イラン政府の関与が疑われる諜報活動グループ「APT33」が韓国を狙った理由

江添 佳代子

October 13, 2017 08:00
by 江添 佳代子

セキュリティ企業「FireEye」は9月20日のブログで、「APT33」と呼ばれるサイバー諜報活動グループの分析結果を報告した。同社のレポートによれば、この「APT33」はイラン政府の指示を受けて活動するAPT集団で、これまでのところ米国、サウジアラビア、韓国の航空宇宙、および石油関連の組織を標的としてスパイ活動を行ってきたという。

イランといえば先日、「新型弾道ミサイルの発射実験に成功した」と発表し、米国から強く非難されたばかりである。また「イラン政府」のAPT集団が、米国やサウジアラビアだけでなく「韓国」まで標的にしたという報告は気になるところだ。ここでは説明を交えながら、同社のブログ記事を紹介したい。

サイバー諜報集団APT33とは?

FireEyeの分析によれば、APT33は遅くとも2013年から高度なサイバー諜報活動を行ってきたAPTグループで、これまで米国、サウジアラビア、韓国に本部を置く複数の産業の組織を攻撃してきた。彼らが標的とするのは「軍事・商業の航空宇宙セクターの組織」および「石油精製や石油化学などのエネルギー産業」であるようだ。FireEyeは、これまでAPTに狙われた組織として次の事例を挙げている。
 
◇2016年の中頃から2017年の前半
・米国の航空宇宙セクターの組織に対するセキュリティ侵害
・サウジアラビアのコングロマリット(航空関連の事業も行っている)を標的としたサイバー攻撃
・韓国の石油精製・石油化学製品の関連企業を標的としたサイバー攻撃
◇2017年5月
・サウジアラビアの組織、および韓国のコングロマリットを標的とした攻撃(※)

以上の5つの攻撃はそれぞれ「1つの組織」を標的として行われたようだが、報告書の中に具体的な組織名は挙げられていない。


標的マップ。FireEyeのレポートより
 
※…2017年の攻撃で標的となった2組織の業種は報告書の中で述べられていない。だが、このときの攻撃では「サウジアラビアの石油化学企業の求人情報を装ったファイル」が用いられたと説明されているので、おそらく両者とも石油化学業界と繋がりのある組織だろう。

APT33による「スピアフィッシング」

FireEyeは、APT33が航空関連の組織を攻撃する際に利用したスピアフィッシングの手口を例として公開している。そのスピアフィッシングメールは、「航空業界の職員」をピンポイントに狙って送りつけられたもので、内容は「同業界の他組織による求人情報」を装ったものだった。そこには実在する組織の名前、人材を求めている職種の業務内容、雇用機会や給与などに関する具体的な情報が掲載されていた。

そのメールには、「人気の求人ウェブサイトに掲載された実際の投稿」へのリンクと共に、.hta(HTMLアプリケーション)ファイルの罠が仕掛けられていた。送りつけられた人物から見れば、いかにも「まっとうな人材募集の情報」が表示されているように見えるのだが、実際にはバックドアをダウンロードさせるコードが埋め込まれている。


APT33が送り込む .hta ファイルの例。FireEyeのレポートより

APT33は複数の「サウジアラビアの航空会社や、それらの企業と協働している西洋の組織のドメイン」に似せたドメインを登録していた。たとえばボーイングの正規ドメインと間違われるようなboeing.servehttp[.]com、アルサラム航空機のふりをしたalsalam.ddns[.]net、ノースロップ・グラマン(NGAAKSA)のふりをしたngaaksa.sytes[.]netなどである。それらのドメインは狙った人物を攻撃するためのフィッシングメールに利用されたようだ、とFireEyeは考えている。

またFireEyeの指摘によれば、APT33が「なりすまし」を狙った上記の企業は、いずれもサウジアラビアの軍用の航空機艦隊や航空宇宙関連事業等に、サポートやメンテナンス、トレーニングを提供するためのパートナーシップを結んでいる。

イラン政府との繋がり

この報告書の中でFireEyeは、APT33の「DROPSHOT」と呼ばれるマルウェアについて説明している。「DROPSHOT」とはAPT33が攻撃に利用するドロッパーのひとつで、それは「SHAPESHIFT」とリンクしている、とFireEyeは説明する。「SHAPESHIFT」とは、以前にカスペルスキーが発見していたワイパーだ。ただしカスペルスキーは、それを「SHAPESHIFT」ではなく「Stonedrill」と呼んでいる。このStonedrillは「サウジアラビアの組織を狙った標的型攻撃に利用された、新しいマルウェア」だとカスペルスキーは考えている。

