建設およびエンジニアリング業界の脅威情報

建設およびエンジニアリング業界を狙うセキュリティ脅威

建設およびエンジニアリング業界の企業は、APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)1のリスクにさらされています。APT攻撃グループの主な目的を以下に示します。
  • 国有企業と国内の建設およびエンジニアリング業界の発展を促進する技術革新、専門知識、プロセスに関する知的財産の窃取。
  • 政府やインフラ、大規模な都市開発など、注目度の高いプロジェクトを進める外国企業のデータへのアクセス。国内プロジェクトの推進に利用できる情報を、スポンサーである政府に提供する目的で行われます。
  • 国外の競争相手の監視。関係する国有企業が入札で受注、あるいは競争相手を出し抜くため、または攻撃活動の資金源となっている政府が外国企業との協業を検討している場合には交渉を有利に進め、金銭面で最適な条件を勝ち取る目的で行われます。
建設およびエンジニアリング業界を狙うセキュリティ脅威
今後の脅威動向とその影響

製造からエネルギー、運輸、航空宇宙、防衛まで、さまざまな業界に関わる建設およびエンジニアリング業界が、国家が資金源となっているサイバー・スパイ活動に従事する攻撃者に今後も狙われる可能性は極めて高いと考えられます。FireEyeでは、発展途上国における都市化およびインフラへの投資拡大も、同業界を狙った攻撃の増加につながると予測しています。攻撃者のスポンサーである政府が、このような取り組みやコスト削減に役立つ情報を入手しようと試みるためです。資金源となっている自国政府の意向に沿って、攻撃者が標的の企業の知的財産やビジネス情報を窃取する事例は頻繁に確認されています。このような情報は、建設業務の効率化を実現する革新的な素材の利用、販売など、将来的な競争力を国内企業にもたらします。

 

FireEyeは、少なくとも25の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • 建築およびエンジニアリング関連サービス
  • 建築および構造用金属材料製造
  • 商用設備の修理およびメンテナンス
  • 商用および重量構造物の建設業者
  • 建設機械製造
  • 電子機器の修理サービス
  • 電子検査および監視器具製造
  • エンジニアリング、科学、およびCAD/CAMソフトウェア
  • エンジニアリング関連サービス
  • 砂防関連企業
  • 金属製品製造
  • 産業用制御機器製造
  • 機械製造
  • 金属バルブおよびパイプ・フィッティング製造
  • 鉄鋼生産
  • タービン製造
建設およびエンジニアリング企業から窃取されたデータ
  • ビジネスおよび財務関連文書
  • 政府のブリーフィング、レポート、記録
  • 人事関連文書
  • 内部のやり取り
  • 法務関連文書
  • ネットワーク・インフラの関連文書
  • 製品のデザイン、設計図、説明書、トレーニング資料
  • テスト結果とレポート

 


事例:産業用エネルギー設備メーカーから重要情報を窃取する攻撃グループ

FireEyeでは以前、産業用エネルギー設備メーカーに対して行われたセキュリティ侵害を調査し、デフォルトの認証情報で運用されていた公開Webサーバーが侵入口となっていた事実を突き止めました。攻撃者は、サーバーにWebシェルをインストールし、このWebシェル経由でシステムにリモート・アクセスしていたのです。ドメイン・アカウントの認証情報とネットワーク情報を窃取した攻撃者は、ネットワーク内を水平移動しながら、重要情報を入手。その情報を暗号化RARファイルに圧縮して、外部に送信していました。この攻撃活動は、メーカーが問題に気付いて対処するまでの間、2か月にわたって続けられていました。


建設業界の企業で検知されたマルウェア

主要なマルウェア

FireEyeが実施した建設およびエンジニアリング業界のセキュリティ侵害調査において、最も多く検知された標的型マルウェア・ファミリーは以下のとおりです。

LEOUNCIA ファイルのアップロードとダウンロード、実行可能ファイルの実行、任意のシェル・コマンドの実行、プロセスのリストアップと停止、ディレクトリのリストの入手、HTTPリクエストを使用したC&C(指令)サーバーとの通信が可能なバックドアです。
LV (別名NJRAT)一般に入手可能なリモート・アクセス・ツール(RAT)です。キー入力内容の記録、認証情報の収集、リバース・シェルへのアクセス、ファイルのアップロードとダウンロード、ファイルやレジストリの改ざんを行います。また、攻撃者が新しい亜種を作成する際に使用する「ビルダー」機能も備えています。
GH0STRAT 一般に入手可能なソースコードに由来するRATです。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
9002 (別名HOMEUNIX)ダウンロードしたプラグインを実行するための汎用的なランチャーです。通常、プラグインはメモリのバッファに格納された後、このバックドアによって読み込まれてリンクされるため、ディスクには保存されません。ただし、メモリに格納されたプラグインがディスクに保存されるケースもあります。その場合、プラグインはシステムの再起動時に実行されるため、攻撃者はプラグインを繰り返し標的のシステムに送り込む必要がありません。
SpyNet 一般に入手可能なRATです。攻撃者はこのRATを使用して、リモート・シェル経由での感染システムの操作、ファイルのアップロードとダウンロード、レジストリの操作、プロセスとサービスの起動および停止、デスクトップのイメージのキャプチャ、Webカメラの映像や音声入力した内容の記録、保存されているパスワードの抽出が可能になるほか、感染システムをプロキシ・サーバーとして利用することもできます。キー入力内容の記録機能に加え、デバッグ/仮想マシンに対する防御メカニズムも備えています。

主要なクライムウェア

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、建設およびエンジニアリング業界で最も一般的に検知されるクライムウェアの亜種は以下のとおりです。

POWESSERE (別名Poweliks)Windowsレジストリ内に潜伏する「ファイルレス」なマルウェアです。多くの場合POWESSEREは、カナダや米国の郵便公社、またはMicrosoft Officeに対するエクスプロイトに関するフィッシング・メールを介してシステムに到達します。感染システム上にファイルを作成せず、Windowsレジストリ内に潜伏します。POWESSEREの実行は段階的で、Autorunキーに格納されているエンコードされたJavaScriptが皮切りとなります。インストールの後は、メモリに常駐するダイナミック・リンク・ライブラリ(DLL)によって基本的なシステム情報を収集し、場合によってはさらなるマルウェアをダウンロードするおそれがあります。
Kovter ランサムウェアの一種です。システムに感染すると、Webブラウザの閲覧履歴と成人向けWebサイトのリストを照合して、一致するサイトが見つかった場合に、「違法行為の疑いがあるため、捜査当局がこのコンピュータを差し押さえた」というメッセージを表示し、システムのロックを解除したければ罰金を支払うように要求します。
Fareit (別名Pony Loader、InfoStealer)情報を窃取するタイプのトロイの木馬です。感染システムを分散サービス妨害(DDoS)攻撃に参加させる機能や、別のマルウェアをダウンロードする機能も備えています。
Perlbot Perlで記述されたマルウェアです。脆弱性のあるコンテンツ管理システムや各種コンポーネント(PHPなど)が動作するWebサーバーを標的とします。脆弱性のあるサーバーが見つかった場合、HTTPクエリー文字列のコマンドライン・オプションを使用して任意のコードの実行を試みます。この機能により、新たなコードをダウンロードして実行することが可能です。このマルウェアを利用した攻撃の多くは、Bitcoinの採掘を目的としていますが、サーバーの遠隔制御や機密データの外部送信に利用されることもあります。
Cyptowall (別名Crowti)感染システム上のファイルを暗号化するランサムウェアです。C&C通信にTor(The Onion Router)を使用するという特徴があります。

 

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。