2019年夏、サイバーリーズンの研究者は、通信事業者に対する大規模な攻撃を発見し、それをOperation Soft Cellと名付けました。今週、サイバーリーズンの研究者は、通信事業者に対するより広範な攻撃の詳細を、DeadRinger:大手通信事業者を標的とする中国の脅威アクターの正体を暴く(前編)DeadRinger:大手通信事業者を標的とする中国の脅威アクターの正体を暴く(後編)を通じて明らかにしました。このレポートでは、東南アジアの通信事業者を標的とした中国発のサイバースパイキャンペーンを取り上げています。

調査により判明したこと

DeadRingerに関する際立った特徴の1つとして、SolarWindsKaseyaのような最近の攻撃と似ている点が挙げられます。たとえば、DeadRingerの攻撃者は、特定の標的をハッキングするのではなく、彼らが目を付けた標的が使用しているサードパーティのサービスプロバイダーに侵入しましたが、その目的は、マルウェアの配布ではなく、秘密裏に監視を行うことでした。

サイバーリーズンのNocturnusチームは、3つの独立した脅威アクターが並行して活動していることを確認しました。これらの3つのグループ(Soft Cell、Naikon、Group-3390)には1つの共通点があります。それは、これらのグループがいずれも中国の利益のために活動していると言われているAPTグループであることです。これらのグループは、同じような手法を採用しており、かつ同じようなツールや戦術を利用しており、さらには同じ標的に狙いをつけていたことから、サイバーリーズンの研究者は、彼らが協調して活動しているようだと評価しています。我々は、中国の利益を第一とする中枢機関が、これら3つのグループに対して、高い価値を持つ標的の通信を捕捉し監視するという使命を割り当てたものと考えています。

サイバーリーズンの研究者は、この攻撃が非常に高い適応力とパーシステンスを備えている上に、高度な検知回避機能もサポートしていることを確認しました。この脅威アクターは、自らの活動を慎重に隠蔽しており、侵入したシステム上でパーシステンスを維持するよう努めていました。また、彼らが従来型のセキュリティソリューションを回避しており、緩和策を回避するためにリアルタイムで対応していることも確認されました。脅威アクターがこのような技能レベルおよび洗練レベルを備えていることは、これらのサイバースパイ活動を指揮している人物にとって、標的が非常に価値の高いものであることを示唆しています。

DeadRingerとサイバースパイ活動

バイデン政権は最近、今年初めにMicrosoft Exchange Serverの脆弱性を狙ったHAFNIUM攻撃において中国が果たした役割に関して、世界の同盟国と協調した上で中国を非難しました。DeadRingerに関するレポートで観測されたアクティビティは、これよりずっと前の2017年にまでさかのぼりますが、今回の調査は、我々が直面しているサイバーセキュリティ上の課題を示しているほか、サイバースパイの交戦規定を確立するために、我々はどこまで努力する必要があるのかを示しています。

DeadRingerの一部として研究者が観測したアクティビティは、サイバースパイ活動をはじめ、特定の高価値ターゲットの通話データ、位置情報、メッセージングデータを収集することを重視したものでした。しかし、攻撃者は侵入したネットワークに対するアクセス権と制御権を確保していたため、その気になれば、彼らは通信事業者を簡単に停止することもできたはずです。

バイデン大統領が、サイバー攻撃により敵対行為がエスカレートすると、物理的な戦争にまで発展する可能性があると警告したことを受けて、今や世界の国々にとって、国家が黙認しているかまたは積極的に後援しているサイバー活動に対する明確な交戦規定を定義することが急務となっています。また、官民が協力してサイバーセキュリティ全般を向上させることで、脅威の検知と対応をより効果的に行えるようにすることも重要です。

【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜

サイバーリーズンは、ランサムウェアがビジネスに及ぼす影響に関するグローバル調査を2021年4月に実施しました。 本レポートでは、主な業種におけるランサムウェア攻撃のビジネスへの影響を把握した上で、ランサムウェア対策アプローチを改善するために活用できるデータを紹介しています。 https:https://www.cybereason.co.jp/product-documents/survey-report/6368/