日本企業向け最新の脅威動向調査レポート 2024年6月度

世界第 4 位の経済大国である日本は、自動車、製造、金融、通信など、さまざまな最先端産業の中心地として君臨しており、その攻撃対象領域はサイバー攻撃者にとって主要な標的となっています。日本は西側諸国と同盟を結び、ロシアとの領土紛争、ウクライナへの支援などにより、中国、ロシア、北朝鮮などの国家主体からのサイバー脅威の度合いが高まっています。 

• ロシアからの直接的なサイバー報復は限定的であるものの、日本の地政学的立場やQUAD(日米豪印戦略対話)やNATO(北大西洋条約機構)などの組織との戦略的同盟は、サイバーセキュリティ上の重大な課題をもたらしています。　本レポートでは、日本を標的にしていることが知られている主要なAPT（Advanced Persistent Threat）、対立するグループ、ランサムウェアグループ、ハクティビストグループについて調査しました。 

• 日本企業にとって知るべき現実として、中国語圏のダークウェブコミュニティ内では、日本企業や日本人に関連するデータ侵害に関心が高いことをはCyberintは確認しています。 

• 日本企業は、アジアの中でランサムウェアの標的としては2番目に多いです。興味深いことに、海外の攻撃者が説得力のあるソーシャルエンジニアリング攻撃や偵察活動を英語で作成するのは日本語よりも比較的容易であるため、海外にある日本の子会社や日系企業は高い脆弱性に直面しています。その結果、脅威アクターはこれらの海外の子会社を優先的に標的とすることがよくあります。しかし、AIの進歩により、将来この状況が変化する可能性があります。 

• 日本企業における身代金攻撃は、主に製造業を標的としています。日本経済は、特に自動車製造業において、この分野に大きく依存しています。日本は世界のサプライチェーンにおいて極めて重要な役割を果たしているため、日本の製造業に対する攻撃は、世界的に広範囲に渡って影響を及ぼします。 

Cyberintは、日本企業を保護するために、サイバー攻撃者の継続的な脅威に対してサイバーセキュリティ基盤を強化するタスクを評価しています。本レポートには、重大なサイバーリスクを軽減および防止するための推奨事項が記載されています。 

フィッシングとソーシャル エンジニアリング 

フィッシング キャンペーンは、日本では個人、企業、組織を標的とするサイバー脅威として広く知られています。これらのキャンペーンは、被害者を騙して操作し、個人の認証情報、財務データ、ログイン認証情報などの機密情報を漏らすように仕向けるために組織化されています。 

スミッシングの世界的な増加 

スミッシングとは、携帯番号宛にメッセージを届けることが可能なSMS（ショートメッセージサービス）を悪用するフィッシング詐欺のことです。 

ソーシャル エンジニアリング攻撃の分野では、緊急性を強調するために「緊急」、「重要」、「請求書」、「購入」などのキーワードや関連するトリガーを使用するのが一般的な戦略です。これらのキーワードは、電子メール サービスで使用されているスパム フィルターによって広く認識されるようになったため、その分野での有効性が低下しています。ただし、SMS 受信トレイは通常、電子メール サービスと比較して保護レベルが低く、組織が認識する必要があるさまざまな脆弱性があることに留意する必要があります。 

このような事例は、Twilio や Cloudflare など、世界中で知られている組織を特に標的にしていることが確認されています。これらのケースでは、SMS メッセージは、従業員を騙して、すぐに対応または注意が必要であると信じ込ませるように作成されています。その結果、従業員は偽のフィッシング インターフェイスにリダイレクトされ、潜在的なセキュリティ侵害にさらされました。 

フィッシング ベクトルはスミッシングの最も一般的な方法ですが、被害者に気付かれずにマルウェアを配布するためにも使用できます。これは、特に、ゼロデイ脆弱性の影響を受ける可能性のある Microsoft Outlook や VPN などの個人のモバイル デバイスから企業インターフェイスにアクセスできる場合に、大きな懸念を引き起こします。 

