Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

エアバス社へのAPT攻撃

エアバス社へのAPT攻撃の記事が出ていました。サプライチェーン攻撃の手法も進化しつつあるところが日本企業でも要注意かも知れません。

www.france24.com

 

欧州の航空宇宙大手であるエアバスは、ハッカーによる一連の攻撃に見舞われ商業的秘密を探すためにサプライヤーを標的にした、とセキュリティ筋はAFPに語り、中国へのリンクが疑われると付け加えた。

ハッキングの調査に関与した2つのセキュリティソースによると、過去12か月間にエアバスに対する4つの主要な攻撃がありました。

1月に、「データへの不正アクセスをもたらした」セキュリティインシデントを認めましたが、攻撃を知っている人々は、昨年の協調的ではるかに大きなオペレーションの概要を説明しました。

ハッカー、英国のエンジンメーカーRolls-Royceとフランスの技術コンサルタント会社であるExpleo、およびAFPが特定できなかったエアバスで働いているフランスの2つの請負業者を標的にしました。

エアバスロールスロイスは、AFPのコメント要求にすぐには返信しませんでした。Expleoは、それが標的にされたことを「確認も否定もしない」と述べた。

航空宇宙セキュリティのスペシャリストであるBoostAerospaceのRomain Bottanは、攻撃は、ハッカーエアバスのシステムを危険にさらすためにチェーン内の弱いリンクを探していることを示したと言いました。

(中略)

いくつかの情報筋は、APT10として知られる中国共産党に関連するハッカーのグループが攻撃の背後にいる可能性があると考えていると述べました。

米国は、APT10を中国のintelligence報機関および軍隊にリンクされた国家支援のハッカーと見なしています。

しかし、別の情報源は江蘇省沿岸地域の治安部下で活動していると考えられているJSSDとして知られる中国のハッカーの別のグループを指しています。

「JSSDは航空宇宙産業に焦点を当てています」とある情報筋は、「言語、ソフトウェア、および航空宇宙コードに精通している」人々を雇用していると説明しました。

(France24記事より引用)※機械翻訳

 

◆キタきつねの所感

エアバスへのAPT攻撃と考えて良いのかと思いますが、1年間で4回の攻撃というのはかなり執拗な攻撃と言えそうです。記事の内容は9月下旬にAFPが出していたものと同じものの様ですが、攻撃手法の部分が少し詳しく書かれているので、France24の記事内容を見ていきます。

エアバス供給企業にサイバー攻撃相次ぐ、過去1年で4回か 写真1枚 国際ニュース:AFPBB News

 

 

一つ注目すべき点は、攻撃は”弱い輪”サプライチェーン)を狙っている事です。

前々からサプライチェーンは下位が狙われると警鐘が鳴らされてきていますが、今回攻撃を受けたのはその中でもある程度セキュリティ体制があったであろう、技術コンサルティング会社のExpleo英国子会社、エンジン供給を行っているRolls-Royce社、そして名前が出てない請負業者2社と、エアバスサプライチェーンの4社であったのは警戒すべき事な気がします。

 

大規模なサイバー攻撃の事例では、米国流通のTarget社がベンダーネットワーク経由でPOSシステム網に入られた事件等が有名ですが、エアバス社の場合はより安全であるべき(普段から機密情報が交換されている)サプライヤとのVPN接続網が狙われた事を考えると、Target等より洗練された攻撃を受けたと言っても良いかと思います。

 

-VPNエントリポイント-

Expleoに対する攻撃は昨年末に発見されましたが、グループのシステムはずっと前に侵害されていた、と情報源の1つは匿名を条件にAFPに語りました。

「それは非常に洗練されていて、会社をエアバスに接続するVPNを標的にした」と情報筋は語った。

VPN(仮想プライベートネットワーク)は、従業員が会社のシステムにリモートでアクセスできるようにする暗号化されたネットワークです。

エアバスのサプライヤは、飛行機メーカーの同僚とリンクするVPNで動作する場合があります。

他の攻撃も同じ方法を使用し、最初の攻撃は、以前はAssystemとして知られていたExpleoの英国子会社、およびエアバス飛行機のエンジンを提供するRolls-Royceで検出されました。

いくつかの情報源によると、ハッカーエアバス航空機のさまざまな部分の認証プロセスに関連する技術文書に関心があるようです。

彼らはまた、いくつかの盗まれた文書は、世界で最も強力なプロペラエンジンのいくつかを備えたエアバス軍用輸送機A400Mのエンジンに関連していると述べました。

(France24記事より引用)※機械翻訳

 

攻撃で入手しようとしていた技術的情報は、軍事機密を含むエンジン関連の情報であったり、認証プロセスですので・・外部ハッキング等を意識していたものなのかも知れませんが、更なる攻撃の脆弱点を探る動き(ラテラルムーブメント)だったのかと思います。

 

BoostAerospaceのBottan氏は、「航空宇宙セクターは、主にスパイやこの業界から金をtoけようとする人々を通じて、サイバー攻撃に最も苦しんでいるセクターです。」

また、エアバスには重大な産業上のリスクがあり、ハッカーは生産に影響を与える戦略的サプライヤーの生産をノックアウトできる可能性があります

「誰かが生産を遅くしたいなら、彼らは重要なサプライヤー、彼らの役割においてユニークな単一のソースを迅速に特定することができます」とある専門家は言いました。

ベルギーの航空宇宙設計および製造会社のASCOは、今年初めにマルウェアに起因する主要なITメルトダウンが発生し、そのシステムを復元するのに1か月かかりました。

その事件はエアバスの生産を襲った。

(France24記事より引用)※機械翻訳

 

このASCOのランサム被害が、一連のAPT攻撃に関連したものであったかどうかは不明ですが、日本の航空宇宙産業、および自動車等の製造業も・・・エアバスVPN接続までAPTで狙われたという事実をよく理解し、同じような穴が無いかどうか自社のサプライチェーンのセキュリティ体制を再チェックすべき時期に来ていると言えるかも知れません。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

プライベートジェットのイラスト


 

更新履歴

  • 2019年10月5日PM(予約投稿)