Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

APT10は日本企業を標的にしている

シマンテックの新しいレポートは、ここ1年程の日本企業のインシデント発表を考えると怖いものがありました。

symantec-enterprise-blogs.security.com

この攻撃キャンペーンの規模と巧妙さから、この攻撃は大規模で十分な資金力を持つグループの仕業であることがわかります。ブロードコム (NASDAQ: AVGO) の一部門であるシマンテックは、この攻撃を Cicada (APT10、Stone Panda、Cloud Hopper としても知られています) と特定するのに十分な証拠を発見しました。Cicadaは2009年からスパイ活動に関与しており、米国政府関係者は、Cicadaとして追跡しているAPT10の活動を中国政府と結びつけています。

Cicadaは歴史的に日本に関連する組織を標的にしていることが知られており、過去にはMSPも標的にしていました。今回の攻撃キャンペーンでは、シマンテックがこれまでに見たことのないカスタムマルウェア「Backdoor.Hartip」を含むカスタムマルウェアの他に、生活に密着したツールを使用しています。この攻撃キャンペーン中に感染したマシンの中には、ドメインコントローラとファイルサーバが含まれており、感染したマシンの一部からファイルが流出した形跡があった

攻撃者はこのキャンペーンでDLLのサイドロードを広範囲に使用しており、2020年8月にパッチが当てられたZeroLogonの脆弱性を利用しているのも確認されています。

Symantec-enterpriseブログから引用)※機械翻訳

 

 

キタきつねの所感

シマンテックはCloud Analytics(AI)を使ってこの攻撃キャンペーンを検知した様です。この攻撃キャンペーンは、2019年10月中旬~2020年10月初旬まで継続されているとも分析されており、日本のみならず米国、中国、シンガポール、韓国、インド、英国、フランス、ドイツ等でも被害が出ている様です。

 

シマンテック記事より下図引用

図1.このキャンペーンの対象となったいくつかの企業の場所。 対象となるもののほとんどは、日本または日本の組織にリンクしています

 

とは言え、実名こそ出てませんがシマンテックの記事(分析)では”日本や日本企業”と関係がある企業が多数被害を受けていると書かれており、この記事の内容は、特に大手企業は把握すべきかと思います。

 

個人的に気になったのは、記事に書かれていた以下の部分です。

被害に遭った企業は、主に大規模で知名度の高い組織で、その多くが日本や日本企業とのつながりを持っていることが、被害者を結びつける大きな要因となっています。シカダは過去の攻撃キャンペーンでも、日本企業に強い関心を寄せていることが知られている。図1の地図を見ても明らかなように、今回のキャンペーンでは南アジアと東アジアが攻撃者にとって強い焦点となっている。中国政府系と報じられているグループが中国国内の企業を攻撃するのは異例だが、今回のキャンペーンの対象となった多くの企業と同様に、日本の組織の子会社が攻撃対象となっている

Symantec-enterpriseブログから引用)※機械翻訳

 

 

注意したいのが、子会社(サプライチェーン)を狙ってきているという点です。APT10の狙いは、国の支援を受けていると見られる事から、もう少し広域であると分析されていますが、特に自動車やエレクトロニクス、製造業といった辺りでは、日本でもここ1年あまりで名だたる企業が被害を発表していた事を思い返すと、日本が(も)標的となっていたと言われても何ら不思議ではありません。

・自動車、自動車産業への部品供給に関与する一部のメーカーや組織も標的にされており、これは攻撃者にとって強い関心のある分野であることを示しています。
・衣類
コングロマリット
・エレクトロニクス
・エンジニアリング
・総合商社
・政府
・工業製品
・マネージドサービスプロバイダー
・製造
・製薬
・プロフェッショナルサービス

Symantec-enterpriseブログから引用)※機械翻訳

 

攻撃手法に関して気になるのが、8月にパッチが出たZerologonの脆弱性が使われた痕跡があると書かれている所です。大企業のIT部門もすぐに脆弱性対応をしたとは思いますが、企業が対応するよりも前にAPT10が攻撃を仕掛けてきて、それが一部成功した、結果から考えるとそうした事だったと考えても良さそうです。

違う見方をすれば、緊急パッチが出たらすぐに対応しないと間に合わない(※緩和策がある場合は先に緩和策を実施する必要がある)という事が言えますし、CVE-2020-1472はJPCERTがアラートを出した際には既にマイクロソフト (Microsoft Security Intelligence) より、本脆弱性を悪用した攻撃を確認したというツイートが公開されています。」と書いていましたので、緊急パッチが出たら影響調査を同時に始めないといけない、と考える必要があるのかも知れません。

www.jpcert.or.jp

 

大企業を狙ったAPT攻撃の場合、シマンテックのレポートでも分析されていましたが、最初の取っ掛かりの脆弱性はともかく、企業内ネットワークに侵入してから偵察(横移動)を一定期間していますので、(難しい事ではあると思いますが)侵入後の怪しい行動を検知する、こうした点にも企業は注力すべきかと思います。

 

シマンテックのこのレポートは、(※日本語記事が出るのか分かりませんが)多くの日本企業が詳細を早めに見ておくべきかと思います。

 

最後に、シマンテックの記事に書かれている結びの内容を引用します。

結論
日本に関連する組織は、この巧妙で資金力のあるグループの主要な標的となっていることが明らかなため、警戒する必要があります。しかし、これらの攻撃の標的となる業種は多岐にわたるため、日本のあらゆる業種の組織がこの種の攻撃のリスクにさらされていることを認識しておく必要があります

Symantec-enterpriseブログから引用)※機械翻訳

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

放射状に割れたガラスのイラスト

 

更新履歴