エンターテイメント/メディア業界の脅威情報

エンターテイメント/メディア業界を狙うセキュリティ脅威

エンターテイメント/メディア業界の組織を狙うセキュリティ脅威は以下のとおりです。
  • スポンサーである政府による自国イメージの統制を支援するAPT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)1グループは、個人情報やニュースソース、地方系列局、一般公開予定の情報、内政全般、特定分野の調査報道など、メディア機関による報道活動に関連する情報を窃取します。
  • 産業スパイ活動に従事するAPT攻撃グループは、国内のエンターテイメント/メディア企業の競争力強化を目的に、他社の合併や買収、流通、生産性向上に結びつくテクノロジーやプロセス、創造物の知的財産に関連するデータの窃取を試みます。
  • 標的企業に対し業務妨害を試みるハクティビストやAPT攻撃グループは、特定の主張のアピールや報道統制、政治的にデリケートまたは問題があると見なしたコンテンツの喧伝を行います。APT攻撃グループは、攻撃活動を行う際、背後にいる国家政府の素性を隠蔽するために、独立したハクティビスト・グループを装う場合があります。
  • 金銭的利益を目的として組織化されたサイバー犯罪グループは、ゲーム業界を標的とし、アカウントの認証情報やアクティベーション・コード、ゲーム内の貴重なアイテム、個人を特定可能な個人情報を窃取します。
エンターテイメント/メディア業界を狙うセキュリティ脅威
今後の脅威動向とその影響

世論、あるいは国家イメージの形成において重要な役割を担っているエンターテイメント/メディア業界は、影響力の強化を図るAPT攻撃グループやハクティビストにとって価値の高い標的となっています。

FireEyeでは、次のような要因がこの業界を狙う攻撃の引き金となると予測しています。

  • 国内の安定性や政治的正当性に対する懸念は、APT攻撃の増加につながると見られます。攻撃グループは、政府による世論の監視や国家イメージの形成、メッセージのアピール、あるいはソフト・パワーの活用による影響力の維持と拡大を後押ししようと試みます。
  • 攻撃グループは、社会的な関心の高い問題や見解の公表を妨害するため、メディア企業の報道前の情報に不正アクセスし、取材源についての情報を入手しようとする場合があります。たとえば、国家レベルの攻撃グループが、ある事件の報道を阻止するために、問題を報じようとしているメディア企業に狙いを定め、その企業がどこまで事実をつかんでいるのか、情報提供者は誰かといった情報を探ろうとするケースが考えられます。
  • 攻撃グループは、自身またはその関係組織にとって都合の悪い報道を行ったメディア企業に対し、脅迫または報復の目的で、攻撃を実施する場合があります。たとえば、社員や取材源に関する情報を窃取し、その人物を脅す、あるいは監視するというようなケースです。また、標的組織の機密データを窃取してインターネットで公開し、その組織の名誉や信頼を毀損するというパターンもあります。
  • 国家政府以外でも、二者間の緊張や対立も攻撃増加の一因になります。攻撃者は、対立関係にある相手のメッセージやプロパガンダの拡散を阻止し、場合によっては相手の情報チャネルを利用して自身のプロパガンダを拡散する可能性があります。
  • ソーシャル・メディアの人気と利用の拡大は、APT攻撃グループやサイバー犯罪者、ハクティビストによるプロバイダーとプラットフォームを狙った執拗な攻撃に発展します。ソーシャル・エンジニアリングを介した効率的な標的の絞り込み、またはサービス妨害やWebページの改ざんによる自身の主張のアピールが目的です。
FireEyeは、少なくとも17の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • エンターテイメント/ゲーム・ソフトウェア
  • 総合エンターテイメント
  • 情報収集および配信
  • インターネット出版、放送、および検索ポータル
  • 出版社
  • マルチメディア、グラフィック、およびパブリッシング・ソフトウェア
  • 新聞社
  • テレビ・ネットワーク
エンターテイメント/メディア企業から窃取されたデータ
  • アドレス帳
  • スケジュール・ファイル
  • 経営幹部のやり取り
  • 企業間交渉に関する情報
  • ネットワーク・インフラの関連文書
  • PRおよびマーケティング資料
  • 記者のやり取り
  • ユーザー認証情報

