人の身分証明書を悪用しなりすましを行った北朝鮮のIT技術者が米国で就業していた事例
- 採用を行った米国や企業に、米国内の信頼されるIPアドレスからアクセスするが、そのIPアドレスの配下にはラップトップファームが存在し、そこへ北朝鮮からVPN経由でIT技術者(おそらく複数人)がリモートアクセスし、まるで1人の技術者が作業しているように見せかけていた
- セッション履歴ファイルの操作、潜在的に有害なファイルの転送、社内規則で不正とされるソフトウェアの実行やマルウェアの実行を試みた形跡があった
米国と韓国からは2022年以来注意喚起が行われており、最新のものは2023年10月に公開されている*7。この中では米国と韓国の法人への注意が呼びかけられている
実際にこの事例に遭遇した企業からは以下のような情報が提供されている
- 今回の事例は他人へのなりすましのためにディープフェイク画像を用いてビデオ通話でのインタビューに対応していたことが判明している
- 従来、北朝鮮のIT技術者はテキストベースのコミュニケーション偏重で、ビデオ通話に応じないとされていた
- ソーシャルメディアを通じた本人確認プロセスや、メール以外でのリファレンスチェックの追加
- 上記を含めたQ&Aが人事部門向けに公開されている*8
偵察活動・攻撃のためのインフラ・機能の準備の例
多くの脅威アクターは、正規のドメインや正規ドメインと紛らわしいドメイン(使用する文字セットの関係で同じように見えるが実際は異なるドメイン)などを使用してC2サーバ注 1)を構築、マルウェアを配信、フィッシング用のWebサイトを立ち上げるといったことを行います。こういったドメインはAPT攻撃、ランサムウェア攻撃ともに用いられ、侵害情報(IOC:Indicator of Compromise)の一部として共有されることもあります。
脅威アクターは様々な手法で自分たちの存在を隠しながら活動を行います。具体的には、正規のホスティングサービスやレンタルサーバ、正規のドメインレジストラ(ドメインを登録する事業者)などを利用する、正規のWebサービスに見せかけた偽物を用意する、正規のWebサービスに正規ユーザとして登録する、正規のVPSサービスを利用する、巧妙な偽広告を使ってターゲットをマルウェアのダウンロードサイトに誘導するといった手法があります。
最近の事例
脅威アクターが正規のWebサービス、この場合はGitHubに正規ユーザとして登録した事例として、XZ Utilsへのソフトウェアサプライチェーン攻撃が挙げられます。
XZ Utilsへのソフトウェアサプライチェーン攻撃
XZ Utils*9は各ディストリビューションでも広く使用されているオープンソースのLinuxの圧縮ユーティリティ。このユーティリティにバックドアが仕込まれたことが本事件の核となる。
- 対象となるバージョンが限定的だったことや発見が早かったこともあり、本攻撃による具体的な被害は出ていない
脅威アクターは正規のGitHubユーザーアカウントを使用し、長期間かけてメンテナーからの信頼を獲得し、共同メンテナーとなる*10。
2024年3月に脅威アクターがSSHセッションへのリモートアクセスを可能とし、リモートコード実行が可能となるバックドアを仕込んだバージョンをリリース*11
- リリース後、Microsoftのエンジニアが偶然バックドアを発見・報告し、ただちに対象バージョンの配布を停止
- バックドアは脅威アクターが持つ秘密鍵を利用してSSHへアクセスし、任意コードの実行が可能となるものであった
VPSや偽広告を悪用した事例としてはPlayランサムウェアによる攻撃が挙げられるでしょう。
Playランサムウェアによる攻撃
環境内にランサムウェアを展開するまでの行動として以下の手法が知られている*12
- ボイスフィッシング(ビッシング)の手法を使用して脅威アクターのデバイスをMFAデバイスとして登録する
- リモートアクセスソフトウェア・AnyDeskを使用してアクセスを行う
- PsExecを使用することで複数のエンドポイントでのセキュリティツールを無効化する
- Windowsの資格情報を様々な場所から収集したうえで複数のドメインコントローラーを侵害する
SurfSharkのVPNやBlueVPSのVPSに紐づくIPアドレスを利用したことが確認されている*13
偽広告を利用し、タイポスクワッティング注 2)されたドメインを使用してWinSCPとPuttyの偽インストールサイトへ誘導し、マルウェアをダウンロードさせる*14といった行動をとっていたことが確認されている。
