インテリジェンス主導型のセキュリティ企業ファイア・アイでは、業界随一の経験を有するセキュリティコンサルティング集団「Mandiant(マンディアント)」を有していることで有名だ。Mandiantでは、高度なサイバー攻撃や標的型攻撃のインシデント調査に特化し、2004年の創業以来セキュリティ侵害事件への対応実績は数千件に上っている。また、大々的に報道された史上最大規模のセキュリティ・インシデントも担当するなど、技術的な対応作業から危機管理にいたる、インシデント対応のあらゆる側面で顧客を支援している。
そんなMandiantが作成した、北朝鮮の攻撃グループ「APT37」に関する最新レポートが注目を集めている。ここでは、その内容の一部を紹介しよう。
APT37(Reaper)の活動を追跡
2018年2月2日、ファイア・アイは、北朝鮮によるAdobe Flashのゼロデイ脆弱性(CVE-2018-4878)を利用した攻撃についてのブログを公開した。ファイア・アイでは、このグループを「APT37(Reaper)」という名称で追跡。FireEye iSIGHTインテリジェンスによる最近の分析では、APT37は活動規模を拡大し技術レベルの高度化を進めている事実が判明しており、細心の警戒が必要であると警鐘を鳴らしている。
APT37が北朝鮮政府のために活動している、という根拠
APT37のフィッシング攻撃で使われたおとり文書「2016年朝鮮半島統一会議 参加申込書」 ⇒ PDFのダウンロードはこちら |
APT37は、北朝鮮政府のために活動し、主な活動拠点を北朝鮮国内に置くグループであると、ファイア・アイは確信している。その根拠は次のとおりだ。
- APT37が使用する複数のマルウェア・ペイロードの開発に関わったと見られる人物が、北朝鮮と関連するIPアドレスおよびアクセス・ポイントを使用していることを示す個人データを意図せず露呈している。
- APT37が使用するマルウェアのコンパイル時刻が、北朝鮮の一般的な勤務時間と思われる時間帯と一致。また、夜遅くにも行われているのは北朝鮮の過酷な長時間労働の実態とも整合している。
- APT37による活動の大半は、韓国、北朝鮮からの亡命者、そして朝鮮半島の南北統一に関わる組織および個人を継続的に標的としている。また2017年の北朝鮮と密接な関わりを持つ中東企業に対する攻撃も、北朝鮮の目的と一致する。
本稿で提供するPDFには、「APT37」に関する最新レポートの全内容が掲載されている。「APT37」の標的や目的、実際にあった事例、さまざまな攻撃手法、マルウェアの使用状況、使用マルウェアの説明や検知名の一覧など、興味深い情報が満載だ。近年、急激に進化しつつある北朝鮮のサイバー攻撃が気になる企業のIT担当の方は、ぜひダウンロードして一読することをオススメしたい。
提供レポートのご案内
APT37(REAPER)
複知られざる北朝鮮の攻撃グループ≪目次≫
- イントロダクション
- 標的と目的
- 最初の感染経路
- 脆弱性の悪用
- C&Cインフラストラクチャ
- マルウェア
- 攻撃者の素性
- 今後の展望
- 付録:APT37の使用マルウェア
[PR]提供:ファイア・アイ