ブログ(脅威調査)

ゼロデイ攻撃は、技術より金銭へのアクセスがますます増加。脆弱性管理のためのインテリジェンス、パート1

サイバー脅威インテリジェンス(CTI)が果たす重要な戦略的および戦術的役割の1つは、組織のデータ、従業員、顧客を危険にさらす可能性のあるソフトウェア脆弱性の追跡、解析、および優先順位付けにあります。FireEye Mandiant Threat Intelligenceはこのブログ上で、脆弱性管理を可能にする上でのCTIの価値を取り上げ、最新の脅威、傾向、推奨事項についての新しい調査結果を4部構成にして発表します。

FireEye Mandiant Threat Intelligenceは、2019年のゼロデイの攻撃数が過去3年間のどの年よりも多いことを報告しました。すべてのゼロデイ攻撃のインスタンスが追跡中のグループに起因するわけではありませんが、広く追跡されている攻撃グループがこれらの能力を入手したように見えることに気づきました。さらに、サイバー攻撃機能を購入していると疑われるグループが悪用するゼロデイの数が経年的に著しく増加していること、中東地域の標的に対して使用されたゼロデイ、または中東との結びつきが疑われるグループが使用するゼロデイの増加を指摘しました。特に民間ベンダーがサイバー攻撃の武器を供給し続けていることから、今後は、ゼロデイを活用した攻撃グループの数が増えると予想されます。

国別およびグループ別のゼロデイ使用率

2017年後半以降、FireEye Mandiant Threat Intelligenceは、攻撃的なサイバー攻撃用ツールやサービスを提供する民間企業の顧客であると知られているか疑われているグループが活用する、ゼロデイの件数が大幅に増えたことに注目しました。さらに、中東の標的に対して、または中東との結びつきが疑われるグループによって、利用されるゼロデイ数が増加していることも観察しています。

以下のような例があります。

  • リサーチャーがStealth FalconFruityArmorと呼ぶグループは、中東地域のジャーナリストと活動家を標的にすると報告されているスパイ活動のグループです。このグループは2016年、NSOグループが販売した3件のiOSゼロデイを活用したマルウェアを使用しました。2016年から2019年まで、このグループは他のグループよりもゼロデイを多く使用しました。
  • オープンソースのSandCatという活動はウズベキスタン州のインテリジェンスと結びついていると思われ、中東地域の標的に対する攻撃でゼロデイを使用したことが観察されました。このグループは、NSOグループなどの民間企業からマルウェアを購入することによってゼロデイを入手した可能性があります。なぜなら、SandCat運用で使用されていたゼロデイは、Stealth Falcon攻撃でも使用されており、これらの別個の攻撃グループが個別に同じ3つのゼロデイを発見した可能性は低いからです。
  • 2016年と2017年にわたって、BlackOasisと呼ばれるオープンソースを言及する攻撃グループは中東の団体を主な標的としており、民間企業のGamma Groupから過去に少なくとも1つのゼロデイを入手した可能性があり、ゼロデイの脆弱性に同様の頻度でアクセスすることを実証しました。

FireEyeはまた、追跡中のグループに起因していないが、例えば、民間のセキュリティ企業が提供するツールで活用されているように思われるゼロデイ悪用の例についても注目しました。以下のような例です。

  • 2019年、WhatsAppのゼロデイ攻撃(CVE-2019-3568)が、イスラエルのソフトウェア会社であるNSOグループが開発したスパイウェアの配布に使用されたと報告されています。
  • FireEyeは、2018年のAdobe Flash ゼロデイ(CVE-2018-15982)を活用したロシアの医療組織を標的とした活動を解析しました。これは、ハッキングチームが流出したソースコードにリンクしている可能性があります。
  • 2019年10月にNSO Groupツールが、Androidのゼロデイ脆弱性CVE-2019-2215を悪用したと報告されています。