生成AI 

日本は比較的デジタル化が進んでいるため、生成型 AI 製品を活用する脅威アクターにとって魅力的なターゲットとなっています。その理由はいくつかあります。生成型 AI は、自動化された脆弱性検出など、さまざまな悪質な活動のための多目的ツールセットを脅威アクターに提供し、攻撃の費用対効果を大幅に高めることができます。更に、AI は、キャンペーンの計画段階と実行段階の両方で脅威アクターを支援し、複数の潜在的なターゲットに合わせて攻撃資料をカスタマイズできるようにします。 

Cyberintは、過去 1 年間に、脅威アクターによる AI の武器化の事例を複数目撃しました。WormGPT、WolfGPT、FraudGPT などのモデルは、悪意のあるアクターによって作成されました。これらは主に、複雑なコンピューター ワームやマルウェアの作成、システムの脆弱性の悪用、偽のニュース記事やソーシャル メディアの投稿用の説得力のある欺瞞的なコンテンツの生成、偽造文書や偽の ID の作成、フィッシング攻撃の支援に使用されます。 

更に、近年では、英語でソーシャル エンジニアリング攻撃や偵察を行うのが容易なため、脅威アクターは日本本社よりも海外子会社を標的にすることが増えています。しかし、AI の翻訳機能や作成機能の進歩により、近い将来この言語の壁が打ち破られ、この動向が変化する可能性があります。 

データ侵害 

富士通へのサイバー攻撃 

2024年3月、ICT機器・サービス企業の富士通は、サイバー攻撃を受けたと発表しました。同社はオンライン声明で、複数の業務用コンピューターにマルウェアが存在することを確認したと主張しました。コンピューターには、マルウェアを使用して違法に持ち出される可能性のある機密ファイルと情報が含まれていました。同社はまた、発見後、関係当局に通知し、感染したマシンを直ちに切断したと述べました。この事件はまだ調査中であり、富士通の担当者は情報漏洩があったかどうかを調査しています。 

LINEへの侵害 

2023年10月、日本のテクノロジー大手LINEヤフー株式会社は、LINEメッセージングアプリのデータ侵害により数十万人の個人情報が漏洩したことを明らかにしました。漏洩には、ユーザーの年齢層、性別、一部のサービス利用履歴など、44万件の個人データが含まれていました。 LINEアプリのデータ侵害では、メールアドレス、名前、所属など約8万6,000件の取引先データと、ID番号とメールアドレスが記載された5万1,000件以上の従業員の記録が漏洩しました。 調査の結果、ハッカーは下請け業者のコンピューター上のマルウェアを介して韓国に拠点を置く関連会社NAVER Cloudに侵入し、データにアクセスしたことが明らかになりました。 この攻撃は、共通の認証を備えた共有人事管理システムを悪用した可能性が高いとされています。 

中国語を話す脅威アクターによる標的の増加 

近年、英語圏のアンダーグラウンドフォーラムで日本企業や個人のデータが流通する傾向が顕著になっています。 しかし、Cyberintの監視と分析によると、中国語圏のダークウェブコミュニティでは、日本企業や個人のデータに関する侵害に対する関心が明らかに高まっています。地域的な緊張が高まる中、中国語圏の脅威アクターは、日本企業や個人から盗んだデータを侵害し、売買することに高い関心を示しています。 

ランサムウェア 

日本での統計と影響 

繰り返しになりますが、日本企業はアジアで 2 番目にランサムウェアの標的となっていて主に自動車、テクノロジー、製造、金融、通信の分野で世界有数の強固な拠点を誇る日本において、組織に多大な影響を及ぼしています。ランサムウェア攻撃はその中でも特に日本の製造業を標的としています。 

身代金の支払い、インシデント対応コスト、法的措置の可能性など、金銭的損失が大きな影響を及ぼします。中小企業 は、リソースが限られているため、回復に苦労することがよくあります。 