今年3月、カスペルスキーがStonedrillについて解説したときの記事はここで読むことができる。もともと同社は、サウジアラビアの組織を狙った別のワイパー「Shamoon」の追跡調査を行っているとき、その「Shamoon」と複数の類似性を持ったワイパー「Stonedrill」を発見した。

この記事の中でカスペルスキーは、ShamoonとStonedrillの違いについても述べており、たとえばStonedrillでは「サンドボックスを回避する技術」が多用されていると説明している。またShamoonがアラビア-イエメンの言語に関係し、Stonedrillはペルシア語(イランを中心とした中東地域の言語)に関連づけられると指摘している。そして同社は、地政学的な背景(イランとサウジアラビアの対立関係)を考慮するなら、これらの攻撃の「最も手っ取り早く疑われる容疑者」がイランとイエメンだろうと述べた。ただし「当然、それが偽旗作戦である可能性は無視できない」とも記している。

一方のFireEyeは、言語や地政学的な背景以外にも「APT33とイラン政府の繋がり」を示唆する複数の根拠をあげた。たとえばAPT33が攻撃に利用しているツールには、他所から入手できるツール(NANOCORE、NETWIRE、ALFA Shellなど)も含まれているが、これらはイランのハッカーたちが集うハッキング情報のウェブサイトで手に入れられるという。さらに同社は、APT33による活動のほとんどが「土曜日から水曜日」にかけて行われていると指摘した。イランは土曜日から水曜日にかけて勤務する、数少ない国の一つだ(イランの政府機関も、木曜日と金曜日は休日となる)。

そして「航空宇宙、およびエネルギーに関わる組織を標的としたAPT33の活動は、(イランの)国家利益と密接な関係にある」ため、「その攻撃者たちはイラン政府に支援されている可能性が高い」とFireEyeは見なしている。

APT33に対するFireEyeの結論

FireEyeはAPT33に関して、次のように結論づけた。
 
APT33の主な目的
彼らはイランの政府や軍のスポンサーに利益をもたらす情報を求めている可能性が高い
 
APT33が航空の分野に重点を置いている理由
彼らはイランにおける航空分野の能力を向上させることを望んでいるか、またはイランの軍の戦略的な意思決定を支援するべく「地域における軍事航空の能力」への洞察を得ることを望んでいるのかもしれない
 
APT33がエネルギーの分野でも諜報活動をしている理由
その分野はイランにとって成長の優先事項であり、特に「石油化学製品の生産量の増加」に繋がっている
 
今後の展開や見解
・我々は、APT33の活動が今後も広範囲の標的をカバーすると考えており、また、イランの利益となるような他の地域や分野にも(標的が)広がる可能性があると考えている
・APT33のマルウェアが、SHAPESHIFT(=カスペルスキーが発見したワイパー)との繋がりを示している点から考えると、彼らはすでに「破壊的な活動」にも従事しているか、あるいは「イランを拠点として破壊的な活動を行っている他のグループ」とツールや開発者を共有しているかもしれない

APT集団による高度なサイバー攻撃では、なりすましや偽装が行われる可能性もあるため、その帰属や目的を断言することが難しい。しかし、たとえFireEyeの考察をそっくりそのまま素直に受け止めたとしても(つまり偽旗作戦などの可能性を排除したとしても)、APT33の次の標的を予測したり、あるいは攻撃を防ぐための効果的な手立てを講じたりすることは困難だろう。

なぜなら、そのグループは航空宇宙のジャンルに限らず、イランの政府や軍のスポンサーにとって有益となる「多様な」情報を求めて「複数の国で」活動してきたと考えられており、また今後は「標的の幅を広げる可能性」や「破壊活動に転じる可能性」もあると見なされているからだ。イラン政府と対立関係にある国の組織はもちろん、特にイランとの深い確執が無さそうな国の企業であっても──韓国の大企業が狙われたように──、ただ「その国の利益に繋がりそうな情報」を有しているだけで、彼らの攻撃の標的となってしまうかもしれない。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…