事例:仏メディア企業に対するセキュリティ侵害はAPT28による「偽旗作戦」の可能性

2015年4月、フランスの国際放送ネットワークTV5Mondeが、ある攻撃グループによるセキュリティ侵害を受けました。放送機器が被害を受け、数時間にわたり放送が中断したほか、同社のWebサイトおよびソーシャル・メディア・アカウントが乗っ取られ、イスラム過激派組織ISIS、そしてISISとつながりがあるとされるハクティビスト・グループCyberCaliphateに関するプロパガンダ・メッセージが掲載されました。この攻撃は当初、CyberCaliphateによる活動と見られていましたが、FireEye Threat Intelligenceチームは、ロシア政府と関係のある攻撃グループAPT28による活動であると見ています。APT28は、イスラム原理主義に対する西側諸国の恐怖感、特に数か月前のシャルリー・エブド襲撃事件がもたらしたショックに便乗しようとしたのではないか、というのが同チームの見立てです。TV5Mondeに対するセキュリティ侵害は、他の西側諸国とともにロシアとの関係を拒んだフランスに対する警告であると同時に、ウクライナ危機におけるロシアの動きから注意をそらせ、中東におけるテロの脅威へと目を向けさせるための、ロシアによる情報活動である可能性があります。



APT28:ロシア政府の関与が疑われるサイバー・スパイ活動に関する分析

官公庁や軍、安全保障機関の内部情報を狙うロシアの攻撃グループの手口について解説しています。

レポート(英語)をダウンロード


エンターテイメント業界を狙うセキュリティ脅威


マルウェア・ファミリー上位5種

FireEyeが実施したエンターテイメント/メディア業界のセキュリティ侵害調査において、最も多く検知された標的型マルウェア・ファミリーは以下のとおりです。

ChinaChopper 小規模なWebシェルで、認証用の単純なパスワードによって情報システムへの不正アクセスを可能にするほか、HTTP POSTコマンド内でMicrosoft .NETコードを実行する能力を備えています。
SOGU (別名Kaba、PlugX)ファイルのアップロードとダウンロード、任意のプロセスの実行、ファイル・システムとレジストリへのアクセス、サービス設定へのアクセス、リモート・シェルへのアクセス、VNC/RDPと類似するカスタムのプロトコルの実装によるC&C(指令)サーバーのデスクトップへのグラフィカルなアクセスを可能とするバックドアです。
GH0STRAT 一般に入手可能なソースコードに由来するリモート・アクセス・ツール(RAT)です。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
POISON IVY 一般に利用できるRATで、感染システムにおいて包括的なリモート・アクセスを可能にします。その亜種は、オンラインで利用可能なPOISON IVYのグラフィカルな管理インタフェースを使用して設定、構築、制御されます。シェルコードを生成して、実行可能ファイルへのパッケージ化、または既存の実行可能ファイルとの結合により、自身の存在を隠蔽することが可能です。通常はexplorer.exeのプロセスに複数のシェルコードのスタブを挿入するように設定されています。
Page (別名ELISE)事前設定されたC&CサーバーからエンコードされたDLLを入手しようと試みるダウンローダで、HTTPリクエストを使用してサーバーと通信します。DLLがダウンロードされると、メモリに読み込みます。また、ソースレベルのリバース・エンジニアリングの対策機能が複数組み込まれています。

クライムウェア・ファミリー上位5種

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、エンターテイメント/メディア業界で最も一般的に検知されるクライムウェアの亜種は以下のとおりです。

Upatre 主にスパム・メールやドライブバイ・ダウンロード、エクスプロイトを経由してシステムに到達するトロイの木馬型のダウンローダで、感染システム上に1種類以上のマルウェアを追加ダウンロードします。ZbotやDyre、Rovnix、CryptoLocker、Necursなど、Upatreによるさまざまな種類のマルウェアの拡散が確認されています。
Delf Delphiでコンパイルされていることの多いトロイの木馬です。リモート・サーバーに接続し、ユーザーに気付かれないように新たなマルウェアをダウンロードしてインストールします。機密情報を窃取する機能を備えている場合もあります。
ZeroAccess (別名SIREFEF)高度なルートキット機能を備えたトロイの木馬です。当初は他のタイプの不正なソフトウェアの配布を目的として開発されましたが、クリック詐欺を実行するように再設計されています。
Allaple 特定の標的に対してサービス妨害(DoS)攻撃を実施するワームです。同じネットワーク上の別のシステムに感染を広げようと試みます。
Muxif トロイの木馬型のダウンローダです。C&Cサーバーと通信してシステム情報を送信し、命令を受け取り、不正な実行可能ファイルを追加ダウンロードします。また、システム起動時に自身が自動実行されるよう、レジストリを改変します。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。