米Palo Alto Networksは米国時間の6月16日、東南アジア各国の政府や軍事機関を標的としたとみられる一連の国家的サイバー攻撃に関する調査結果を公開した。

この攻撃は、Palo Altoの脅威インテリジェンス調査チーム「Unit 42」によって発見され、「Operation Lotus Blossom」と名付けられた。攻撃は香港、台湾、ベトナム、フィリピン、インドネシアを標的として3年前にまでさかのぼり、国家的なオペレーションに関する内部情報の取得を試みていると想定されている。

Unit 42チームは、最近発表されたパロアルトネットワークスのサイバー脅威インテリジェンスサービス「AutoFocus」を使用し、この一連の攻撃を発見したとのこと。AutoFocusは、6000以上の脅威インテリジェンスクラウド「WildFire」加入者や、その他の情報源経由でセキュリティ脅威を相関して検索することが可能。

発見された一連の攻撃であるOperation Lotus Blossomについては、50回以上の個別攻撃が確認されている。これらはすべて「Elise」と呼ばれるカスタマイズされたトロイの木馬を使用し、標的を絞ったスピアフィッシングメールを配信し、標的システム上で最初の足場を生成する。

Unit 42は、このEliseがオペレーションに関する特異なニーズを満たすように開発されただけでなく、攻撃と無関係なところでも使われていると考えているという。

この攻撃は特注ツールの使用、豊富なリソース、複数年にわたる継続性が確認されていることから、背後に潤沢な資金を持つ組織的な団体が存在すると考えられる。

Unit 42は、これらの要素と標的の性質を考慮し、サイバースパイ行為が攻撃の動機となっており、背後には東南アジアの地域情勢に強い関心を持つ国家が関与しているか、資金提供をしていると推測する。

Unit 42のインテリジェンス・ディレクター、ライアン・オルソン氏は、以下のようにコメントしている。

「Operation Lotus Blossomで使用されたトロイの木馬によるバックドアと脆弱性の悪用は、今日の基準からすると最先端ではありませんが、この種の攻撃が成功し、機密データにアクセスできるようになるのは有害なことです。古い脆弱性（ぜいじゃくせい）を悪用するという手法は、依然として攻撃者にとって効果のある手法となっているため、組織がサイバーセキュリティ対策を改善せず、未然防止的な考え方を持つ限り続くでしょう」