業務の中断も大きな影響を及ぼし、重要なシステムに影響を及ぼし、ダウンタイム、サービスの遅延、顧客の不満を引き起こします。機密性の高いビジネス データや顧客情報などのデータ損失は、法的問題、信頼の失墜、金銭的罰則につながる可能性があります。更に、ランサムウェア攻撃は評判を損ない、顧客喪失、ブランド価値の低下、新規ビジネスの獲得の困難につながります。信頼の再構築と評判の回復には、かなりの時間と労力が必要です。以下は、日本および周辺地域に影響を及ぼしているランサムウェア攻撃に関する主要な統計をまとめたグラフと、関与しているランサムウェア グループの概要です。 

LOCKBITランサムウェア 

LockBit ランサムウェアは、今年、他のどのランサムウェアよりも多くのサイバー攻撃に関係しており、世界で最も活発なランサムウェアとしての地位を確立しています。LockBit は 2019 年 9 月に初めて登場し、その後進化を遂げ、2021 年には LockBit 2.0 から現在のバージョンである LockBit 3.0 に移行しました。 

LockBit は、主に購入されたアクセス、パッチが適用されていない脆弱性、内部者によるアクセス、ゼロデイ攻撃を通じて、ターゲット ネットワークへの初期アクセスを求めます。「第 2 段階」の LockBit は、被害者のシステムの制御を確立し、ネットワーク情報を収集し、データの盗難や暗号化などの主要な目的を達成します。 

LockBit 攻撃では通常、二重の恐喝戦術が採用され、被害者に支払いを促します。まず、暗号化されたファイルへのアクセスを回復するために支払い、次に盗まれたデータが公開されないように再度支払いを促します。ランサムウェア・アズ・ア・サービス (RaaS) として使用される場合、初期アクセス・ブローカー (IAB) は、第一段階のマルウェアを展開するか、または標的組織のインフラストラクチャ内でアクセスを取得します。その後、そのアクセスを主要な LockBit オペレーターに販売し、第二段階の悪用を行います。 

戦術、テクニック、手順 (TTPs) 

LockBit 3.0 は、主に購入したアクセス、パッチ未適用の脆弱性、内部者によるアクセス、ゼロデイ エクスプロイトを通じて、ターゲット ネットワークへの初期アクセスを試みています。LockBit の RaaS モデルでは、主要な運用グループがダーク ウェブ上の広告を通じて初期アクセス ブローカー (IAB) を募集し、リモート デスクトップ プロトコル (RDP) または仮想プライベート ネットワーク (VPN) アクセス用の盗まれた資格情報を入手します。LockBit グループは、パッチ未適用または構成ミスのある企業ネットワークを利用するために、既知のソフトウェア脆弱性に対するエクスプロイトも開発しています。初期アクセスが取得されると、LockBit 3.0 マルウェアはターゲット環境に適した C2 ツールをダウンロードします。LockBit 3.0 の第 2 段階の C2 マルウェアは、Cobalt Strike Beacon、MetaSploit、Mimikatz などの標準的な侵入テスト ツールと、カスタム エクスプロイト コードを使用します。Conti と同様に、LockBit 3.0 はワームのような機能を使用してターゲット ネットワーク内で拡散できます。 LockBit 3.0 マルウェアのソース コードは、セキュリティ研究者による分析から自身を保護することでも有名です。ツールはデフォルトで暗号化されており、適切な環境が検出された場合にのみ復号化されます。 

日本企業への最新のサイバー攻撃 

2024年3月18日、化学繊維機械・紡績機械製造業のTMTマシナリー株式会社（本社：大阪）は、サードパーティベンダーが自社の内部システムにアクセスし、機密データの一部を暗号化したと発表しました。これを受けて、3月26日の第一報、4月9日付けの第二報、5月」16日付けの第三報でLockBitはダークウェブのウェブサイトにTMTマシナリー株式会社の社名を掲載しました。TMTマシナリー株式会社は調査を実施し、身代金はまだ支払っておらず、機密情報のないスクリーンショット数枚を除いて、データはオンラインに投稿されていないと主張する声明を発表しました。 

注目すべきIOCs/侵害の痕跡情報 

ファイル共有サイト： 

• https://www.premiumize[.]com  
• https://anonfiles[.]com  
• https://www.sendspace[.]com  
• https://fex[.]net  
• https://transfer[.]sh  
• https://send.exploit[.]in  

