北朝鮮のサイバー犯罪集団「Hidden Cobra」による世界規模のサイバー攻撃 幅広い業界でデータ流出被害

ライフライン、エンターテイメント、金融、医療、通信を含む幅広い業界を襲うグローバルな組織的データ窃盗の存在をマカフィーの Advanced Threat Research(ATR)のアナリストが明らかにしました。 「Operation GhostSecret」(以下、GhostSecret)と名付けられたこの攻撃は、北朝鮮の国家的支援を受けているサイバー犯罪集団「Hidden Cobra」に関連する複数のインプラント、ツール、マルウェアの亜種を利用しています。インフラストラクチャーは現時点でアクティブなままです。 (ATRチームのより詳細な分析は、GhostSecretの情報窃盗に関する分析記事 “世界中のデータ狙うHidden Cobra「GhostSecret」を分析” をご参照ください。)

この組織的な攻撃は極めて複雑で、感染したシステムから情報を盗むため多数のインプラントを使用、その上検出を回避し、調査の目を欺くよう綿密に設計されています。使用される複数のインプラントはそれぞれかなり異なり、いくつかの機能とコードを共有しているものの、カテゴリーが異なっています。 マカフィーATRのアナリストがこの攻撃を調査した結果、2014年のソニー ピクチャーズへの攻撃で使用されたインジケータと多くの類似点が見られました。

この攻撃の一つで、Bankshotのインプラントを使用してトルコの金融部門を狙った案件をマカフィーATRのアナリストが最近検知しました。これはGhostSecretの初期段階だったようです。発表の翌日には、新たな攻撃が金融機関以外でも発生、3月14日~18日の間に、計17カ国でデータ窃盗のためのインプラントが検出されました。

この攻撃に関わる犯罪組織の容疑者リストの幅は、追求すればするほど狭くなります。彼らはどのIPアドレスから誰が接続できるかを明らかにしているのです。これらのIPアドレスのWHOIS情報を確認すると、互いに何らかの地理的な相関関係があることがわかりますが、これらのアドレスがなぜ使用されたかについては、それ以上の鍵となるような情報はありません。

この攻撃では初期の段階で検知され発表されても、攻撃の手を緩めさせることにはまったくつながらなかったことは経緯を見れば明らかです。彼らは単に攻撃を継続しただけでなく、標的の種類、使用ツールの両面で攻撃の範囲を拡大したのです。「熟練」という言葉は陳腐で主観的なので使わないようにしていますが、それにしても攻撃者は相当な能力があり、それは彼らのツールの開発とそのペースをみても分かります。

サイバー犯罪撲滅には、官民の効果的なパートナーシップを通じて取り組むのがベストです。マカフィーは、タイの取締当局がGhostSecretのコントロールサーバーインフラストラクチャーを廃止し、さらなる分析のための関連システムを保護するよう、タイ政府との協力を進めています。マカフィーは、世界各国の取締当局とのパートナーシップの構築とその継続を通じ、脅威には団結して当たることが最良の策だと実証しています。

※本ページの内容は、2018年4月24日更新のMcAfee Blogの内容です。
原文: Global Malware Campaign Pilfers Data from Critical Infrastructure, Entertainment, Finance, Health Care, and Other Industries
著者: Raj Samani

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速