Microsoftが指摘 才能ある悪党が大規模なサイバー攻撃を実行中

MicrosoftやMandiantの調査によれば、多数のランサムウェア攻撃の裏に特定の脅威グループが存在することが分かった。どのような攻撃を仕掛けているのだろうか。

[Matt Kapko，Cybersecurity Dive]

　Microsoftの研究者は2023年10月25日（現地時間）、2023年に最も注目を集めたアイデンティティー情報を狙うサイバー攻撃の背後にいる脅威グループの正体を明らかにした。

どのような攻撃を仕掛けているのか

　この脅威グループは、現在活動中の最も危険な金融犯罪グループの一つだという（注1）。どのような攻撃を仕掛けているのだろうか。

　Microsoftの脅威インテリジェンスはこのグループを「Octo Tempest」として識別している。他の研究者は「Oktapus」「Scattered Spider」「UNC3944」などと呼んでいる。同グループは、組織のインフラへのアクセスを得るために複数の形態のソーシャルエンジニアリング攻撃を使用し、企業データを盗み、被害者に身代金の支払いを強要した。

　Octo Tempestのメンバーは若く、英語を母語とする。2022年に初めて活動が観察され、2023年半ばにはランサムウェアに関するサービスを運営する「ALPHV」や「BlackCat」に関連付けられた。同グループはここ数カ月の間に、MGM Resorts International（注2）、Caesars Entertainment（注3）、Cloroxに対する大規模な攻撃を自らによるものだと主張している（注4）。

攻撃を連発する「Octo Tempest」

　Microsoftの研究者によると、同様のソーシャルエンジニアリング攻撃により、2023年7月下旬から同年8月にかけてOktaの顧客4社が攻撃された（注5）。

　これらの攻撃は、最初の侵入ポイントとしてOktaの顧客を直接ターゲットにしていた。しかし、最近の一連の攻撃では、Oktaのサポートシステムの管理者認証情報を悪用してさらに攻撃の矛先を広げている。その結果、BeyondTrustやCloudflare（注6）、1Passwordを含む顧客の認証トークンが不正にアクセスされた（注7）。

　報告書は同グループが最近、「VMware ESXi」サーバを標的にしていると指摘した。VMware ESXiのセキュリティツールには不十分な点があり（注8）、2023年に一連の攻撃を受けた（注9）。

　Microsoftによると、同グループは中間者攻撃やソーシャルエンジニアリング攻撃、SIMスワップ攻撃を駆使して広範な攻撃キャンペーンを展開した。最近、標的となった業種には、ゲームやホスピタリティ、IT、金融サービス、マネージドサービスプロバイダー、製造業が含まれている。

信じられないほど破壊的で、攻撃的なグループ

　Microsoftの脅威インテリジェンスは、報告書で次のように記した。

　「Octo Tempestの攻撃は組織化されており、頻発している。このことは、同グループの技術の高さや、オペレーターが複数存在することを示す」

　他の研究者と同様に、Microsoftは次のようにも述べた。

　「同グループによる攻撃が広がっており、危険性が高い。標的となった組織の従業員やその家族に対して、同グループは物理的な脅威をもたらす旨をにおわせることもある」

　Google Cloudのグループ企業のMandiantは、同グループに関する2023年9月の報告書で、次のように記した（注10）。

　「攻撃者はシステム内のテキストファイルに脅迫的なメモを残したり、テキストメッセージや電子メールを介して幹部に連絡したり、インシデントに対応するために被害者が使用している通信チャネルに侵入したりするなど、被害者と積極的なコミュニケーションを取る」

　Mandiant Consultingのチャールズ・カーマカル氏（CTO《最高技術責任者》）は、2023年4月のブリーフィングで次のように述べた。

　「私たちはこの若い個人の攻撃者が、防御しにくい難しいテクニックを活用して巨大な組織に侵入する手口を見てきた」（注11）

　2023年9月に実行されたMGM Resorts Internationalへの攻撃を受けて、カーマカル氏は、「Cybersecurity Dive」に対して「彼らは信じられないほど破壊的で、攻撃的だ」と語った（注12）。

　サイバーセキュリティ事業を営むCrowdStrikeの2023年初頭の調査においても（注13）、同グループの進化し続ける戦術や能力、影響力について同様の結論が導かれている。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、同グループと最近話題になった攻撃に関する具体的な質問への回答を避けたものの、「ランサムウェアは依然としてあらゆる規模の組織に影響を与える深刻な問題であり、一般社会に現実的な影響を及ぼしている」と指摘した。

攻撃されたことを隠すと犯罪者を利する

　CISAのエリック・ゴールドスタイン氏（サイバーセキュリティ担当エグゼクティブアシスタントディレクター）は、声明で次のように述べた。

　「連邦政府はランサムウェア攻撃のオペレーターへの圧力を強めており、使用可能な全てのツールを使って、潜在的な被害者に対して迅速に情報を共有している。これによって、攻撃の全貌が判明する前に対処できるようになった」

　ゴールドスタイン氏によると、ランサムウェアに関する報告は、当局が攻撃の規模や性質をより適切に把握するために役立つという。

　「残念ながら、この問題の全体像を把握することは難しい。なぜなら、ランサムウェアインシデントの中には報告されていないものがあるためだ。ランサムウェアインシデントを含む全てのサイバー攻撃について、組織が可能な限り迅速に、CISAまたは連邦捜査局（FBI）に報告することが非常に重要だ」（ゴールドスタイン氏）

出典：High-profile summer attacks linked to same aggressive ransomware group（Cybersecurity Dive）
注1：Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction（Microsoft）
注2：MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack（Cybersecurity Dive）
注3：Caesars Entertainment faces class action lawsuits following rewards database hack（Cybersecurity Dive）
注4；Clorox warns of quarterly loss related to August cyberattack, production delays（Cybersecurity Dive）
注5：Okta customers’ IT staff duped by MFA reset swindle（Cybersecurity Dive）
注6：Okta attacked again, this time hitting its support system（Cybersecurity Dive）
注7：1Password caught in Okta breach, impacting employee-facing apps（Cybersecurity Dive）
注8：VMware’s ‘target-rich environment’ is growing more volatile, CrowdStrike warns（Cybersecurity Dive）
注9：What’s known about the ESXiArgs ransomware hitting VMware servers（Cybersecurity Dive）
注10：Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety（Mandiant）
注11：Teenagers, young adults pose prevalent cyberthreat to US, Mandiant says（Cybersecurity Dive）
注12：MGM Resorts disruption linked to recent attacks against hospitality industry（Cybersecurity Dive）
注13：SCATTERED SPIDER Exploits Windows Security Deficiencies with Bring-Your-Own-Vulnerable-Driver Tactic in Attempt to Bypass Endpoint Security（Crowdstrike）