ALPHV(BLACKCAT) ランサムウェア 

ALPHV は BlackCat としても知られ、世界各地の関連会社と連携して Ransomware-as-a-Service (RaaS) を通じて活動する名の知れたランサムウェア グループです。 ALPHV は適応性が高く、主に企業や組織などの大規模な組織をターゲットにしています。上位 3 つのランサムウェア グループにランクされており、起源はコロニアル パイプライン事件で悪名高い DarkSide にまで遡ります。更に、元 REvil メンバーの採用も確認されています。 

ALPHV の活動を観察すると、同グループは主にビジネス サービス部門と製造業に重点を置いています。また、その活動のほとんどは米国で行われており、次いでカナダとなっています。 

戦術、テクニック、手順 (TTPs) 

身代金は Cobalt Strike または同様のフレームワークを通じて配布されます。BlackCat の背後にいる者は、LOLBins とカスタム スクリプトを利用してネットワークをナビゲートし、環境に関する情報を収集します。ALPHV 攻撃の初期段階では、フィッシング、ブルート フォース、または不正に取得した認証情報に依存し、多くの場合、リモート デスクトップ プロトコル (RDP) 接続と仮想プライベート ネットワーク (VPN) サービスをターゲットにし、CVE-2019-7481 などの脆弱性を悪用します。ALPHV 攻撃の次の段階では、通常、ALPHV が制御するコマンド アンド コントロール (C2) インフラストラクチャへのリバース SSH トンネルを確立します。接続されると、攻撃は完全にコマンド ライン駆動型になり、人間によって管理され、高度にカスタマイズ可能になります。感染後の ALPHV の主な目的は、被害者のネットワーク内で横方向に移動することであり、PsExec などのツールを使用して Active Directory ユーザーと管理者のアカウントをターゲットにし、機密ファイルを盗み出して暗号化します。ALPHV の主なペイロードは、「Rust」プログラミング言語で書かれた最初の既知のマルウェアであり、Windows と Linux ベースのシステムの両方に感染する可能性があります。ALPHV は、XP 以降 (Windows 11 を含む)、2008 年以降の Windows Server バージョン、Debian および Ubuntu Linux、ESXI 仮想化ハイパーバイザー、ReadyNAS および Synology ネットワーク接続ストレージ製品など、様々なバージョンの Windows に対して有効です。 

日本企業への最新のサイバー攻撃 

ALPHV は主に米国、カナダ、英国をターゲットにしていますが、一部の日本企業も攻撃の被害に遭っています。2024 年 3 月 1 日、創業126年を迎えた建設会社の株式会社熊谷組がこの脅威グループに侵入されました。株式会社熊谷組は、登記上本店が福井県福井市に設立され本社を新宿に構える日本の準大手ゼネコンです。侵入されたデータは 5 テラバイトに上るとされています。 

更に、ALPHVは2023年11月に日本航空電子工業株式会社、2023年8月に日本の有名時計メーカーであるセイコーグループ株式会社をターゲットにしています。 

注目すべきIOCs/侵害の痕跡情報 

HUNTERS INTERNATIONAL ランサムウェア 

Hunters International は、2023 年 10 月に脚光を浴びたランサムウェアグループです。最初の被害者は 2023 年 10 月 20 日に Web サイトで紹介されたことが判明しています。 

研究者は、Hunters International のランサムウェアは、Hive ランサムウェア コードベースの約 60% と技術的な類似性を示していると主張しています。Hive とのこれらの類似点は、以前に解体されたグループの潜在的な進化的関係または派生を示しています。 

脅威アクターは、Hive との提携を否定し、販売されていたグループのソース コードを購入しただけだと主張して、この申し立てに応えました。更に、コード内の特定の問題を修正したため、場合によっては誤って復号化が利用できなくなったと主張しました。 

戦術、テクニック、手順 (TTPs) 

Hunters International は、Windows および Linux 環境を特にターゲットとするランサムウェア グループです。データの流出が完了すると、このグループは侵害されたシステム上の暗号化されたファイルに「LOCKED」拡張子を追加します。このグループの活動は世界規模で展開しており、医療、自動車、製造、物流、金融、教育、食品など、幅広い分野に影響を及ぼしています。 

