ハッカーが次に狙うのはアレ エアギャップさえ無効化する新たな攻撃とは:801st Lap
PCをインターネットから物理的に完全隔離する「エアギャップ」。それをも突破する新たなサイバー攻撃手法が発見された。エアギャップ突破のためにハッカーらが狙っているものとは。
サイバー攻撃への対策手法の一つに「インターネットネットに接続しない対策」、いわゆる「エアギャップ」がある。インターネットにもローカルネットワークにも接続しない、完全にPCをネットワークから隔離するという対策だ。
インターネットにつながってないならサイバー攻撃に遭わないと思いきや、エアギャップを突破する新たな攻撃手口が発見された。ハッカーらは、便利だからつい使ってしまうアレを狙っているという。企業は要警戒な新たな攻撃手法とは?
セキュリティ対策にエアギャップを採用するのは、サイバー攻撃を受けることが許されない重要なシステムを運用する組織であることがほとんだ。具体的には、国家機密や軍事機密を扱う政府機関のシステム、発電所やダム、交通管理といった重要インフラに関わるシステムの他、金融機関や医療機関、法的機関などだ。
2024年10月7日(現地時間)、セキュリティ対策企業のESETはエアギャップをすり抜けるサイバー攻撃が存在することを自社のブログで明かした。
投稿内容によると、欧州や中東、南アジアの政府機関を狙うハッカーグループ「GoldenJackal」が中心となってエアギャップを突破したサイバー攻撃を仕掛けているという。GoldenJackalは独自のツールセットを使って、少なくとも2019年から攻撃を仕掛けてきたとされている。
2022年5月にESETの研究チームがGoldenJackalが使うツールセットを発見していたものの、どの集団が利用しているかまでは特定できなかった。そして、2023年にセキュリティ対策企業のKasperskyがGoldenJackalの使っていたツールセットを公表した。それを受けて、ESETの研究チームも詳細な調査に乗り出した。その結果、ESETの研究チームはGoldenJackalが使っていたと思われるツールセットを発見した。
GoldenJackalのツールセットは新旧2つのタイプがあるという。2019年から使われていたツールキットは「GoldenDealer」、バックドア役の「GoldenHowl」、そしてファイル送受信役の「GoldenRobo」という3つのコンポーネントで構成されている。これらが動作するためには「エアギャップされたPC」(ターゲットPC)と「ネットに接続されたPC」、そして「USBメモリ」が必要となる。
手順は次の通りだ。
まず、インターネットにつながっているPCに接続されたUSBメモリにGoldenDealerがコピーされる。そのUSBメモリがエアギャップされたPCに接続されると、GoldenDealerがインストールされる。GoldenDealerはPCのシステム情報を収集してUSBメモリに保存する。そのUSBメモリがインターネットにつながったPCに接続されると、GoldenHowlとGoldenRoboによってエアギャップされたPCの情報が攻撃者へと送られ、それに応じた命令が再びGoldenDealerに伝達される。
エアギャップされたPCにUSBメモリが接続されると、GoldenDealerが各種データを収集してUSBメモリに保存する。そのUSBメモリがインターネットにつながったPCに接続されると、そのデータが攻撃者の元へと送られる。この繰り返しによって、エアギャップという緩衝材を超えて重要データが盗まれてしまう。
新しいツールセットは2022年5月〜2024年3月にかけて欧州の政府機関を狙って使われた形跡があった。これも「エアギャップされたPC」(ターゲットPC)と「インターネットに接続されたPC」「USBメモリ」が必要となり、基本的な仕組みは旧タイプと同じだ。だが、コンポーネントが8つに細分化され、より洗練された働きをするようだ。
ツールセットの機能を分解すると、情報収集役の「Collection」、情報を送受信する「Distribution」、実質的な処理をする「Processing」、情報を外部に送信する「Exfiltration」の4種類に分けられる。Collectionには「GoldenUsbCopy」と「GoldenUsbGo」、Distributionには「GoldenAce」と「HTTP server」、Processingには「GoldenBlacklist」と「GoldenPyBlacklist」、Exfiltrationには「GoldenMailer」「GoldenDrive」といったコンポーネントが含まれる。
情報を外部に流出させるプロセスは前述したGoldenDealerとほぼ同じだが、攻撃者へ情報を送信する際ににGoldenMailerがユーザーの正当なメールアカウントを不正利用したり、GoldenDriveが「Google ドライブ」にアップロードしてデータを漏えいさせたりと、検知ツールに引っ掛かりにくい手法を採っている。また、GoldenUsbCopyが設定ファイルに盗んだデータを暗号化して埋め込むことで、USBメモリが情報収集していても発見されにくいという。
この手法の重要なカギとなるのがUSBメモリだ。エアギャップされたPCを運用している組織や企業でUSBメモリを利用していなければ、GoldenJackalの情報窃取は実現できない。GoldenJackalは、わずか5年ほどでこの2つのツールセットを開発した。ESETの研究チームは「GoldenJackalがターゲットのネットワークセグメンテーションを十分認識している『高度な脅威アクター』だ」と警告している。
被害地域は欧州が中心ということだが、エアギャップされたPCのある環境でUSBメモリを日常的に利用している組織や企業は十分注意する必要がありそうだ。
上司X: GoldenJackalがエアギャップされたPCから情報を盗み出し、使われているツールが公表された、という話だよ。
ブラックピット: 金色(こんじき)のジャッカルがUSBメモリを悪用すると。警戒していてもこうなるんですよね。
上司X: エアギャップされたPCを運用している組織だ。もちろんUSBメモリの管理もしっかりしているだろうし、十分警戒もしているだろう。
ブラックピット: それでも侵害を続けるって、さすが金色のジャッカル。
上司X: そうなるだろうな。って「金色のジャッカル」ってなんだよ?
ブラックピット: ちょっと、中2っぽいなと(笑)。狙われた組織も災難ですね。
上司X: 欧州の企業や国家組織がターゲットになっているということらしいから、GoldenJackalについては恐らく「あの大国」が関係しているのでは……、というのが大方の見方らしいが。
ブラックピット: 最近大流行のランサムウェアによる人質作戦ではなく、諜報活動なんですね。やっぱり、国家間の争いが大きな理由なのでしょうか。
上司X: そういうことになるかもな。あくまで臆測でしかないけどな。とにかく、USBメモリの扱いは注意に注意を重ねても足りないってことが今回の話からよく分かるな。その辺で拾ったUSBメモリなんて、ホントのホントに使ったらダメだからな!
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.