航空宇宙および防衛産業の脅威情報

航空宇宙および防衛産業を狙うセキュリティ脅威

航空宇宙および防衛産業は、次のような目的を持つ国家レベルのAPT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)グループに狙われています。

  • 知的財産の窃取。これは、自国の航空宇宙および防衛産業の発展、対抗策の開発、世界市場で需要のある兵器の開発などを目的としています。
  • 他国の防衛システムおよび防衛能力を監視するための情報の収集。これらのシステムへの侵入や妨害活動を視野に入れている場合もあります。
aerospace cyber threats

今後の脅威動向とその影響

APT攻撃グループは今後も、スポンサーである政府に軍事および経済的なメリットをもたらす情報を求めて、航空宇宙および防衛産業を標的とすると予測されます。FireEyeでは、次のような要因がこの業界を狙う攻撃の引き金となると予測しています。

  • 無人航空機や指向性エネルギー、極超音速兵器などの新たなテクノロジーは、防衛技術の近代化を図る国家による標的型攻撃の増加の引き金となります。
  • 攻撃者は、敵国に対抗するためや戦場に混乱を引き起こすために防衛技術を狙う可能性があります。重要なテクノロジーを特定し、そのプラットフォームの脆弱性を探し出せば、この目的は比較的容易に達成できます。
  • 世界規模での武器や防衛関連の取引の増大は、一部国家がサイバー・スパイ活動に乗り出す動機になると考えられます。このような国家は、窃取した他国の知的財産を利用して研究開発費を削減し、新製品を安価に販売することで、市場における競争優位性を確立しようと考えています。
  • 航空宇宙および防衛産業のサプライ・チェーンを構成するサードパーティ・パートナーも、攻撃グループに狙われやすくなる可能性があります。サプライ・チェーンの構成企業は、別の防衛関連企業のネットワークに侵入する足がかりとして利用される恐れがあります。
FireEyeは、少なくとも24の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • 航空宇宙および防衛関連部品卸売業
  • 航空宇宙関連製品および部品製造
  • 航空用エンジンおよび部品製造
  • 誘導ミサイルおよび宇宙船製造
  • 産業および軍事用コンピュータ・システム製造
航空宇宙および防衛関連企業から窃取されたデータ
  • 予算に関する情報
  • ビジネス上のやり取り
  • 設備保全に関する記録と仕様
  • 組織図と社員名簿
  • 個人を特定可能な情報
  • 製品のデザイン/設計図
  • 生産プロセス
  • 独自開発製品またはサービスに関する情報
  • 調査レポート
  • 安全手順
  • システム・ログ・ファイル
  • テスト結果とレポート

事例:航空宇宙および防衛産業の企業に対するAPT攻撃

FireEyeは、これまで、航空宇宙および防衛産業の多数の企業でセキュリティ脅威診断を実施してきました。中国の攻撃グループは、自国の航空宇宙および防衛関連企業の競争力を強化するため、または中国軍の近代化を果たすために、これらの企業を標的にしていると考えられます。

たとえば、あるグループは、防衛関連製造企業のネットワークで少なくとも7台のシステムに侵入し、通信規格に関する文書を窃取していました。ネットワークへの最初のアクセスに使用されていたのは、スピア・フィッシング・メールです。社員のEメール・アドレスが一般公開の文書に記載されていたことから、攻撃グループは、公開情報を使用して攻撃前の偵察活動を行っていたと考えられます。