日本企業への最新のサイバー攻撃 

Hunters International が実行したランサムウェア攻撃は、HOYA株式会社を標的とし、ファイル復号ツールと引き換えに1,000万ドルの支払いを要求し、侵害された盗まれたファイルの公開を阻止しました。HOYA株式会社は、光学機器、医療機器、電子部品を専門とする日本企業です。30ヵ国以上に160のオフィスと子会社を運営し、世界中に43の研究所のネットワークを有しています。 

注目すべきIOCs/侵害の痕跡情報 

BLACKBYTE ランサムウェア 

専門家によると、BlackByteは2021年9月に初めて登場し、コーディングが不十分なランサムウェアという評判を得ました。さらに、サイバーセキュリティ企業のTrustwaveは脆弱性を発見し、それを利用して無料の復号ツールを開発しました。脅威アクターは一般的に、エネルギー、農業、金融サービス、公共部門などの業種をターゲットにしています。 

戦術、テクニック、手順 (TTPs) 

一部の専門家によると、Blackbyte は様々なツールや手法を利用してランサムウェアを仕掛けています。この脅威アクターの手口には、パッチ未適用の Microsoft Exchange Server の悪用、リモート アクセス用の Web シェルの導入、持続性と偵察のための Living-Off-The-Land ツールの使用、コマンド アンド コントロール用の Cobalt Strike ビーコンの使用などがあります。彼らはプロセス ハローイングや脆弱なドライバーによって防御を回避し、カスタム開発されたバックドアで持続性を確保し、データ収集と抽出のための専用ツールを使用しています。 

日本企業への最新のサイバー攻撃 

Blackbyteランサムウェアグループは、多くの日企業を含む世界中の組織を標的にしています。彼らが標的とした企業の一つは、日本の大手楽器・音響機器メーカーであるヤマハ株式会社の米国オフィスでした。同グループは2023年6月14日に同社に侵入したことを発表しました。その後、2023年7月21日、Akiraと呼ばれる別のランサムウェアグループが同社を漏洩リストに追加しました。 

著名な持続的標的型攻撃 (ADVANCED PERSISTENT THREAT: APT) グループ 

一般的に、東アジア地域では、北朝鮮やロシアの主要な APT から中華人民共和国 (PRC) に関連するものまで、国家が支援する高度な持続的攻撃グループの存在が顕著です。 

日本は、その地政学的立場と、QUADやNATOなどの組織との戦略的同盟関係から、APT10、APT41、APT29、Fancy Bear、Lazarus Groupなど、いくつかのAPTの標的となっており、この地域の著名なAPTグループによる監視が続く可能性があります。以下に、最も関連性の高い3つのAPTについて簡単に説明します。 

APT10 

2006年から活動しているAPT10は、中国政府と提携しているサイバースパイ集団で、中国国家安全部（MSS）と関係がある可能性があります。2018年、この集団は少なくとも12ヵ国から企業秘密や技術に侵入し、盗み出したことで悪名を馳せました。様々なセキュリティ機関がAPT10をMenuPass（FireEye）、Stone Panda（CrowdStrike）、APT10（Mandiant）、POTASSIUM（Microsoft）など、色々な呼び名を付けています。APT集団としては異例の動きだが、APT10は2022年6月に、悪意ある活動を隠すためにランサムウェア攻撃を囮（おとり）として利用しているのが確認されました。 

マルウェア、ツールセット、戦術、テクニック、手順 (TTPs) 

攻撃手法 

APT10 は、スピアフィッシングやサプライチェーン攻撃など、従来の攻撃方法と最新の攻撃方法を組み合わせて使用​​しています。2009 年以降、このグループはスピアフィッシング攻撃で LNK ファイルと二重拡張子のファイルを使用しています。特に、2017 年以降、APT10 はグローバル サービス プロバイダーを通じてハッキングを開始し、高度なサプライチェーン攻撃を利用して被害者のネットワークにアクセスしています。 

