メインコンテンツにスキップする

~ Kaspersky LabのリサーチャーがVirus Bulletinカンファレンスで論文を発表 ~

[本資料は、2016年10月6日にKaspersky Labが発表したプレスリリースに基づく参考資料です]

Kaspersky Labの調査分析チーム(GReAT)のセキュリティリサーチャー※1Virus Bulletinカンファレンスで発表した論文によると、標的型攻撃の実行者達は、「偽旗(にせはた)」となるタイムスタンプ、言語文字列やマルウェアの利用などの多様な手法により、実在しない組織を装ってサイバー犯罪活動を行っていることが明らかになりました。

標的型攻撃の背後に存在する組織の正体を正確に把握することは非常に困難です。Kaspersky Labは、高度な技術を持つサイバー犯罪組織が、いわゆる偽旗作戦によって標的やセキュリティリサーチャーを欺く事例が増えている現状を公にし、脅威インテリジェンス環境においてアトリビューション(実行者を特定すること)の複雑さと不透明さが増していることを示しました。


セキュティリサーチャーが攻撃の発信元を究明する際に最も重視する指標と、サイバー犯罪組織がそれらの指標を欺いた例を紹介します。

  • タイムスタンプ
    マルウェアには、コンパイルされた時間を示すタイムスタンプが含まれます。十分な数の関連サンプルを集めれば、マルウェア開発者が作業している時間帯を推定することができ、活動拠点のおおよそのタイムゾーンを特定できます。ただし、タイムスタンプは極めて簡単に改竄できてしまいます。
  • 言語マーカー
    多くの場合、マルウェアには文字列とデバッグパスが含まれます。そこから、コード作成者の情報が得られることもあります。最も明白な手がかりは、使用されている言語とその熟練度です。デバッグパスからは、ユーザー名のほか、攻撃のプロジェクトやキャンペーンの内部で使われている命名規則が明らかになることもあります。さらに、フィッシングで利用される文書には大量のメタデータが含まれ、マルウェア開発者が使用したコンピューターの状態を知り得る情報が非意図的に保存されていることもあります。
    しかし、サイバー犯罪組織はこのような言語マーカーを簡単に改竄し、セキュリティリサーチャーを混乱させることができます。サイバー犯罪組織 「Cloud Atlas」 は、使用したマルウェアに偽の言語の手がかりを残しました。Cloud Atlasは東欧とつながりがあるのではないかと多くの人が疑っているものの、BlackBerry用にはアラビア語の文字列、Android用にはヒンディー語の文字、iOS用のプロジェクトパスには「JohnClerk」という文字が含まれていました。別のサイバー犯罪組織 「Wild Neutron」 が使ったマルウェアには、ルーマニア語とロシア語の両方の言語文字列が含まれていました。
  • インフラストラクチャとバックエンドの接続
    攻撃者が実際に使用している指令サーバーを見つけることは、彼らの自宅を見つけるようなものです。指令サーバーは高価で保守が困難なことが多いため、豊富なリソースを持つ攻撃者であっても、過去に利用した指令サーバーやフィッシング用のインフラを再利用する傾向にあります。攻撃者が不正転送サーバーやメールサーバーからデータを取得する際や、ステージングサーバーやフィッシングサーバーの準備やハッキングしたサーバーの調査の際に、インターネット接続を十分に匿名化しなかった場合は、バックエンド接続から攻撃者に関する情報をわずかに得られることもあります。
    ただし、意図的に匿名化しないこともあります。Cloud Atlasは韓国を発信元とするIPアドレスを使うことで、リサーチャーを混乱させようとしました。
  • ツールキット:マルウェア、コード、パスワード、エクスプロイト
    現在では、一般公開されているツールを利用するサイバー犯罪組織もありますが、多くの犯罪組織は依然として独自のカスタムバックドアやラテラルムーブメントツール、エクスプロイトを用意することを好み、それらのツールを用心深く守ります。その結果、特定のマルウェアファミリーの特徴から、リサーチャーがサイバー犯罪組織を絞り込めることもあります。
    サイバー犯罪組織 「Turla」 は、自分たちのマルウェアをアンインストールする代わりに、北京のインフラと通信するTurlaとは無関係の中国の珍しいマルウェアをインストールしました。標的組織のインシデント対応チームがこの目をくらますためのマルウェアを追跡している間に、Turlaは自らのマルウェアを密かにアンインストールして、標的のシステムからすべての痕跡を消し去りました。
  • 攻撃者の標的
    攻撃者の標的からも「手がかり」を得られる可能性はありますが、つながりを正確に立証するには、高度な解釈と分析力が必要です。たとえばWild Neutronのケースでは、標的リストがあまりにも多岐にわたっていたため、アトリビューションの特定が難航しました。
    さらに、攻撃者と標的の間には明白なつながりがあって欲しいと思う一般の人々の気持ちを逆手にとり、社会的、政治的な主張を目的としたハクティビストを装って活動するサイバー犯罪組織も存在します。 「Lazarus」 グループは、2014年にSony Pictures Entertainmentを攻撃したとき、自ら「Guardians of Peace」と名乗りました。「Sofacy」として知られるサイバー犯罪組織も同様の方法を取り、複数のハクティビスト集団を装っていると考えられています。
    最後に重要な点ですが、攻撃者が別のサイバー犯罪組織に罪を着せようとすることもあります。このアプローチを使ったのが、正体不明の犯罪組織「TigerMilk」 ※2 です。TigerMilkは、過去にStuxnetが盗用した証明書と同じものを使ってバックドアに署名しました。

Kaspersky Labのシニアセキュリティリサーチャー、ブライアン・バーソロミュー(Brian Bartholomew)は次のように述べています。「標的型攻撃のアトリビューションは複雑で当てにならず、客観性を欠きます。それに加え、リサーチャーが利用する指標を改竄して混乱させようする事例が増えているため、正確なアトリビューションはほぼ不可能だと私たちは考えています。脅威インテリジェンスには『実行犯』の特定よりはるかに深くて測定可能な価値があります。マルウェアエコシステムの最上位に位置する捕食者を理解して、強力かつ実行可能な脅威インテリジェンスを必要とする組織に提供することが求められています。私たちはそこに注力するべきです」

標的型攻撃で「偽旗」を使用してアトリビューションを混乱させる手法の詳細および論文については、Securelist.comをご覧ください。また、Kaspersky LabのAPTインテリジェンスレポートサービスの詳細については、こちらをご覧ください。


※1 Global Research and Analysis Team(GReAT、グレート)セキュリティリサーチャー
ブライアン・バーソロミュー(Brian Bartholomew)、ファン・アンドレス・ゲレーロサーデ(Juan-Andres Guerrero-Sade)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

※2 TigerMilkに関するレポートは、APTインテリジェンスレポートサービスで提供しています。


「偽旗」作戦を駆使し、標的やセキュリティチームを欺くサイバー犯罪組織が増加

Kaspersky Labのリサーチャーが調査した結果、標的型攻撃の実行者達は、「偽旗」となるタイムスタンプ、言語文字列やマルウェアの利用などの多様な手法により、実在しない組織を装ってサイバー犯罪活動を行っていることが明らかになりました。
Kaspersky Logo