※本記事は、マカフィー社 CTO兼エグゼクティブバイスプレジデント George Kurtzによるものです。
2010年、McAfee Labsでは1日あたり平均5万5,000件もの新規マルウェアを確認しました。今回は、その中の1つの大規模な攻撃にスポットを当てて、単なるハッカーの嗜好的活動から、組織的な専門的活動へと進化しつつあるサイバー犯罪の性質の変化について、McAfeeが「Night Dragon(ナイトドラゴン)」と呼んでいる攻撃を例にあげて考察します。
2009年11月から、世界的な石油、エネルギー、化学企業数社に対し、隠密裏にサイバー攻撃が行われはじめました。攻撃者が標的としたのは、油ガス田の入札や経営に関する、運営やプロジェクトファイナンスに関する独占的な情報でした。これは非常に機密性の高い情報であり、熾烈な競争が起こるこの業界では、数十億ドル規模の取引の成否が情報の有無によって、決まることもあります。
McAfeeでは、今日まで続く一連の攻撃で使用されているツール、技術、およびネットワーク活動を、この度突き止めました。これらの攻撃では、ソーシャルエンジニアリング、スピアフィッシング、Windowsのエクスプロイト、Active Directoryの脆弱性、リモート管理ツール(RAT)の使用など、複数のハッキング技術が複雑に組み合わされています。
上に掲げた一連のハッキング技術は、一般の人々にとっては高度な技術と映るかもしれませんが、手法やツールそのものは決して高度なものではなく、管理者の資格を乗っ取る標準的なホスト管理テクニックであると思われます。このようなツールやテクニックは、実際にMcAfeeが調べている多くの侵入事例に共通しており、10年前のものでも十分に通用します。
McAfeeでは、一連の攻撃が発生して以来、これらの攻撃で使用されている悪意のあるソフトウェアやツールの特定を行っており、保護の提供を開始しました。そして、共通で使用されているツールや証拠の相関性に関する分析により、McAfeeは標的を絞り込んだ集中的な攻撃が少なくとも2年前、場合によっては4年も前から行われていることを、この度突き止めることができました。現在では、一連の攻撃で見つかったシグネチャをNight Dragon攻撃という特定の現象に関連づけることが可能になっています。
また、攻撃の実行者が中国を拠点にしていたことを示唆する証拠も確認しました、一連の攻撃で使用されたツール、技術、ネットワーク活動は、主として中国が出所になっています。このようなツールは中国語のwebフォーラムで簡単に手に入りますし、実際に中国人のハッカーグループによって広範囲に使用される傾向があります。McAfeeでは、今後これらの特徴を解明することにより、企業での検出や調査を支援していきます。
Night Dragon攻撃のように、高度に連携され、かつ特定の標的にターゲットを絞った組織化されたサイバー攻撃は、急速に増加しており、軍需産業の拠点、政府および軍用コンピューターにとどまらず、世界的な組織や民間企業にまで、その攻撃対象は広がっています。
現在のサイバー攻撃の目的は、政府や企業のPCを悪用するだけではなく、特定のデータや知的財産を盗用することにまで及んでいます。そして犯罪者は、これらの目的を着実に遂行するため、特定の対象に的を絞った効率的な攻撃を仕掛けてきます。今後の企業セキュリティにとって、知的財産の保護に積極的に取り組んでいくことが、必要不可欠といえるでしょう。
世界のエネルギー業界を狙ったNight Dragon攻撃について、詳しくは下記ページをご覧ください。(PDF:英語のみ)
http://www.mcafee.com/us/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf
関連記事
- [2010/09/16] 未知の脅威からの保護を実現するレピュテーション技術
- [2010/06/18] Operation Auroraのターゲットはソースコードリポジトリーと判明
- [2010/06/03] 「グーグル社Windows使用中止」へのメッセージ:Operation Auroraは、テクノロジーでもOSの問題でもない
- [2010/04/08] ベトナムのユーザーをターゲットにしたサイバー攻撃が登場
関連情報
※本ページの内容はMcAfee Blogの抄訳です。
原文:Global Energy Industry Hit In “Night Dragon” Attacks
