国際機関および非営利団体の脅威情報

国際機関および非営利団体を狙うセキュリティ脅威

国際機関および非営利団体を狙うセキュリティ脅威は以下のとおりです。
  • APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)1グループは、国際組織を対象にスパイ活動を行い、その活動の資金源となっている政府に交渉や契約を有利に進めるための情報を提供しようと試みます。また、組織の信頼関係を利用して加盟国を侵害しようと図る場合もあります。
  • APT攻撃グループの中には、自国で活動する外国の非営利団体を標的とする、または世間の耳目を集める問題にフォーカスするグループも存在します。その目的は、このような組織の国内活動を監視する政府を支援するためと見られます。
  • ハクティビストは、社会問題への介入、または自らの主張のアピールを目的として組織を攻撃します。DDoS(分散サービス妨害)攻撃を仕掛けて組織のWebサイトをダウン、Webサイトを改ざん、または個人情報を窃取、流出させて、その評価を毀損しようと試みます。
非営利団体の脅威情報
今後の脅威動向とその影響

国際機関や非営利団体が、今後もAPT攻撃グループの標的となる可能性は極めて高いと見られます。中でも、政策決定者への情報提供を目的とした攻撃が多くなると予測されます。FireEyeでは、次のような要因が国際機関や非営利団体を狙う攻撃の引き金となると予測しています。

  • 政府が問題視または懸念する、あるいは政治的正当性や国内の安定に対する潜在的な脅威になり得ると判断した国外組織による活動や取り組み。攻撃者は、このような組織活動を監視する目的で侵入を図ります。
  • 地政学的な問題や国際間の利害関係に関わる組織。さまざまな国のAPT攻撃グループが、このような組織を標的とし、活動の資金源となっている政府の意向に沿ってスパイ活動を行うと見られます。
  • 世間の耳目を集める社会問題や自らが当事者となっている論争。ハクティビストは、使命を達成できなかった、または自らの主張に反する活動を行っている組織に対し、攻撃を仕掛ける可能性があります。また、組織への攻撃が自らの主張のアピールになると考えれば、ハクティビストは行動に移すと考えられます。

 

FireEyeは、少なくとも9の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • 助成財団
  • 国際機関
  • 市場・世論調査
  • 非営利団体
  • 科学研究開発サービス
  • 社会扶助サービス
国際機関および非営利団体から窃取されたデータ
  • イベント関連の資料
  • 助成金/奨学金に関する文書
  • 内部文書および内部通信
  • 進行中・保留中の案件に関する文書/証言
  • 各種プログラムおよび取り組み
  • 調査レポート
  • 作業範囲記述書

事例:中国系攻撃グループの関与が疑われるNPO Webサイトの乗っ取り

FireEyeでは以前、ある非営利研究機関で発生したセキュリティ・インシデントを調査しました。このインシデントでは、同機関のWebサイトが乗っ取られ、サイトにアクセスしたユーザーが攻撃を受けていました。ユーザーがこのWebサイトにアクセスすると、Adobe Flashのゼロデイ脆弱性を悪用する別のWebサイトにリダイレクトされます。そして、ユーザーのシステムで脆弱なバージョンのFlashが動作していた場合、密かにバックドアがダウンロードされるという仕組みです。この機関のネットワークでは、水平移動や攻撃活動は確認されていないため、この攻撃の実際の標的は、同機関ではなく、サイトの訪問者であると考えられます。

 

