トレンドマイクロの1ユーザとして、この記事が気になり、ソース記事を少し読んでみました。
japan.zdnet.com
トレンドマイクロは5月20日、ロシアのハッキング組織がウイルス対策ベンダーのデータを盗み出したとする一部報道に関連して、同社がデバッグ目的で利用する情報の一部が流出していたことを明らかにした。なお、同日時点でソースコードや顧客情報の漏えいは確認していないとしている。
この報道はBleeping Computerなどが米国時間13日に発信したもので、米Advanced Intelligenceが10日に公表した調査に関連したもの。Advanced Intelligenceによれば、「Fxmsp」を名乗るロシアのハッキング組織が行ったサイバー攻撃によって、米国に拠点を持つ3社のウイルス対策ベンダーから機密情報が盗み出されたという。Bleeping Computerは、3社のウイルス対策ベンダーの1つをトレンドマイクロと報じていた。
(Zdnet記事より引用)
公式発表 一部SNSや報道に関して | トレンドマイクロ
◆キタきつねの所感
Zdnetの記事は元々は英語サイトの記事を引っ張ってきたものの様です。そちらの方も元引用としては、2つ挙げていて、それがBleepcomputerとAdvanced Intelligenceの記事でした。朝日新聞も、これらの情報からわかりやすい記事を書いていますが、
トレンドマイクロにサイバー攻撃 ロシア系ハッカーか [サイバー攻防]:朝日新聞デジタル
なぜかBleepcomputerの5/13記事(Zdnetの記事にリンク有)にははっきりと明示されていたアンチウィルスベンダー3社の内、トレンドマイクロしか記事に登場しません。朝日新聞は5/20の記事なので少し不思議な所ですが、Bleepcomputerの記事だとハッキングされた可能性があるのが、トレンドマイクロ・マカフィー・シマンテックの3社である事が分かります。
www.bleepingcomputer.com
この記事、あるいは朝日新聞らの記者さんらの取材に対する、トレンドマイクロとしての公式見解(5/20)は、ソースコードが漏洩した事はなく、デバックコード等が漏洩しただけであると発表しています。
それでも内部からデータが漏洩したという事実は否定されてないので、トレンドマイクロもハッカーの被害を受けたのは事実の様です。
ではBleepcomputer、そのBleepcomputerが引用しているAdvIntelの記事がどう書かれているのか、元ソース(5/9に初稿が出され、5/10に更新されています)を見てみます。
まずロシア系ハッカーであるFXSMPの動きを示した図があったので引用します。
記事の主なポイントを機械翻訳をベースに書き出すと、
・FXSMPは、2017年からアンダーグラウンドで活躍する集団でロシア語と英語を使うトップクラスのハッカー集団で、プライベート企業や政府の情報への攻撃を得意としていると説明されていました。
・2019年3月にFxmspは米国のトップアンチウィルス企業から盗んだソフトウェア開発に関連する独占的なソースコードを持っており、それらを30万ドル以上で販売提供するとしていた様です。
・FXSMPは30テラバイトのデータを含むとされるフォルダのスクリーンショットを提供し、それらには開発ドキュメント、AIモデル、Webセキュリティソフトウェア、アンチウィルスソフトのべースコードに関連する情報が含まれている
このハッカー集団は地下フォーラムで6カ月間突然活動が見えなくなり、2019年4月に戻ってきて、上記の販売提供のオファーが出されていた事から、Fxmpsがアンチウィルス企業をターゲットに侵入していた事が推測されています。
攻撃手法については、上記図の中にも書かれていますが、この攻撃用に開発した機密のユーザ名とパスワードを抽出するボットネットが使われ、その外部への持ち出し戦略には、リモートデスクトッププロトコル(RDP)とアクティブディレクトリを介したネットワーク環境へのアクセスが使われたとされています。
Bleepcomputerで開示されたFxmsp内のチャットログ(ロシア語の英語翻訳)では、
Fxmsp: the [TrendMicro] access is to a local corporate network
Fxmsp: you have unfettered access in their network environment
Fxmsp: no, you can only move laterally via credentialed net shares or RDP
Fxmsp: the access sold is via TeamViewer or AnyDesk remote software
Fxmsp: their network defense does not see us b/c teamViewer and AnyDesk are legit software, and admins also use it there. That is why no questions.
Fxmsp: their [TrendMicro] network is huge and every network portion has different visibility
Fxmsp: when downloading and exfiltrating all the [TrendMicro] data it will over 1000 terabytes
Fxmsp: plus when exfiltrating all their data, it would take months, very risky to exfiltrate everything that they have
内部でのネットワーク内ローミングを誰も監視していない事が、今回の3社への攻撃をFxmspが成功した理由である事が伺えます。
この件に関して、トレンドマイクロは上記の様にソースコード流出を否定していますが、Bleepcomputerの記事では、AdvIntelが4/24にトレンドマイクロに(事件の可能性について)連絡を取った際の返信が掲載されています。
「我々は最近の主張に関して積極的な調査を行っているが、それが完了していない間に、我々が学んだことを透過的に共有したい。我々の法執行機関と密接に協力している。私たちは、第三者による単一のテストラボネットワークへの不正アクセスが行われており、低リスクのデバッグ関連情報がいくつか得られていることを認識しています。ラボを隔離し、対応するすべての環境をセキュリティで保護するために、ただちに対応が取られたため、追加情報を共有する立場にありません。しかし、追加の洞察が利用可能になり、開示される可能性がある場合は更新を提供します。」
- トレンドマイクロのスポークスマン -
(Bleepcomputer記事より引用)※機械翻訳
機械翻訳なので読みずらい所は勘弁していただくとして、まぁ、日本のトレンドマイクロの公式発表と内容的には同じ事を言っています。
こうした回答に関して、AdvIntelのセキュリティリサーチディレクターであるYelisey Boguslavskiy氏は、Fxmspのチャットログ等を元に、否定的な見解を示しています。
Boguslavskiyによると、トレンドマイクロの声明は間違っている。
「ソースコードに関するトレンドマイクロのレポートに関しては、私たちは、アクターが30 TB以上のソースコードとTrendMicroからのすべてでアクセスした実際のファイル(100 MB以上のsymファイル)の証拠を提供することができる」とBleepingComputerは言った。
(Bleepcomputer記事より引用)※機械翻訳
この内容が正しいのかどうかを私は知る術はありませんが、どうやらFxmspやそこを調査したAdvintel社はトレンドマイクロ社(や他2社)からソースコードが漏洩した事について確たるものを持っている様に思われます。
事実がどうであるかは、今後の推移を見守るしかありませんが、残念ながら、我々が多大な信頼を置いている大手アンチウィルスベンダーですら、自社のセキュリティを破られる時代である事だけは、我々も認識を強くもつ必要がありそうです。
更新履歴
