ファイア・アイ、イランのハッカー集団「APT33」の 活動内容と技術詳細を明らかに

~エネルギーと航空業界が標的に~

インテリジェンス主導型のセキュリティ企業、ファイア・アイ(FireEye、本社:米国カリフォルニア州ミルピタス、日本法人:東京都千代田区、代表:西村隆行)は本日、潜在的な破壊能力を持つイランのハッカー集団「APT33」の詳細を発表しました。

APT33は遅くとも2013年頃よりサイバースパイ活動を展開しており、ファイア・アイはイラン政府が背後にいる可能性が高いと分析しています。この情報は、FireEye® Mandiant®インシデント・レスポンスのコンサルタントが最近行った調査と、FireEye iSIGHT® 脅威インテリジェンスの分析を組み合わせることで得られたもので、今回APT33の活動内容、サイバー能力と動機を明らかにしています。

標的対象
APT33が標的としているのは、米国、サウジアラビア、韓国を拠点とするさまざまな業界の企業です。軍事部門と商業部門の両方に関係する航空業界の企業や、石油化学生産と関連のあるエネルギー業界の企業に対し、同グループはとりわけ高い関心を示しています。

2016年半ばから2017年前半にかけて、APT33は米国の航空企業に不正アクセスしたほか、航空部門を擁するサウジアラビアのコングロマリット(複合企業)も標的としました。また、同期間中には、石油精製・石油化学に関わる韓国企業も標的としています。さらに2017年5月には、サウジアラビア企業と韓国のコングロマリットを標的にしたとみられ、その際にはサウジアラビアの石油化学企業の求人を装った内容で悪質なファイルを送りつけていました。

サウジアラビア企業が標的となった背景として、ファイア・アイのアナリストは、中東地域の競合について洞察を得る目的であったと考えています。一方、韓国企業が標的となった原因は、イランの石油化学業界と韓国のパートナーシップや、韓国とサウジアラビアの石油化学企業との関係などが考えられます。APT33がこれらの企業を標的とした目的は、自国の石油化学生産の拡大と、中東地域内の競争力向上だと考えられます。

スピア・フィッシング攻撃
APT33は、航空業界の従業員に対し、スピア・フィッシング・メールを送りつけていました。これらの電子メールには、求人情報に見せかけた、悪意あるHTMLアプリケーション・ファイルへのリンクが記載されていました。このファイルには、標的とする個人に関連性が高いと思われる、正規の人気求人サイトの求人票のリンクと職務内容が記載されていました。

APT33の運営者が、シェルのフィッシング・モジュールをデフォルト値のままにしていた事例も少数ありましたが、これは過ちだったと思われます。デフォルト値の電子メールが送られた数分後には、デフォルト値を削除した電子メールが同じ相手に送信されていました。

ドメインのなりすまし
APT33が登録した複数のドメインには、サウジアラビアの航空会社や欧米企業になりすましたものが存在していました。これらの企業は、サウジアラビアの軍用機・商用機の訓練・保守・支援でパートナーシップを締結しています。動向を観察した結果、APT33は、被害者の企業を標的としたスピア・フィッシング・メールで、こうしたドメインを悪用していたと思われます。

イランへ政府とのその他の結びつき
APT33が標的としている航空業界やエネルギー業界は国家の利益と緊密な結びつきがあり、これは脅威グループが政府の支援を受けている可能性が高いことを示唆しています。さらに、活動の時間帯もイランの営業時間と合致しており、イランのハッカーツールやネームサーバーを複数使用している点からも、APT33はおそらくイラン政府の意向により活動しているとファイア・アイはみています。

ファイア・アイのインテリジェンス分析担当ディレクターであるJohn Hultquisは、次のように述べています。「イランはこれまで再三にわたり、サイバースパイ能力を世界で悪用する意欲を示してきました。このサイバー能力の積極的な活用と、変化する地政学的状況は、APT33が中東および世界中の政府・組織に対する脅威であることを明確に示しています。同グループおよびそのサイバー能力を特定することで、組織は関連する脅威を事前に検知し、対応できます」

APT33に関するより詳細な技術情報については、関連ブログ(英語)をご参照ください。

Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware

FireEye(ファイア・アイ)について
FireEyeはインテリジェンス主導型のセキュリティ企業です。顧客企業は、FireEyeの革新的セキュリティ技術、国家レベルの脅威インテリジェンス、世界的に著名なMandiant®コンサルティングの知見が統合された単一プラットフォームを、自社のセキュリティ対策の一部としてシームレスに組み込むことができます。このアプローチにより、FireEyeは準備、防御、インシデント・レスポンスといった、組織がサイバー攻撃対策をするうえでの課題となっていた複雑性や負担を解消します。FireEyeは「Forbes Global 2000」企業の4割以上を含む、世界67か国以上の6,000を超える組織で利用されています。

FireEyeウェブサイト

 

【報道関係の方からのお問い合せ先】
ファイア・アイ広報事務局(ホフマンジャパン株式会社内)
担当: 小倉 / 上田 / 田中
TEL: 03-5159-5750
Email: FireEye_PR@hoffman.com

 

# # #

 

FireEye, Mandiant, iSIGHTはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。