電子メールに絞った脅威が攻撃を開始 企業幹部からM＆A情報などを収集

世界の10の組織を標的に、M＆Aに関連する機密情報を窃取する攻撃が確認された。巧妙な手口によって、従来のセキュリティ対策の死角を突くという。その目的や攻撃手法、影響範囲を解説する。

[Matt Kapko，Cybersecurity Dive]

　Mandiantの調査によれば、世界中の少なくとも10の組織を標的にした巧妙な攻撃が発生している。企業の電子メールアカウントに永続的にアクセスして、M＆Aに関連する情報を得ることが目的とみられる。

　脅威として疑われる「UNC3524」は、企業の大規模な取引に関わる役員の電子メールアカウントを標的にしている。

　この脅威はセキュリティ対策の死角に潜み、少なくとも18カ月間、発見されないままだった。

なぜ検知できないのか　日本企業が踏み台になる可能性も

　Mandiantのタイラー・マクレラン氏（プリンシパル脅威アナリスト）は「UNC3524は、忘れられたネットワークアプライアンスやIoTデバイスなど、サポートされていないセキュリティツールを足掛かりにしている」と電子メールで伝えている。

　マクレラン氏によれば、UNC3524の主な目標は目先の金銭目的ではなく、企業戦略と意思決定に関する情報を入手することだとしている。UNC3524が電子メールの収集に焦点を当てて滞留時間を延長するという戦略もこの推測を裏付けている。

　Mandiantは、UNC3524について非常に洗練された脅威だと説明し、被害者のIPスペース内から「Microsoft Exchange」の電子メールアカウントにアクセスしているように見せかけて、検出を回避していると報告している。高度な戦術を使用して、複数の足場を獲得し、機密性の高い企業データへのアクセスを一貫して維持しているという。

　「明らかなデータ窃盗に加え、長期間のアクセスによって被害者ネットワーク内の状況を把握し、2要素認証を回避できる設定の抜け穴を見つけたり、過去に使用されたアカウントパスワードを収集して将来の攻撃に役立てたりしている」とマクレラン氏は言う。

　このグループは、オープンソースの「Dropbear SSH Server and Client」（MandiantではQUIETEXITと命名）をベースにした新しいバックドアをSAN（ストレージエリアネットワーク）、ロードバランサーおよび無線アクセスポイントに展開し、被害環境へのリモートアクセスを持続させた。

　既存のSSHトンネルを利用したこのマルウェアは、大規模な計画によって、ホストベースのハンティングや検知を極めて困難なものにしている。検知のためには、ネットワークを監視し、ログを管理することが必要だ。

　ABI Researchのミケラ・メンティング氏（デジタル・セキュリティ・リサーチ・ディレクター）は、「攻撃者の方法は、最も有害でステルスなものではなくそれほど洗練されていない。

そして、セキュリティで保護されていない運用テクノロジーをターゲットにしている。最終的に、彼らは組織の防御における最も弱い部分を狙っているのだ」とメールに記した。

　企業は、ネットワークトラフィックにおける異常な動作を監視し、サイバーセキュリティへのゼロトラストアプローチを実装し、厳格なIDおよびアクセスの管理で脅威を最小限に抑えられる。

　マクレラン氏は、クラウドサービスの利用によってログ管理やセキュリティ対策がサイロ化する中、全てのアラートを一元的に監視するシステムを使用するよう推奨する

　「脆弱（ぜいじゃく）性が利用される前にそれらを見つけるために、セキュリティ体制の一部としてプロアクティブな脅威ハンティングとレッドチームが必要だ」と同氏は言う。

　Mandiantによると、UNC3524の方法論は、ロシアを拠点とする複数のスパイ系攻撃者が使用する手法を模倣しており、その長期的な戦略はその推測を補強するものだ。「このような脅威の多くは、即座の支払いを必要としない限り、国家がスポンサーとなっているか、国家の支援を受けている」とメンティング氏は述べる。

　このグループは主に米国企業を標的にしていたが、「海外の組織もUNC3524によって危険にさらされ、踏み台として状況に応じた悪用をされた」とマクレラン氏は話す。

出典：Threat actor launches email attacks to lift corporate M&A secrets, Mandiant says（Cybersecurity Dive）