サイバー攻撃者集団「Pawn Storm」は、2017 年後半も諜報活動を目的とする積極的なサイバー攻撃を続けていました。Pawn Storm は「Sednit」、「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM」という別名でも知られています。通常、Pawn Storm の攻撃には過去の事例との関連が見られ、新しい攻撃で利用された技術やその動機を注意深く調べていくと、以前の攻撃とのつながりが浮かび上がってきます。
Pawn Storm は 2015 年以来、フランス、ドイツ、モンテネグロ、トルコ、ウクライナ、米国の政治団体に対する攻撃を続けてきましたが、2017 年後半にも政治団体を狙った攻撃が再び確認されています。この間、技術的な面で革新的な変化は見られていませんが、入念に準備された大胆で持続的な攻撃に対抗することは容易ではありません。Pawn Storm は、さまざまなソーシャルエンジニアリングの手法や、マルウェアおよび脆弱性攻撃からなる一連のツールを保有しており、まれに更新プログラム公開直後にソフトウェアの脆弱性を悪用した独自のゼロデイ攻撃を実行することを別にすると、既存の技術や手法を巧妙に利用して攻撃します。
トレンドマイクロは、2017 年後半、Pawn Storm がいくつかの組織に対して標的型サイバー攻撃および認証情報を窃取するためのフィッシング攻撃を仕掛けたことを確認しています。過去数年間にわたって彼らの手法は非常に一貫しており、いくつかの技術的な手口が繰り返し利用されています。その一例として、2017 年 8 月と 9 月に米 Yahoo! のユーザに送信された政治的な話題のメールで利用された「Tabnabbing(タブナビング)」が挙げられます。タブナビングはユーザが気付かないうちにブラウザのタブをフィッシングサイトに変更する手法です。トレンドマイクロはこの手法について 2014 年に初めて解説しています。
トレンドマイクロは 4 年以上にわたって Pawn Storm の情報を調査し、過去と現在の攻撃の間に密接な関連を確認しています。おそらく同集団の攻撃者はマニュアルに沿って攻撃を組み立てていると考えられます。大規模な攻撃には慎重な管理が必要なため、そのような手法は理にかなっています。図 1 と図 2 は 2017 年 10 月と 11 月に特定の組織に宛てて送信された典型的なフィッシングメールです。図 1 のメールは、グループウェア「Microsoft Exchange」から送信されたパスワードの期限切れに関する通知に偽装しています。図 2 は Microsoft が提供するオンラインストレージ「OneDrive」に新しいファイルが追加されたという通知を装っています。
図 1:Pawn Storm が 2017 年 10 月と 11 月に送信したフィッシングメール
図 2:Pawn Storm が 2017 年 11 月に送信した認証情報を狙うフィッシングメール
※情報源の特定を避けるため、標的となった組織のロゴを削除し色を変更しています。
これらのフィッシングメールには高度な技術が利用されているようには見えません。しかし、窃取した認証情報は、メール受信箱からの機密情報の窃取など、さらなる攻撃の起点として利用されます。トレンドマイクロは、2017 年 10 月下旬と 11 月上旬の攻撃で標的の 1 つとなったオランダのある NGO と協力し、2回とも攻撃の被害を防ぐことに成功しました。1 度目の攻撃では実際のフィッシングメールが送信される 24 時間前に注意喚起することに成功し、2 度目の攻撃では認証情報を狙った専用のフィッシングサイトが構築されてから 2 時間以内に同 NGO に警告を出すことができました。
■冬季オリンピック競技に関連した団体が標的に
トレンドマイクロは、 2017 年後半、国際アイスホッケー連盟、国際スキー連盟、国際バイアスロン連合、国際ボブスレー・スケルトン連盟、国際リュージュ連盟のような冬季オリンピック競技に関連した国際団体が標的となったことを確認しています。注目すべきことに、2017 年後半はこれらの団体が何人かのロシア人選手をオリンピックから永久追放した時期と重なってます。Pawn Storm は 2016 年にも「World Anti-Doping Agency(世界アンチ・ドーピング機構、WADA)」や「Tribunal arbitral du sport/Court of Arbitration for Sport(スポーツ仲裁裁判所、TAS/CAS)」への攻撃で一定の成果を収めています。Pawn Storm は当時、直接または間接的に主要メディアに接触し報道内容に影響を与えました。
■標的となった政治団体