正規のドメインレジストラからドメインを取得している脅威アクターもいます。
Star Blizzard(APT)によるドメインレジストラを使用したドメインの取得
具体的な攻撃につながっているわけではないが、2024年1~8月だけでもリンク先のドメインを取得していることがわかっている。
なお、利用されたレジストラには日本のレジストラも含まれている。
足掛かりの一覧
最後にMITRE ATT&CKのResource Developmentとしてまとめられている足掛かりの一覧を掲載します。
表の見方
第1回「侵入するための偵察活動」を参照
弊社では11月20日(水)13:50より、「中小企業に迫るランサムウェア!サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT&CKについて、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら。
| ID | 名前 | 備考 | |
|---|---|---|---|
| T1650 | アクセス手段の取得・購入 | 備考システム・ネットワークへのアクセス手段は、ダークウェブ上などのブローカーから取得・購入するといったものがある。 | |
| T1583 | インフラストラクチャの取得 | 備考攻撃者は多種多様なインフラストラクチャ(多くは正規のサービス)を利用する。場合によってはお試し目的で無料期間が設定されているサービスを使うことも。 | |
| 0.001 | ドメイン | ||
| 0.002 | DNS サーバ | ||
| 0.003 | 仮想プライベートサーバ | ||
| 0.004 | サーバ 注 3) | ||
| 0.005 | ボットネット 注 4) | ||
| 0.006 | ウェブサービス 注 5) | ||
| 0.007 | サーバーレス | ||
| 0.008 | マルバタイジング 注 6) | ||
| T1586 | アカウントの侵害 | 備考攻撃者は実在する人のメールやクラウドサービスのアカウントだけでなく、SNSアカウントも侵害し悪用する。そのオンラインペルソナ(人格)を活用しソーシャルエンジニアリングに組み込むことも含まれる。メールアカウントの侵害では情報窃取やフィッシング、スパムの送信、さらにはドメイン取得への悪用も確認されています。また、クラウドサービスのアカウントの侵害はデータの流出に加え、マルウェアを含む攻撃ツールのダウンロード実行に用いられることがある。 | |
| 0.001 | ソーシャルメディアアカウント | ||
| 0.002 | メールアカウント | ||
| 0.003 | クラウドアカウント | ||
| T1584 | インフラストラクチャの侵害 | 備考攻撃者自らがインフラストラクチャを購入・リース・レンタルなどの手段で取得する代わりに、サードパーティーのインフラストラクチャを侵害するもの。 | |
| 0.001 | ドメイン 注 7) | ||
| 0.002 | DNS サーバ | ||
| 0.003 | 仮想プライベートサーバ | ||
| 0.004 | サーバ | ||
| 0.005 | ボットネット | ||
| 0.006 | ウェブサービス 注 8) | ||
| 0.007 | サーバーレス | ||
| 0.008 | ネットワークデバイス 注 9) | ||
| T1587 | 機能の開発 | 備考攻撃者自身が対象者への足掛かりとして開発・用意するものを指す。 | |
| 0.001 | マルウェア | ||
| 0.002 | コード署名証明書 | ||
| 0.003 | デジタル証明書 | ||
| 0.004 | エクスプロイト(攻撃コード) | ||
| T1585 | アカウントを確立する | 備考作戦に利用するために新しいアカウントを確立するもの。攻撃者は架空のペルソナ(人格)を構築するためのソーシャルメディアアカウントを作成、またソーシャルエンジニアリングやフィッシングを実施するための新しいメールアドレスを作成し、ドメインの取得や乗っ取りに活用する。 | |
| 0.001 | ソーシャルメディアアカウント | ||
| 0.002 | メールアカウント | ||
| 0.003 | クラウドアカウント | ||