このグループは、DLL ハイジャック/サイドローディング、プロセス ハローイング手法を採用し、Exchange サーバーの ProxyLogon や ProxyShell などのトレンドの脆弱​​性を利用しています。2022 年半ば頃、APT10 がスパイ活動関連の活動を隠蔽するためにランサムウェアを囮として使用した際に、大きな変化が見られました。 

マルウェアとツールセット 

APT10 は、ScanBox などの情報窃盗、Quasar、PlugX、P8RAT、PoisonIvy などの RAT、BugJuice (RedLeaves)、SodaMaster、Hartip、SnuGride、HayMaker、Uppercut などのバックドアなど、様々なマルウェアを利用しています。HUI Loader、Ecipekac、FYAnti などのローダー、Impacket.AI や ChChes などのトロイの木馬も APT10 の武器の一部です。更に、Rook、Pandora、AtomSilo、LockFile、Night Sky などのランサムウェアも APT10 によるものとされています。APT10 は、AdFind、certutil、Cobalt Strike、Ecipekac、esentutl、Mimikatz、PsExec、PowerSploit、Wevtutil、tcping、Ntdsutil、Csvde、pwdump など、様々なツールを使用しています。 

サイバー攻撃・犯罪における犯行主体や手口・目的を特定する活動 

APT10は中国の政府機関と密接なつながりがあり、その活動は中国の国益と一致しています。このグループは2018年のオリンピック中にサイバー攻撃に関与しており、Olympic Destroyerマルウェアのコード断片はAPT10にまで遡ります。Intrusion Truthは9月に、APT10と中国の諜報機関、特に中国国家安全部（MSS）との関係を報じました。2人の中国人、Zhu HuaとZhang Shilongは2018年に45社以上のテクノロジー企業と米国政府機関のネットワークに侵入したとして起訴され、APT10とのさらなるつながりが明らかになりました。 

2020年、シマンテックは日本の組織を標的としたAPT10のキャンペーンを明らかにしました。2022年4月、APT10の活動は、JollyFrogと呼ばれるマルウェアのアップグレード版を使用して、TA410という別の脅威グループと交差し、両者のつながりを更に示唆しました。 

日本企業への最新のサイバー攻撃 

2022年から2024年にかけて、APT10はLODEINFOファイルレスマルウェアを含んだフィッシングメールを使用して、主に政治機関を標的とした日本の攻撃を開始しました。時間の経過と共に、特に2023年には、このマルウェアは複数の反復を経て進化し、高度なリモートコード実行と検出回避技術を組み込んでいました。 

