サイバー世界に蠢く中国APT集団の影 (7) 攻撃者のスクリーンショットを入手

江添 佳代子

November 29, 2016 08:00
by 江添 佳代子

今回は「Cyber Security Summit」を利用したAPT集団のスピアフィッシングメールについて解説するとともに、それを研究したPalo Alto Networksの見解を紹介したい。

悪用された企業自身による「囮ファイルの研究」

Palo Alto Networksは、スピアフィッシングの囮として使われたWordファイルを精査することで、犯行グループの正体に繋がる情報を得ようと試みた。その結果、非常に興味深いものを手に入れている。

同社の研究チームは、犯行グループが攻撃に利用していたシステムを調査する中で、「囮のファイルを作成した際のスクリーンショット」を入手することに成功した。その画像を見ると、攻撃者はMicrosoft WordとFoxit Reader(Foxit社のPDFリーダー)を利用しており、「正規のCyber Security Summitの招待状」から画像を切り抜いて、それを囮のファイルに貼り込んでいたことがわかる。

このスクリーンショットが面白いのは囮文書の作成方法ではなく、「彼らのPC環境に関する様々な情報が見てとれる」という点だ。まず、その操作画面で開かれているFoxit Readerのメニュー文字は簡体字で表示されている。簡体字は、中国本土で一般的に使用されている文字だ(一方の繁体字は、台湾や香港で利用されている)。

正規の招待状を切り抜く、攻撃者の画面キャプチャー

またWindowsトレイを見ると、現在利用しているIMEを示す部分に「CH(中国語)」の文字があり、さらにユーザーが「Sogou Pinyin」を利用してピンインの文字入力をしていることを示すアイコンもある。この画面がキャプチャされたのは、PDFリーダーを扱っている最中であるため(=文字入力をしている最中ではないので、あえて他言語の入力設定にする必要はないはず)、ここで示されているPCの言語設定はデフォルトだったと考えられる。つまり、そのPCを操作しているのは「普段から簡体字の中国語を利用している人物」である可能性が高い。

もうひとつ、Palo Alto Networksが注目したのは「Windowsのタスクバーの右端に表示されている時刻」だった。攻撃者が画像を切り取るために、2つのスクリーンショットを撮影した時間は「現地時間で2016年10月19日の午前8時35分(および36分)」。そして囮のWordファイルが作成された時間は、「協定世界時(UTC)午前7時51分」である。画像を切り抜いて取り込んだはずのファイルが、その画像よりも先に作成されるわけがない。つまり犯行グループがどれほど素早く作業をしたとしても、それは「UTC + 1以上」の地域で行われていなければ辻褄が合わない。もっと大雑把に分かりやすく言うなら、囮のファイルはロンドンよりも東側で作成されたということになる。

手がかりとなるIMEの種類と時刻

ついに言及された「中国」

このタイムラグの発見に関して、Palo Alto Networksは次のように記した。「もしも攻撃者の時計が中国標準時間(UTC + 8)に設定されていたとするなら、『スクリーンショットを撮ってから7時間15分後に、囮の文書の完成版が作成された』と推測できる」。

これまでの同社は、ロータスブロッサムに関する詳細な研究を続けつつも、責任の帰属を避け、具体的な国名を挙げようとはしなかった。上記の一文は、同社が公式に「中国の犯行」を示唆した初めての記述だろう(あくまでも「仮定として」ではあるが)。

そしてPalo Alto Networksは、今回の研究結果をまとめる形で記事を締めくくり、最後に「我が社のセキュリティ製品を利用している顧客の皆様の環境においては、脆弱性(CVE-2012-0158)に対するエクスプロイトが有効とならないため、このスピアフィッシングメールの攻撃の影響を受けることはない」と伝えた。

自社の主催するイベントが開催される直前の忙しい時期に、このようなスピアフィッシング騒動の対応に追われることとなったうえ、「正規の招待状メール」を送ることもできなくなったPalo Alto Networksにとって、今回のインシデントは大きな災難だった。しかし同社は、敵の囮ファイルを分析することで「ロータスブロッサム作戦の実行犯と思わしきAPT集団」の実態に大きく迫ることができた。その研究結果は複数のセキュリティニュースで取り上げられている。

また「Palo Alto Networksの顧客は、今回の攻撃をブロックすることができた」という事実のおかげで同社の面目が潰れることもなく、むしろセキュリティベンダーとしての信頼度は上がっただろう。さらに「世界中で開催されているカンファレンスCyberSecurity Summit」の知名度アップという効果も考えるなら、同社にとって今回のインシデントは、むしろ好機といえる幸運な事件だったかもしれない。
  
(その8に続く)




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…