Threatpost - The First Stop For Security News

2月24日(米国時間)、Threatpostに掲載された記事「Five-Year 'Dust Storm' APT Campaign Seen Targeting Japanese Critical Infrastructure|Threatpost|The first stop for security news」が、日本の電力会社、石油会社、ガス会社などを標的にして機密情報を摂取することを目的としたサイバー攻撃が数年間にわたって継続していたことが明らかになったと伝えた。

この攻撃はセキュリティファーム「Cylance」が報告した「OPERATION DUST STORM, by Jon Gross and the Cylance SPEAR Team」(PDF)の内容を引用する形で紹介されている。OPERATION DUST STORM(砂塵嵐作戦)と呼ばれるこのサイバー攻撃は2010年ごろから始まっており、早期の段階では複数のセキュリティファームがこの攻撃を検出している。しかし以後、この攻撃を実施しているグループは巧みに攻撃を隠蔽し、今日に至るまで活動を継続している。

OPERATION DUST STORMでは特定の攻撃技術に依存せず、スピア攻撃、水飲み場型攻撃、ゼロデイ攻撃など、複数の攻撃を使っている。2015年の段階で同グループが主な攻撃対象を日本の重要度の高いインフラ企業に変更したことが観測された。攻撃対象は電力会社、石油会社、ガス会社、金融機関、運輸企業、建築企業になっており、さらに日本企業や日本国内で活動する海外企業の子会社などに対象がシフトしていると指摘している。

日本へ攻撃対象が移行した最初の兆候として2013年3月から8月にかけて観測された攻撃があり、これに関連した脆弱性として同年11月に報告されたワープロアプリケーション「一太郎」に発見されたゼロデイ脆弱性が挙げられている。2014年にはIEのゼロデイ脆弱性を悪用した水飲み場型攻撃、2015年には発電事業関係社などにおいてバックドアが仕組まれていることが観測されたとしている。