United States Computer Emergency Readiness Team (US-CERT)は7月16日(米国時間)、「Malicious Activity Targeting COVID-19 Research, Vaccine Development |CISA」において、アメリカ、イギリス、カナダの情報セキュリティ担当機関が共同で、新型コロナウィルス(COVID-19)の研究およびワクチン開発を対象としたサイバー攻撃に関するセキュリティアドバイザリを公開したと伝えた。
このセキュリティアドバイザリでは、悪意のある攻撃者がどのようなツールや技術を利用して研究機関を攻撃しているのかを明らかにした上で、侵害の指標や検出・緩和のためのアドバイスを提供している。
このセキュリティアドバイザリは、アメリカのCybersecurity and Infrastructure Security Agency (CISA)、イギリスのNational Cyber Security Centre (NCSC)、カナダのCommunications Security Establishment (CSE)およびNational Security Agency (NSA) が共同で発表したもので、次のページからPDFをダウンロードできる。
内容は、「APT29」(または「Dukes」や「Cozy Bear」)という名称で知られるサイバー犯罪グループによる、COVID-19のワクチン開発やテストを行っている組織に対する攻撃手法の解説と対策をまとめたもの。APT29はこれまでにもさまざまなツールと手法を使用して政府機関やシンクタンク、インフラ企業などに対するサイバー攻撃を繰り返してきたことで知られているが、2020年にはCOVID-19関連の研究やワクチン開発を行う組織や研究機関から情報と知的財産を盗むことを目的とした攻撃を行っているという。
このアドバイザリでは、APT29による今回の攻撃の特筆すべき点として、「WellMess」や「WellMail」「SoreFang」といったマルウェアを用いたケースがあったことを挙げている。WellMessおよびWellMailは、対象のシステムで任意のコマンドを実行してファイルのアップロードやダウンロード、実行結果の外部サーバへの送信などを行う。SoreFangは対象システムの情報をHTTP経由で盗み出し、別のマルウェアをダウンロードすることで知られている。APT29のような犯罪グループは、今後もCOVID-19ワクチンの研究開発を行う組織を攻撃し続ける可能性が高いという。