| T1588 | 機能の獲得 | 備考攻撃者自身が機能開発を行わず、必要なツールを購入または窃取するもの。これには悪意のあるツールやエクスプロイトのダウンロードなどといったものから、善意によって公開されているエクスプロイトや脆弱性情報を悪用するもの、さらに正規の商用ソフトウェアを不正に入手して悪用するケースまで多種多様なものがある。また、TLS証明書やコード証明書の窃取や購入を行うものもあり、ソフトウェアの実行の際に作成者の証明を行う。近年では、生成型人工知能ツールを悪用しディープフェイク画像を犯罪に使用したケースや誤ったデータを投入することで学習データを汚染するデータポイズニング注 10)などの例もあり、脅威として懸念される。 | |
| 0.001 | マルウェア | ||
| 0.002 | ソフトウェアツール | ||
| 0.003 | コード署名証明書 | ||
| 0.004 | デジタル証明書 | ||
| 0.005 | エクスプロイト | ||
| 0.006 | 脆弱性 | ||
| 0.007 | 人工知能 | ||
| T1608 | ステージング | 備考攻撃者が通常の開発と同様に開発・獲得した機能をステージング環境で機能・動作の確認を行う。具体例として、ドライブバイダウンロード注 11)やドライブバイコンプロマイズ注 12)の準備段階として訪問ユーザの環境情報を取得するドライブバイターゲット、ユーザにリンクをクリックさせて情報を取得するリンクターゲット、検索エンジン最適化(SEO)を汚染することでターゲットとするユーザのブラウザに悪意のあるサイトが表示される確率を上げるSEOポイズニングといった手法などが含まれる。 | |
| 0.001 | マルウェアをアップロードする | ||
| 0.002 | アップロードツール | ||
| 0.003 | デジタル証明書をインストールする | ||
| 0.004 | ドライブバイターゲット | ||
| 0.005 | リンクターゲット | ||
| 0.006 | SEOポイズニング | ||
出典:MITRE ATT&CK®(https://attack.mitre.org/tactics/TA0043/)を元に弊社和訳、備考欄追記
注:
1) コマンドアンドコントロール(C&C→C2)サーバ。外部から侵害システムと通信を行い、命令と制御を行う目的で用いられる。
2) ユーザがブラウザにURLを打ち間違えることを利用して、打ち間違えたURLを持つサイトを用意することで正規サイトに見せかける手法
3) サーバのリース・レンタルやホスティングサービスの利用を行うことがある
4) ボットネットは強調タスクを実行できる侵害されたシステムで構成されるネットワークを指す。代表的なボットネットにはMiraiがある。攻撃者はボットネットを利用して大規模フィッシングや分散型サービス拒否(DDoS)などの攻撃を実行することが可能となる。
5) 正規のウェブサービスや正規のウェブサービスを騙ったページ(多くはフィッシング目的のもの)が該当する
6) 日本でも問題になっている偽広告のこと。Malicous(悪意ある) Advertising(広告)からの造語。
7) ドメイン乗っ取りが該当
8) 正規のウェブサービスの侵害が対象(アカウントの侵害ではなくサービス自体の侵害)。Googleドライブのレポジトリを侵害したケースや、WordPressサイトを侵害してC2サーバとして悪用した事例などがある。
9) 小規模オフィス/ホーム オフィス (SOHO) ルーターなどのネットワーク デバイスを侵害して、隠れ蓑にするケースがある
10) ディープフェイク画像を使用した事例は本文を参照。データポイズニング自体の大規模な悪用事例はないが、同意なしの画像の学習に関して同意しないアーティストたちの権利保護のためにシカゴ大学がAIの学習モデルの欠陥を利用して作ったNightshadeが、手法としてデータポイズニングを実行しているといえる。
11) Webサイトを訪問したユーザにマルウェアをダウンロードさせる攻撃手法
12) 正規のWebサイトを侵害して訪問者のデバイスにマルウェアをダウンロードさせる攻撃手法
ウェビナー開催のご案内
【好評アンコール配信】
「Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-」
【好評アンコール配信】
「インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-」
最新情報はこちら
Security Report TOPに戻る
TOP-更新情報に戻る