また、別のグループは、数年間にわたり、ある航空宇宙関連企業のシステム300台以上を侵害していました。この間、同グループは、機密データの収集に専念していたことがFireEyeの調査で確認されています。このグループは、特定システムの偵察活動を実施し、機密データが保存されている可能性の高いディレクトリを探していました。

cyber threats to aerospace industry

マルウェア・ファミリー上位5種

FireEyeが実施した航空宇宙および防衛産業のセキュリティ侵害調査において、最も多く検知された標的型マルウェア・ファミリーは以下のとおりです。

Gh0stRAT 一般に入手可能なソースコードに由来するリモート・アクセス・ツール(RAT)です。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
PcClient C&Cサーバー経由でのコマンド実行を可能にするバックドアです。ユーザーのキー入力内容などの重要情報を収集し、ローカル・ファイルに記録する機能も備えています。多くの場合、ルートキット機能を備えており、一度感染すると検知や駆除が困難です。
ZXSHHELL (別名VIPER)中国人ハッカーのWebサイトなど、インターネットでダウンロード可能なバックドアです。ポート・スキャンの実施、キーロガーの実行、画面のキャプチャ、HTTPまたはSOCKSプロキシの設定、リバース・コマンド・シェルの実行、SYNフラッド攻撃の実施、ファイルの転送/削除/実行など、さまざまな機能を備えています。一般に入手可能なバージョンは、グラフィカル・ユーザー・インタフェースを備えており、攻撃者はこのインタフェースを介してバックドアを操作できます。
NS01 (別名Mutter)主に、Eメールの添付ファイルとして拡散しているバックドアです。プロキシに対応するほか、シェル・コマンドの実行、感染システムへのファイルのアップロード、感染システムからのファイルのダウンロードなどの機能を備えている場合があります。
WITCHCOVEN サイト訪問者のオペレーティング・システムやブラウザ、アプリケーションに関する情報の把握を目的としてプロファイリングを行うスクリプトです。FireEyeでは、このようなスクリプトを利用して、APT攻撃グループがフットプリンティング(訪問者のコンピュータ・システムや所属組織のプロファイリングの際に行われる情報収集)を実行すると見ています。

クライムウェア・ファミリー上位5種

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、航空宇宙および防衛産業で最も一般的に検知されるクライムウェアの亜種は以下のとおりです。

Upatre 主にスパム・メールやドライブバイ・ダウンロード、エクスプロイトを経由してシステムに到達するトロイの木馬型のダウンローダで、感染システム上に1種類以上のマルウェアを追加ダウンロードします。ZbotやDyre、Rovnix、CryptoLocker、Necursなど、Upatreによるさまざまな種類のマルウェアの拡散が確認されています。
Comame 感染先コンピュータへのリモート・アクセスを可能にするトロイの木馬です。キー入力内容の記録、マルウェアの追加ダウンロード、システム情報およびファイル一覧の取得、クリック詐欺を目的としたWebブラウザの操作などの機能も備えています。システム起動時に自身が自動実行されるよう、レジストリを変更または作成する場合もあります。
HOUDINI (別名H-Worm)HTTP経由で通信するVBSベースのRATです。HTTPヘッダのUser-Agentフィールドを使用して、感染システムのホスト名、オペレーティング・システム、ユーザー名などの情報を送信します。カスタムのBase64エンコードを含む複数の難読化技術を使用して、パックされているVBSファイルもあります。コマンドラインの実行やプログラムのダウンロードと実行、データの窃取など、一般的なバックドア機能を提供する複数のコマンドをサポートしています。
ANDROMEDA (別名Gamarue)キーロガー、フォーム・グラバー、またはその他の不正なソフトウェア用のドロッパーとして、さまざまな用途で使用されるトロイの木馬です。
SERVSTART (別名Nitol)バイナリの実行可能ファイルまたはダイナミック・リンク・ライブラリ(DLL)としてインストールされ、自身をサービスとして登録するトロイの木馬です。遠隔地の攻撃者は、このサービスを利用することで、リモート・サーバーへの接続、不正なファイルの追加ダウンロード/実行/インストール、システムの停止/再開、分散サービス妨害(DDoS)攻撃などの操作を行えます。このトロイの木馬は、TCPまたはUDPで通信し、同じプログラムが複数インストールされることのないよう、MUTEX付きで自身をインストールします。また、自身をアップデートまたはアンインストールする機能も備えています。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。