2017 年のイラン大統領選挙に合わせて、Pawn Storm は Web メール「chmail.ir」のユーザを標的とするフィッシングサイトを立ち上げました。トレンドマイクロは、大統領選挙の前日である 2017 年 5 月 18 日、認証情報の窃取を目的として Pawn Storm が chmail.ir のユーザにフィッシングメールを送信した証拠の収集に成功しています。弊社は以前にも、フランス、ドイツ、モンテネグロ、トルコ、ウクライナ、米国の政治団体を狙った同様の標的型サイバー攻撃について報告しています。
2017 年 6 月、米国上院で使用されている Active Directory の ID 連携サービス「Active Directory Federation Service(ADFS)」に偽装したフィッシングサイトが立ち上げられました。トレンドマイクロはこれらのフィッシングサイトの電子指紋とほぼ 5 年間にわたる大規模な情報を比較することによって、これらのフィッシングサイトと2016 年および 2017 年におけるいくつかの Pawn Storm による攻撃事例との関連を確認することができました。米国上院の本物の ADFS サーバはインターネットに公開されていませんが、ファイアウォールの向こう側にある ADFS サーバの認証情報を狙うフィッシング攻撃には意味があります。攻撃者がすでに 1 つのユーザアカウントを窃取して標的の組織に足がかりを築いていた場合、フィッシング攻撃によって窃取した認証情報を利用して目的とする重要人物に接近できるかもしれないからです。
■政治的な動機に基づく活動の今後
不正に政治的な影響を及ぼす活動が近い将来に無くなることはいでしょう。政治団体は、有権者や報道機関、一般市民と開かれたコミュニケーションを取る必要がありますが、それは同時にハッキングや標的型メール攻撃に対して弱みをさらすことでもあります。加えて、ソーシャルメディアを通して世論に影響を与えることは比較的容易です。ソーシャルメディアはこれからも一般ユーザによるインターネット利用の大部分を占め、広告主が消費者にメッセージを伝えるプラットフォームであり続けるでしょう。
このような状況において、ソーシャルメディアのアルゴリズムは悪意を持ったさまざまな攻撃者による不正利用の影響を受けやすいと言えます。フェイクニュースやうわさを拡散しながら窃取した情報をソーシャルメディアに公開する手法は攻撃者にとって強力なツールとなります。人々に影響を与える活動を成功させることは比較的容易に思われるかもしれませんが、綿密な計画、持続性、そして資源を必要とします。ソーシャルメディア上でフェイクニュースを拡散するツールのように、基本的なツールやサービスが既にアンダーグラウンド市場で提供されています。
Pawn Storm に関するリサーチペーパーで解説したように、国内外の関心事や政治に影響を与えることを目的とした活動を開始する他の攻撃者も出てくるかもしれません。近い将来、発展途上国の攻撃者が同様の手法を素早く学習し、攻撃に利用する可能性もあります。トレンドマイクロは 2016 年に、インド軍を標的とするサイバー諜報集団「C Major」に関するリサーチペーパー(英語)を公開しています。C Major の活動を詳細に調査した結果、この集団はインド軍を攻撃するだけでなく、イランの大学や、アフガニスタンおよびパキスタンの標的に特化したボットネットを利用していることも判明しました。また、C Major が西側諸国の軍事および外交への攻撃に興味を示していることも最近確認されています。C Major のような集団が、他の国の世論に影響を与えることを意図した活動を開始するのも時間の問題に過ぎません。
オリンピックや各国の重要な選挙が控える 2018 年にも Pawn Storm の活動は続くと考えられます。サイバープロパガンダおよびサイバー恐喝の手法が利用され続けている状況を踏まえ、トレンドマイクロは Pawn Storm やそれに類似した攻撃者による標的型攻撃活動の監視を続けていきます。
■侵入の痕跡(Indicators of Compromise、IoC)
- adfs[.]senate[.]group
- adfs-senate[.]email
- adfs-senate[.]services
- adfs.senate[.]qov[.]info
- chmail.ir[.]udelivered[.]tk
- webmail-ibsf[.]org
- fil-luge[.]com
- biathlovvorld[.]com
- mail-ibu[.]eu
- fisski[.]ca
- iihf[.]eu
参考記事:
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)
