脅威インテリジェンス

脅威アクター

鹿山です。脅威アクターについて知り、攻撃者がしたいことを知っていくことがオフェンシブセキュリティの基礎だと思っています。そこで、日本を攻撃した脅威アクターにおいて、日本が名指しで批判した脅威アクターについてまとめてます。日本は2017年以降、9のパブリックアトリビューションを実施しています。

パブリックアトリビューションとは、法執行機関や政府機関が特定のサイバー攻撃者の所属(国など)や攻撃手法を公的に言及することを指し、主には被害を抑止することなどを目的とした政治的取り組みです。

目次
  1. No.1 WannaCry(2017年12月20日)
  2. No.2 APT10(2018年12月21日)
  3. No.3 Tick(2021年4月22日)
  4. No.4 APT40(2021年7月19日)
  5. No.5 ラザルス(2022年10月14日)
  6. No.6 BlackTech(2023年9月27日)
  7. No.7 APT40(2024年7月9日)
  8. No.8 Trader Traitor(2024年12月24日)
  9. No.9 Mirror Face(2025年1月8日)

No.1 WannaCry(2017年12月20日)

マルウェアWannaCryを用いたサイバー攻撃が北朝鮮が関与していることを非難する声明が米国政府より発表。これについて日本においても、同様に非難。

WannaCryの横展開の特徴として、EternalBlue(MS17-010)の脆弱性を用います。これはSMBv1(445/tcp)のプロトコルに対して、バッファオーバーフローを発生させリモートコード実行することで感染拡大していくことが知られている。

猛威を振るったのは、2017年5月12日、150カ国以上の30万台の端末に感染した。英国や欧州では社会インフラが麻痺し、手術がキャンセルされる事態にも発展している。

WannaCryと北朝鮮を結びつける判断の根拠として、乱数関数を呼び出すコードの類似性が挙げられる。もちろん、北朝鮮は関与を否定している。

攻撃の動機として挙げられるものは、①金銭目的、②破壊工作がある。

外部省:米国による北朝鮮のサイバー攻撃に関する発表について(外務報道官談話)

No.2 APT10(2018年12月21日)

中国を拠点とするAPT10によるサイバー攻撃において、英米共同で声明文を発表。日本においても、民間企業や学術機関へ攻撃があったとするもの。ここでの日本での声明は、「(英米声明を)強く支持」や「(中国によるサイバー攻撃を)断固拒否」という言葉を用いている。

攻撃手法としては、独自に開発したマルウェアの使用はもちろんのこと、CobaltStrikeという商用ペネとレーションツールを用いた攻撃も観測されている。

初期侵入は主に標的型メール。実行ファイルとマクロを使ったPowershell実行が確認されている。

攻撃の動機としては、知的財産の窃取が考えられる。中国には「高度な技術自立自強」政策があり、中国が取り組む必要がある35のボトルネック基礎技術なるものが存在する。それらの知的財産を窃取するために、長期的且つ広範にサイバー空間において攻撃を行っていると言われている。これについてはまた、まとめる。

外務省:中国を拠点とするAPT10といわれるグループによるサイバー攻撃について(外務報道官談話)

No.3 Tick(2021年4月22日)

2016年から2017年の間、五回にわたり、偽情報を用いてレンタルサーバーに会員登録し、そのサーバーを用いてJAXA等にサイバー攻撃をした中国共産党の男を警察庁公安部が書類送検。その男の供述から約200の国内企業へのサイバー攻撃が中国を拠点とするTickによる可能性が高いと結論づけた。

Tickの目的は、知的財産の窃取。海洋工学、通信、電力、製造業など多くの業界を狙った攻撃を行っている。

Tickの攻撃対象は、2018年ごろから変化。メールの配送先を国内から海外へとシフトしている。

2019年Tickの攻撃の特徴は、横展開を無作為に行うのではなく、感染が成功した端末から(ダウンローダーに簡易な遠隔操作機能を用いて)より多くの情報を入手し本当に必要な標的に絞って感染を拡大する点にある。セキュリティ製品の検出回避を狙っている。

警察庁:国家公安委員会委員長記者会見要旨(令和3年4月22日(木)12:21~12:28)

No.4 APT40(2021年7月19日)

中国政府を背景に持つAPT40は度々オーストラリアのネットワーク、政府および地域の民間セクターのネットワークを標的にしている。英米の声明文発表に伴い、内閣サイバーセキュリティセンター、警察庁はパッチ適応などの基礎的なサイバーセキュリティ対策を呼びかけた。

APT40の特徴はAPT40は新しい脆弱性の概念実証エクスプロイト(POC)を迅速に変換・適応させ、関連する脆弱なインフラを持つネットワークを標的として即座に利用する能力を有している点にある。いわゆる「Nデイ攻撃」である。

定期的に標的の偵察活動をしており、脆弱性を使って侵害する機会を伺っている

APT40については、唯一2回パブリックアトリビューションを実施している。詳しい攻撃についてはそこでまとめる。

外務省:中国政府を背景に持つAPT40といわれるサイバー攻撃グループによるサイバー攻撃等について(外務報道官談話)

No.5 ラザルス(2022年10月14日)

専門家報告書において、北朝鮮当局の下部組織とされるラザルスが暗号資産関連組織を標的としたサイバー攻撃を行っていると指摘。加えて、FBIがラザルスの攻撃手法を公開。これを受けて、日本においてもリスク低減の対処例を示し注意を呼びかけた。

初期侵入は、標的型メールやSNSアカウントを通じたマルウェア感染などがある。ここでのラザルスの特徴は、暗号通貨の盗難を目的とするマルウェアを使用すること。

この時期に使用されたマルウェアは、Electronというウェブ技術でデスクトップアプリケーションを作成できるテクノロジーを使用して作成されている。このアプリケーションは、さまざまなオープンソースプロジェクトから派生しており、暗号通貨取引または価格予測ツールに偽装している。このアプリのアップデート関数に悪意あるコードを紛らせ、遠隔操作を可能とするRATが標的のPCにダウンロードされる。

金融庁、警察庁、内閣サイバーセキュリティセンター:北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

No.6 BlackTech(2023年9月27日)

中国政府を背景に持つBlack Teckは、日本を含む東アジアと米国の政府、産業、技術、メディア、エレクトロニクス及び電気通信分野を標的にサイバー攻撃を行っている

No.7 APT40(2024年7月9日)

No.8 Trader Traitor(2024年12月24日)

No.9 Mirror Face(2025年1月8日)

ABOUT ME
セキュリティ鹿
サイバーセキュリティの最新を追い続けます。都内でサイバーセキュリティリスクを管理しています。
BLOG:https://www.deeronsecurity.com
関連記事