日本の重要インフラを狙う「Operation Dust Storm」攻撃

March 17, 2016 11:30

by 『Security Affairs』

セキュリティ会社 「Cylance」が、日本のインフラ企業を標的にした長期に及ぶハッキングキャンペーン「Operation Dust Storm」について明らかにした。

Dust Stormの背後にいる攻撃者は、少なくとも2010年から活動している。このハッカーらは、日本や韓国、米国、欧州、その他アジア諸国の複数の組織を標的とした。

このグループはうまく組織化されており、十分に資金があると専門家らは考えている。また状況から、国家が支援する攻撃者が関与していると研究者らは推測している。

攻撃者が日本の企業に焦点を置き始めたのは2015年以降であると Cylanceの研究者らは明らかにした。このハッカーは日本の発電、オイル・天然ガス、輸送、金融、建設業界の企業ネットワークに侵入していた。

被害を受けた企業の中には、自動車メーカーや韓国の電力会社の日本の子会社、石油・ガス企業が含まれている。このハッカーは水飲み場型攻撃やスピアフィッシング攻撃を実行し、独自のバックドアとゼロデイエクスプロイトの有効性を実証した。また2015年5月に実施された多数の攻撃では、同グループは韓国や日本の標的に対して複数のAndroidバックドアも使用していた。

幸いにもこのグループがDust Stormの一環として実行したこの攻撃は高度なものではなかった。ハッカーがAdobe Flash Player (CVE-2011-0611) とInternet Explorer (CVE-2011-1255)のゼロデイ脆弱性を悪用して「Misdat」というマルウェア群を配信していた2011年に、この研究者らは同グループに気付いていた。

「アジアを標的とした攻撃において同グループの主要なバックドアがかなり目立っていたにも関わらず、2010年にはこの攻撃者に関する有効な公開情報がほとんどなかった」と Cylanceが発行したレポートに記載されている。「Dust Stromは、被害者のネットワークに足掛かりを作るために、パッチが当てられていなかったInternet Explorer 8 の脆弱性（CVE-2011-1255）を利用した一連の攻撃を行った。このことから、2011年6月になってようやくDust Stromの存在が知られ始めた」

2011年10月、ハッカーはカダフィの死に続くリビア危機に関する情報収集にターゲットを置いた。2012年には、同グループはサイバー諜報活動のために Internet Explorerのゼロデイ（CVE-2012-1889）を悪用した。

中国のAPT集団である「APT1」に関する『Mandiant』の分析結果公表後の2013年3月に、Dust Stormの活動が大幅に減少していることにCylanceの専門家は気付いている。

2014年2月にDust Stormの背後にいるグループは再び姿を現し、新しいInternet Explorer のゼロデイ（CVE-2014-0322）を悪用して水飲み場型攻撃を行う一連の攻撃を開始した。

日本の重要インフラに対する攻撃が将来急速に拡大すると Cylance の研究者は確信している。



「しかし日本の重要インフラや資源関連の企業に対するこのような性質の攻撃は継続し、将来的には拡大し続けると我々のチームは考えている」と Cylanceは結論付けている。



翻訳：編集部

原文：Operation Dust Storm, hackers Target Japanese Critical Infrastructure

※本記事は『The Hacker News』の許諾のもと日本向けに翻訳・編集したものです