事例:中国で活動する国際NGOを標的とするAPT攻撃

FireEyeでは以前、中国で活動する、ある非政府組織(NGO)を対象としたネットワーク侵入について調査しました。その結果、中国を拠点とする3つの攻撃グループが、少なくとも2010年5月から2013年5月にわたり、同組織のネットワーク内で活動していた事実が明らかになりました。ただし、侵入行為自体は2006年前後から始まっていた可能性があります。攻撃グループは少なくとも23のユーザー・アカウントと86のシステムを侵害し、1万7,000を超えるファイルを窃取。ファイルの大半は、この組織の中国での活動、またはそのITインフラストラクチャや本部に在籍する経営幹部に関する内容でした。一連の攻撃により、同期間に保存されたほぼ全職員のEメールのリポジトリを含む、ほとんどすべてのファイルが同組織の中国事務所から流出しました。窃取されたデータの一部は、同国内における草の根運動などの特定のトピックに関連する内容が含まれていました。


非営利団体を狙うマルウェア、クライムウェア

主要なマルウェア・ファミリー

FireEyeが実施した国際機関および非営利団体のセキュリティ侵害調査において、最も多く検知された標的型マルウェア・ファミリーは以下のとおりです。

Gh0stRAT 一般に入手可能なソースコードに由来するリモート・アクセス・ツール(RAT)です。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
ERACS 通常はTCP 80番ポートを介してIPによる通信を行う、HTTPベースのバックドアです。ファイルのアップロードとダウンロード、サービスとプロセスの操作、リバース・シェルの作成、キーロガーとしての動作、画面のキャプチャ、ホストおよびユーザー名情報の入手などを行います。
PHOTO 通常は自身をサービスとしてインストールし、32ビットまたは64ビットのDLLとして実装可能なDLLのバックドアです。キー入力内容の記録やネットワーク・トラフィックとレジストリ・キーの非表示化を目的として、さまざまな入出力制御(IOCTL)デバイスをフックし、ドライバを抽出してルートキット機能を使用する場合があります。ドライバは、オペレーティング・システムごとに異なる可能性があります。
BANGAT キー入力内容の記録、ドライバへの接続、C&Cサーバーへの接続の確立、マウス操作のキャプチャ、システム情報の収集、プロセスの作成と停止、パスワードの収集、システムのシャットダウンとログオフ、ファイルの作成と改ざんを行うバックドアです。
POISON IVY 一般に利用できるRATで、感染システムにおいて包括的なリモート・アクセスを可能にします。その亜種は、オンラインで利用可能なPOISON IVYのグラフィカルな管理インタフェースを使用して設定、構築、制御されます。シェルコードを生成して、実行可能ファイルへのパッケージ化、または既存の実行可能ファイルとの結合により、自身の存在を隠蔽することが可能です。通常はexplorer.exeのプロセスに複数のシェルコードのスタブを挿入するように設定されています。

主要なクライムウェア・ファミリー

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、国際機関および非営利団体のネットワークで最も一般的に検知されるクライムウェアの亜種は以下のとおりです。

RAMNIT ファイル感染型のワームで、FTPや銀行口座の情報窃取、リモートでのシェル・コマンド実行、アンチウイルス・ソフトウェアによる検知回避などの特徴を備えています。
PALEVO リムーバブル・ドライブ、ネットワーク共有、P2P、およびインスタント・メッセンジャー経由で拡散する情報窃取を目的としたワームです。感染したマシンは、UDP 53番ポートを介してC&Cサーバーと通信します。
ZEUS (別名Zbot)銀行の認証情報の窃取を主目的としたトロイの木馬の一種です。リモートからのシェル・コマンドの実行など、多種多様な機能を備えています。
FLASHBACK AppleのOS Xを実行しているシステムに影響を及ぼすボットネットの中で、最も普及している種です。自身をインストールするためにJavaのセキュリティ上の欠陥を悪用します。
QAKBOT さまざまな用途で使用されるトロイの木馬で、ブラウザの脆弱性を介して拡散し、その他の不正なソフトウェアによってドロップされます。いくつかのコンポーネントで構成されますが、そのすべてが毎回の感染に使用されるわけではありません。ネットワーク共有を介して拡散し、データを窃取します。窃取されたデータは通常、攻撃者がアクセス可能なFTPサーバーにアップロードされます。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。