« 検証用コードサイニングEXEと無署名EXE | メイン | PEヘッダでパッカーの有無を見分ける方法 »

2014年1月23日 (木)

ロシアの攻撃者(Energetic Bear)による日本への攻撃

一部で既に報道されていますが、米国のCrowdStrike(クラウドストライク)社は、ロシアを拠点とする攻撃者が、日本を含む欧米・アジアに対し、攻撃活動を行った証拠を入手したことを明らかにしています。読者の皆様に注意喚起を促すことを目的に、CrowdStrike社による調査内容の一部を記載致します。

この攻撃者は、CrowdStrike社によってEnergetic Bearと呼称されており、過去の攻撃活動で、一部の国のエネルギー関連産業を狙った事実から、ロシア政府のエネルギー外交との関連が疑われています。つまり、攻撃の背後にロシア政府の存在が示唆されています。

今回の攻撃活動では、WordPressを使っている正規のWebサイトを攻撃し、C2サーバとして利用していたことが確認されました。つまり攻撃者自身が構築したC2サーバではなく、正規のWebサイトをC2サーバとして利用しており、中には日本企業のWebサイトも攻撃用インフラの一部に組み込まれたことを確認しております。

また、改ざんされ、マルウェアを仕込まれた日本企業のWebサイトは、ロシア関係のビジネスを行っている企業のWebサイトであることも分かっており、意図を持った改ざんであることが伺えます。

攻撃には、下記の脆弱性が利用されていますので、お使いのソフトウェアを最新の状態にしておくことをお勧めします。(IE、Firefox、Java、Flash Player)

CVE-2013-1347

CVE-2013-1690

CVE-2012-1723

CVE-2012-2034

CIS諸国関係のビジネスをしている方は、特に気を付けて頂きたいと思います。

また公開できる情報が入り次第、お伝えします。

« 検証用コードサイニングEXEと無署名EXE | メイン | PEヘッダでパッカーの有無を見分ける方法 »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat