ニュース
北朝鮮の“国家支援型”サイバー攻撃グループ、日本を狙う「APT37」と金融機関を標的にする「APT38」
2019年4月23日 12:36
ファイア・アイ株式会社は、年間のセキュリティ動向をまとめた「Mandiant M-Trends 2019」レポートを公開した。政府機関などを標的にしたAPT(Advanced Persistent Threat)攻撃グループの最新動向と同社レッドチームの活動から得られた知見などを紹介している。
目的が異なる2つの攻撃グループ、北朝鮮の「APT37」「APT38」
国家組織の支援を受けてサイバー攻撃を仕掛けるグループは「APT(数字)」という名称で識別されているが、今回のレポートでは北朝鮮の「APT37」および「APT38」、イランの「APT39」、中国の「APT40」が新たに追加された。
APT37は別名「Reaper」と呼ばれている。軍事や政治、経済に対する北朝鮮の戦略的利益につながる情報の収集を行う傾向があり、2012年から活動しているとみられている。当初は韓国の組織を標的にしていたが、2017年以降は日本、ベトナム、中東地域へと攻撃対象を拡大した。製造、航空宇宙、自動車、医療機関などの業種を標的している。また、韓国の官公庁や民間組織、北朝鮮からの亡命者や人権活動家も標的としている点から、同グループの活動内容が北朝鮮の利害に一致しているという。
一方、APT38は金銭窃取を目的に、世界中の金融機関へ攻撃を仕掛けているのが特徴。長期的な計画に基づいて活動しており、目的達成後は徹底した破壊活動で調査の妨害も行う。金融機関から窃取を試みた金額は2015年以降に数億ドル規模に上り、2016年にはバングラデシュの中央銀行から8100万ドルを盗み取った事例がある。なお、APT38は国家支援を受けているAPTグループの中でも金銭窃取を目的に活動している唯一のグループになるという。
APT37とAPT38は、初期段階では自国内での活動を集中的に行っていたが、最近では「日本など地政学的に関係の深い国を標的に攻撃を拡大している」とファイア・アイの千田展也氏(シニアインテリジェンスアカウントアナリスト)は説明する。
イランのAPT攻撃グループであるAPT39については、ファイア・アイが2014年11月から活動を追跡しているが、主に中東地域の通信業界や旅行業界などを標的としていることが分かった。また、APT40は中国の「一帯一路」構想に関わりのある国を標的としており、遅くとも2013年1月ごろから活動を始めている。標的は東南アジア地域に集中しており、主に海運、航空、化学、研究/教育機関、官公庁などを標的にしている。同グループの活動時間を解析したところ、北京時間(UTC+8)に基づいて攻撃を展開しており、使用するマルウェアについても中国による他のサイバー攻撃でも見られることから、攻撃グループ同士が連携している可能性もあるとファイア・アイは推測する。
APT攻撃グループのほかにも、ビジネスメール詐欺や金融犯罪に関与する攻撃グループがある。こうしたグループは攻撃で得られる利益以上に手間を掛けようとしないため、標的側は時間や金銭的リソースを掛けさせる防御策が効果的だという。しかし、APT攻撃グループの場合は国家機密の奪取など、目的を達成するまで継続的に攻撃を行う点が異なる。
攻撃発見時に慌てて証拠破壊、原因特定を遅らせることに
同社グループであるMandiantのレッドチームが2018年に行ったインシデント対応調査では、特権アカウントの認証情報に対するセキュリティ侵害などがよく見られた。最初に感染したエンドポイントの多くは標準ユーザーに割り当てられたシステムで、そこから攻撃を拡大される傾向があった。
攻撃者は侵入後も長期間にわたり潜伏している場合があり、標的側が気付いたときにはすでに長い時間が経過していることがある。侵入経路や攻撃手法を明らかにすることが、その後のセキュリティ対策につながるため、発見時には慌てず対応することが重要になる。復旧タイミングや方法を誤ったことで、原因特定を遅らせてしまったケースもあった。
千田氏は「調査時に攻撃の全貌が見えることはあまりないため、痕跡情報を消すことは調査をさらに困難な状態にしかねない」と指摘する。また、セキュリティ対策として、「入口対策だけで良いのでは?」といった声も挙がるそうだが、ミスを絶対に起こさないようにすることは現実的ではないため、「初期侵入の防御に偏ることなく、後ろ(出口対策)まで含めて防御できる仕組みを作ることがセキュリティの本質になる」と述べた。
また、セキュリティ対策として使用される多要素認証も突破される事例が複数出ていることから過度に信用しないよう忠告している。過去には、イランのAPT34がメールで配信されたソフトトークンを見つけるためにメールアカウントに不正アクセスする事例も確認されている。
セキュリティ侵害時に何を盗まれたか気にする場合が多いが、「攻撃者に何を置いて行かれたか」気にすることも必要だ。それを把握するためにも証拠の破壊を行わないように慌てないこと、また、インシデントへの対応手順をまとめた“プレイブック”の定期的な見直しも必要だとしている。最新のセキュリティソリューションの導入時にも効果測定を行うべきだという。
このほか、レッドチームによる模擬攻撃中に実際に本物の攻撃を仕掛けられ、どちらのものか判別が困難になったケースが紹介された。
この場合、疑わしい活動がレッドチームなどによって許可されたものと思い込まないことが重要になる。最低限のリソースでレッドチームサービスを提供する事業者によっては、こうした非常時への対策が十分に取られていないことがあるため注意する必要があるとしている。
Mandiant M-Trends 2019は、Mandiantが2018年にグローバルで実施したインシデント対応調査に基づいており、日本を含むアジア太平洋(APAC)地域および、欧州、中東、アフリカ地域などの調査から得られた統計情報をまとめている。