教育業界の脅威情報

教育業界を狙うセキュリティ脅威

教育業界の組織を狙うセキュリティ脅威は以下のとおりです。
  • APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)グループ1は、産業スパイ・政治スパイ目的で、大学の研究センターなどが有する機密性の高い知的財産の窃取を試みます。
  • APT攻撃グループの中には、他の業界の標的にサイバー攻撃を仕掛けるための足場として教育機関のネットワーク・インフラストラクチャを悪用するグループも存在します。これは、名の知れた機関のネットワークからのアクセスであれば、怪しまれないと見越してのことです。
  • 組織化されたサイバー犯罪グループは、金銭的利益を目的に、教育機関の学生と教職員の重要な個人情報や財務情報を窃取しようとします。
  • ハクティビストは、特定の問題への抗議または注意喚起を目的として、Webサイトを改ざん、妨害する可能性があります。
教育業界の脅威情報
今後の脅威動向とその影響

教育機関は、今後もサイバー攻撃者に狙われ続けると予想されます。主な理由としては、大量の重要情報を保有している、教育機関のネットワーク経由で他の組織への攻撃を実行できる、という2点が挙げられます。特に、大規模でユーザー数の多い大学のネットワークは、セキュリティ対策が後手に回りがちです。組織内外のユーザーが比較的自由に情報にアクセスし、共有するという文化的な事情も無視できません。FireEyeでは、次に示す各要因がこの業界を狙う攻撃の引き金となると予測しています。

  • 大きな経済的見返りが期待できる研究プログラムや、政府が主導する機密性の高い研究プロジェクトに参加している教育機関は、APT攻撃グループの攻撃を受けやすくなると考えられます。一部のAPT攻撃グループは、スポンサーである政府や国有企業のメリットになる情報を求め、このような教育機関に狙いを定めています。
  • 影響力のある著名な研究者や反体制的な研究者と関係のある教育機関も、APT攻撃を受けやすくなると予想されます。攻撃グループは、スポンサーである政府の意向に沿って、このような人物の監視や、政策議論に関する文書の窃取を行うことがあります。
  • ある問題で注目を集めている、またはその象徴的な役割を果たしていると見なされた教育機関は、政治的な目的を持つハクティビストやAPT攻撃グループによるWebサイト攻撃、ネットワーク攻撃を受ける可能性があります。
  • ある論争に関わっている教育機関は、その主張への抗議や嫌がらせとして、ハクティビストによる攻撃を受ける可能性があります。たとえば、Webサイト運営の妨害、Webページの改ざん、機密情報の窃取および漏えいなどの被害を被る恐れがあります。
FireEyeは、少なくとも8の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • 大学機関
  • 教育およびトレーニング用ソフトウェア
  • 研究所
教育機関から窃取されたデータ
  • ビジネス上のやり取り
  • ビジネス文書
  • 教職員の評価
  • 財務文書
  • 助成金/奨学金に関する文書
  • 業界調査およびニュース
  • 請求書
  • マーケティング資料
  • 会議の記録
  • 個人を特定可能な情報
  • 各種プログラムおよび取り組み
  • 一般公開用ニュースレター

事例:大学の研究者を標的とする中国の攻撃グループ

FireEyeは、中国に拠点を置く攻撃グループが米国の大学2校を侵害したセキュリティ・インシデントを調査しました。このグループは、まず、一方の大学のWebサーバーに設置されていた認証なしのアップロード・ページに不正なWebシェルをアップロードし、そのWebシェル経由で同校のネットワークに侵入しました。その後、アクセス範囲を拡大し、2つの大学で共同利用されていたWebサーバーの認証情報を入手。この認証情報を使用して、他方の大学のネットワークに侵入していました。攻撃グループの目的は、中国をテーマとする両校の学術プログラムと研究機関だったと考えられます。


教育業界を狙うマルウェアおよびクライムウェア

主要なマルウェア

教育業界を狙う攻撃者の使用頻度が高く、警戒が必要なマルウェアのタイプは次のとおりです。

SOGU (別名Kaba、PlugX)ファイルのアップロードとダウンロード、任意のプロセスの実行、ファイル・システムとレジストリへのアクセス、サービス設定へのアクセス、リモート・シェルへのアクセス、VNC/RDPと類似するカスタムのプロトコルの実装によるC&C(指令)サーバーのデスクトップへのグラフィカルなアクセスを可能とするバックドアです。
WITCHCOVEN サイト訪問者のオペレーティング・システムやブラウザ、アプリケーションに関する情報の把握を目的としてプロファイリングを行うスクリプトです。FireEyeでは、このようなスクリプトを利用して、APT攻撃グループがフットプリンティング(訪問者のコンピュータ・システムや所属組織のプロファイリングの際に行われる情報収集)を実行すると見ています。
GH0STRAT 一般に入手可能なソースコードに由来するリモート・アクセス・ツール(RAT)です。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
SPYNET 一般に入手可能なRATです。攻撃者はこのRATを使用して、リモート・シェル経由での感染システムの操作、ファイルのアップロードとダウンロード、レジストリの操作、プロセスとサービスの起動および停止、デスクトップのイメージのキャプチャ、Webカメラの映像や音声入力した内容の記録、保存されているパスワードの抽出が可能になるほか、感染システムをプロキシ・サーバーとして利用することもできます。キー入力内容の記録機能に加え、デバッグ/仮想マシンに対する防御メカニズムも備えています。
PANDORA 複数の解析回避技術と、UDP/TCPの両プロトコルでの通信機能を備えるマルチスレッドのトロイの木馬です。システム起動時に自動実行されるようにするため、自身の複数のコピーを作成し、レジストリの「Run」キーに登録された実行可能ファイルと置き換えます。キー入力内容の記録、画面のキャプチャ、ファイルの操作および感染、自動更新、別のファイルのダウンロードおよび実行、感染システムの遠隔制御などの機能を備えていますが、中国で開発された主要なアンチウイルス・プログラムがインストールされたシステムでは動作しません。

主要なクライムウェア

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、教育業界で最も一般的に検知されるクライムウェアの亜種は以下のとおりです。

FAREIT (別名Pony Loader、InfoStealer)情報を窃取するタイプのトロイの木馬です。感染システムを分散サービス妨害(DDoS)攻撃に参加させる機能や、別のマルウェアをダウンロードする機能も備えています。
Zeus (別名Zbot、Citadel、Gameover)銀行の認証情報の窃取を主目的としたトロイの木馬の一種です。リモートからのシェル・コマンドの実行など、多種多様な機能を備えています。
Cryptowall (別名Crowti)感染システム上のファイルを暗号化するランサムウェアです。C&C通信にTor(The Onion Router)を使用するという特徴があります。
Simda さまざまな用途で使用されるトロイの木馬です。認証情報の窃取、別のファイルへの感染、マルウェアのダウンロード、感染システムへのバックドアの設置などの機能を備えています。
TREEMZ キー入力内容を記録するトロイの木馬です。人気オンライン・ゲームのアップデートを装って配布されている場合があります。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。


高等教育機関に対するサイバー攻撃

大学などの高等教育機関がサイバー攻撃者に狙われる理由とその対策について解説します。

ホワイトペーパーをダウンロード

教育業界を狙うセキュリティ脅威

教育業界を狙うセキュリティ脅威について解説します。

レポートを読む