ハイテクおよびIT業界の脅威情報

ハイテクおよびIT業界を狙うセキュリティ脅威

ハイテクおよび情報技術(IT)業界の組織を狙うセキュリティ脅威は以下のとおりです。

  • APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)1グループは、経済または技術情報を窃取し、研究開発費の削減や競争力の強化を通じて国内企業の成長を支援しようと試みます。
  • ハクティビストやその他の攻撃性の高いサイバー犯罪者は、自身の主張への注意喚起を目的としてインターネット・サービス・プロバイダーを標的とする場合があります。
  • 組織化されたサイバー犯罪グループは、金銭的利益を目的として、顧客のアカウントや財務データ(認証情報や支払い情報など)、個人を特定可能な情報を窃取しようとします。
high tech cyber threats

今後の脅威動向とその影響

経済や諜報活動、セキュリティ上の問題との関連性を考慮すると、ハイテクおよびIT業界はさまざまな攻撃者の標的となるおそれがあります。

FireEyeでは、次のような要因がこの業界を狙う攻撃の引き金となると予測しています。

  • 新しい技術開発は、業界に対する攻撃に拍車を掛けると考えられます。攻撃グループが、自国内の業界企業の迅速な競争力強化を目的として、関連する知的財産や専有情報を窃取しようと試みる可能性は極めて高いと予測されます。
  • 政府機関や軍とのパートナーシップも、企業をリスクにさらす要因となります。自国の政府機関から資金提供を受けた攻撃者は、このような企業からネットワーク・セキュリティに関する情報を入手し、先々のデータ窃取や研究開発データへのアクセス、軍事技術プログラムの把握、または敵対関係にある国家の軍事能力の混乱を狙うと見られます。
  • 金銭的利益を目的とする攻撃者は、顧客のアカウントや支払情報/財務データ、または個人を特定可能な情報などの機密データへのアクセスを試み、窃取した情報を収益化します。
  • 労働や環境問題、組織的な監視活動など、議論を呼ぶ問題への関与の発覚も攻撃の引き金となり得ます。ハクティビストは、このような問題への注意を喚起し、当事者組織の評価を貶めようと試みます。
FireEyeは、少なくとも20の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • コンピュータ・ソフトウェア
  • 情報技術サービス
  • 制御、電気医療、測定、およびナビゲーション装置製造
  • 家電製品およびパーソナル・コンピュータ製造
  • ★電子部品★
  • 製造および卸売業者
  • ロジック・デバイス製造
  • ★ネットワーク・アクセスおよび通信★
  • 装置製造
  • ネットワークおよびコネクティビティ・ソフトウェア
  • ルーターおよびスイッチ機器製造
  • 検索、検知、ナビゲーション、およびガイダンス・システム製造
  • セキュリティ・ソフトウェア
  • 半導体機器製造
  • ストレージおよびシステム管理
  • ソフトウェア
ハイテクおよびIT企業から窃取されたデータ
  • 設計図
  • 製品およびサービスに関する専有情報
  • テスト結果とレポート
  • 生産プロセス
  • ハードウェアおよびソフトウェアに関する記述と設定情報
  • セキュリティおよびリスク管理に関する文書
  • 図表と取扱説明書
  • マーケティング戦略およびプラン&

事例:ハイテク企業を標的とする2つのAPT攻撃グループ

FireEyeは、中国に拠点を置く2つのAPT攻撃グループによる、民生用/軍用技術のハイテク企業に対するセキュリティ侵害を調査しました。同社ネットワークにおける両グループの活動期間は、実に3年以上に及んでいます。この間、少なくとも一方のグループはほぼ毎日、偵察やデータの窃取などの活動を展開していました。窃取されたデータには、攻撃時点では発売前だった民生用製品の専有データが含まれています。また、攻撃グループは、同社が開発する特定軍用製品の情報を探していた可能性もあります。両グループは、ネットワーク全体を探索して重要なユーザーやシステムを見つけ出し、データ窃取の機能を備えた複数のツールを仕掛け、画面のキャプチャやキー入力内容の記録、Eメールの窃取などを行っていました。両グループが窃取したデータは、合計100GB超に上っています。

cyber threats to high tech industry

主要なマルウェア

FireEyeが実施した国際機関および非営利団体のセキュリティ侵害調査において、最も多く検知された標的型マルウェア・ファミリーは以下のとおりです。

Gh0stRAT 一般に入手可能なソースコードに由来するリモート・アクセス・ツール(RAT)です。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
TAIDOOR ファイル転送とコマンド実行の機能を備えるバックドアです。HTTP経由で通信しますが、通信内容はRC4で暗号化されます。暗号鍵には、感染システムのMACアドレスが使用されます。
POISON IVY 一般に利用できるRATで、感染システムにおいて包括的なリモート・アクセスを可能にします。その亜種は、オンラインで利用可能なPOISON IVYのグラフィカルな管理インタフェースを使用して設定、構築、制御されます。シェルコードを生成して、実行可能ファイルへのパッケージ化、または既存の実行可能ファイルとの結合により、自身の存在を隠蔽することが可能です。通常はexplorer.exeのプロセスに複数のシェルコードのスタブを挿入するように設定されています。
SUNBLADE リモート・コード実行と認証情報窃取の機能を備えるバックドアです。2つの亜種が存在し、そのうち1つはサンドボックスと仮想環境の回避機能を備えています。主に自己解凍形式のRARまたはZIPファイルで拡散しており、圧縮ファイルにはおとり文書が含まれている場合もあります。
SOGU (別名Kaba、PlugX)ファイルのアップロードとダウンロード、任意のプロセスの実行、ファイル・システムとレジストリへのアクセス、サービス設定へのアクセス、リモート・シェルへのアクセス、VNC/RDPと類似するカスタムのプロトコルの実装によるC&C(指令)サーバーのデスクトップへのグラフィカルなアクセスを可能とするバックドアです。

主要なクライムウェア

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、ハイテクおよびIT業界で最も一般的に検知されるクライムウェアの亜種は以下のとおりです。

Conficker リムーバブル・ドライブやネットワーク共有に潜む脆弱性を悪用して拡散するワームです。セキュリティ設定の無効化、バックアップ・ファイルの削除、システムの復元ポイントのリセットを行います。
Sality アンチウイルス・ソフトウェアの無効化、スパム・メールの送信、不正なソフトウェアの追加ダウンロード、情報の窃取を行うファイル感染型のトロイの木馬です。
Upatre 主にスパム・メールやドライブバイ・ダウンロード、エクスプロイトを経由してシステムに到達するトロイの木馬型のダウンローダで、感染システム上に1種類以上のマルウェアを追加ダウンロードします。ZbotやDyre、Rovnix、CryptoLocker、Necursなど、Upatreによるさまざまな種類のマルウェアの拡散が確認されています。
Obitel トロイの木馬型のダウンローダです。ハードコードされたC&Cサーバーと通信して命令を受け取り、不正な実行可能ファイルを追加ダウンロードします。
Andromeda (別名Gamarue)キーロガー、フォーム・グラバー、またはその他の不正なソフトウェア用のドロッパーとして、さまざまな用途で使用されるトロイの木馬です。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。