主要なサイバー大国によるゼロデイ攻撃

FireEyeは、主要なサイバー大国のスパイグループによるゼロデイの悪用を継続して観察してきました。

  • リサーチャーによると、中国のスパイグループAPT3は2016年の標的型攻撃でCVE-2019-0703を悪用しました。
  • FireEyeは、北朝鮮グループAPT37が、Adobe Flashの脆弱性CVE-2018-4878を悪用した2017年のキャンペーン攻撃を実施していることを確認しました。また、このグループは、脆弱性が開示された直後にその脆弱性をすぐに悪用できるキャパシティが増加していることを実証しました。
  • FireEyeでは2017年12月から2018年1月にかけて、欧州、ロシア、東南アジア、台湾全域の複数の産業を対象としたキャンペーン攻撃で、CVE-2018-0802を悪用した複数の中国グループを監視しました。この脆弱性に対するパッチが発行される前に、6つのサンプルのうち少なくとも3つが使用されました。
  • 2017年、ロシアのグループAPT28とTurlaはMicrosoft Office製品に複数のゼロデイを活用しました。

さらにFireEyeでは、「最も危険な国家が後援する侵入攻撃のいくつかは、公開された脆弱性を素早く悪用する能力をますます実証している」と考えています。複数のケースでは、これらの国(地域)に結び付いた攻撃グループは、開示とパッチ適用の間の時間を利用することを目的として、脆弱性を武器化し、それらを攻撃活動に組み込むことができました。

金銭目的の攻撃グループによるゼロデイの利用

金銭目的の攻撃グループは、諜報活動の攻撃グループよりも頻度は少ないながら、ゼロデイを活動に使用し続けています。

FireEyeは2019年5月に、FIN6が2019年2月の標的型侵入で、Windows Server 2019 use-after-freeゼロデイ(CVE-2019-0859)を使用したと報告しました。一部の証拠は、2018年8月以降、このエクスプロイトを使用していた可能性があることを示唆しています。オープンソースは、この集団が地下活動グループである「BuggiCorp」からゼロデイを入手した可能性があることを示唆していますが、FireEyeはこのエクスプロイトの開発または販売とこの攻撃グループを結びつける直接的な証拠を確認していません。

結論

私たちは、ここで述べたような民間企業の疑わしい顧客から出回ったゼロデイのエクスプロイトの比率に基づき推測すると、ゼロデイ悪用の可能性がますます商品化していると考えています。この原因として考えられるものは、次のとおりです:

  • これらの民間企業は、これまでよりも多くのゼロデイを生み出し、供給している可能性が高く、その結果、資金力の高いグループにゼロデイ能力が集中しています。
  • これらの民間企業は、総合能力が低いグループまたは運営上のセキュリティに対する関心が低いグループに、攻撃的な機能をますます提供している可能性があり、これにより、ゼロデイの使用が観察される可能性がより高くなります。

国家支援を受けたグループは、内部でのエクスプロイトの発見と開発を支援し続ける可能性がありますが、民間企業を通じたゼロデイの利用可能性は、国内のソリューションや地下マーケットに依存するよりも魅力的な選択肢となり得ます。その結果、FireEyeでは、こうした脆弱性へのアクセスを実証する攻撃者の数はほぼ確実に増加し、能力があって必要な資金を使うことができれば、サイバー攻撃能力全体の伸びよりも速いペースで増加すると予測しています。

4月30日のオンラインセミナーで、FireEye Mandiant Threat Intelligenceの専門家が、最新の脆弱性の脅威や傾向と推奨事項についてディスカッションいたします。ぜひ、今すぐ登録ください

出典情報:脆弱性およびゼロデイの一部は、FireEyeの調査、Mandiant侵害調査の知見、および他の技術データに基づいて特定されました。ここでは、Google Project Zeroのゼロデイ"In the Wild" Spreadsheetを含むオープンソースで考察されている脆弱性とゼロデイについても引用します。FireEyeは、この記事において使用したようにこれらのソースは信頼できると考えていますが、それらのソースの完全な知見について保証するものではありません。過去のインシデントの開示が進行中のため、この調査は依然として変更される可能性があると考えられます。

 

本ブログは、米FireEyeが公開した April 06, 2020「Zero-Day Exploitation Increasingly Demonstrates Access to Money, Rather than Skill — Intelligence for Vulnerability Management, Part One」(英語)の日本語抄訳版です。

日本語版:Reviewed by Toru Tanimura