IOCs/侵害の痕跡情報 

• 01b610e8ffcb8fd85f2d682b8a364cad2033c8104014df83988bc3ddfac8e6ec  
• 056c0628be2435f2b2031b3287726eac38c94d1e7f7aa986969baa09468043b1  
• 062ce400f522f90909ed5c4783c5e9c60b63c09272e2ddde3d13e748a528fa88  
• 0b452f7051a74a1d4a544c0004b121635c15f80122dc6be54db660ceb2264d6f  
• 0ec48b297dd1b0d6c3ddd15ab63f405191d7a849049feedfa7e44096c6f9d42a  
• 20fc3cf1afcad9e6f19e9abebfc9daf374909801d874c3d276b913f12d6230ec
• 2317d3e14ab214f06ae38a729524646971e21b398eda15cc9deb8b00b231abc3  
• 2417da3adebd446b9fcb8b896adb14ea495a4d923e3655e5033f78d8e648fcc8  
• 37f56127226ce96af501c8d805e76156ca6b87da1ba1bb5d227100912f6c52d9  
• 3aa54e7d99b69a81c8b25ab57aeb971644ed0a206743c9e51a80ec1852f03663  
• 3ff2d6954a6b62afb7499e1e317af64502570181fd49ac5a74e2f7947e2e89db  
• 4f6a768841595293146ca04f879efa988e4e95ce0f2bc299cb669fea55e78b65  
• 5269db6b19a1d758c75e58ee9bbf2f8fd684cfedbfe712d5b0182d7bbd3a1690  
• 5bc68df582c86c884b563b15057cc223f2e9bc1022ebb297e32a9a7e3036228b  
• 6b4692029f05489ecda10e11cfacfc3b19097856b88647d3695f3bdc7dd83ce9  
• 7b581c0305c78f28bad60028c63e852dc34fc9e28f39e4b0af73d80c1d9680c9  
• 83030f299a776114878bcd2ade585d97836ef4ddb6943cb796be2c88bcb83a83  
• 90a03dabfc4e56a12cc3bac5cbe991db044b900a01ec341803c864506e467ffa  
• 9917a2213f114e87745867e5fea6717efd727d7c08fdc851969224be2f0e019b  
• 9b5f9ff82ed238bcbd83628ed3ec84988dc05f81cec9e45a512fbd2c8ac45c33  
• adfe177ade7d9bfe4df251a69678102aec1104a4ba9f73032dd90aba76d8bdd9  
• b76fde584f87c88bdd21fab613335ce7fc05788aa4bb3191d1517ec16ef4d11a  
• ce45af43dd2af52d6034e981515474147802efdfe036e00078fee29a01694fd6  
• d461347388ccf0c2008332a1674885a41f70b94b2263bddef44e796d3b1b43b5  
• df993dca434c3cd2da94b6a90b0ae1650d9c95ea1d5f6a5267aca640d8c6d00e  
• ee46e714660f7652502d5b3633fae0c08c8018f51cfb56a487afd58d04dd551a  
• fe33fdd5a63fee62362c9db329dde11080a0152e513ef0e6f680286a6a7b243f  
• 88[.]198.101[.]58  
• 168[.]100.8[.]38  
• 167.179.106[.]224 
• 167.179.77[.]72 
• 172.104.112[.]218 
• 202.182.116[.]25 
• 45.76.197[.]236 
• 45.76.222[.]130 
• 45.77.183[.]161 

APT41 

他の中国の諜報組織と同様に、APT41 の標的戦略は主に中国の 5 カ年経済発展計画に沿っています。このグループは、医療、ハイテク、通信セクターで活動する組織への戦略的アクセスを効果的に確立し、維持しています。APT41 は主にビデオゲーム業界における金銭目的の活動に焦点を当てていますが、高等教育、旅行サービス、ニュース/メディア企業を標的とした活動も行っており、より広範な監視アジェンダを示唆しています。 

ビデオゲーム業界における APT41 の金銭的活動には、仮想通貨の操作や、ランサムウェアの展開の試みも含まれます。このグループは、標的のネットワークをナビゲートする能力を示しており、Windows システムと Linux システム間をシームレスに移行してゲーム制作環境にアクセスします。その後、ソースコードとデジタル証明書を盗み、後者を使用してマルウェアに署名します。更に、APT41 は制作環境へのアクセスを利用して、悪意のあるコードを正規のファイルに挿入し、その後、疑いを持たない被害者組織に配布します。これらのサプライ チェーン侵害戦術は、APT41 の顕著なスパイ活動の兆候です。 

興味深いことに、サプライ チェーン侵害の複雑さと規模にもかかわらず、APT41 は個々のシステム識別子を綿密に照合することで、後続のマルウェアの展開を特定の被害者システムに限定しています。この多段階アプローチは、標的を絞ったマルウェアの配信を確実にするだけでなく、意図した被害者の真の範囲を隠すことにもなります。これは、電子メール アドレスに基づいてターゲットを明らかにすることが多い従来のスピア フィッシング キャンペーンとは異なります。 

戦術、テクニック、手順 (TTPs) 

APT41 は、特にソフトウェア サプライ チェーンの侵害などの金銭目的の活動において、洗練された手法を採用しています。正規のファイルにコードを挿入することで、組織に重大な脅威をもたらし、データを盗み、システムを操作します。ブート キットなどの高度なマルウェアを利用することで、検出されることなくデータ抽出が可能になります。 

Lowkey マルウェアと Deadeye ランチャーを利用することで、検出を回避しながら即座に偵察する能力が明らかになります。スピア フィッシング メールは、サイバー スパイ活動と金銭目的の両方で頻繁に使用され、取得した個人情報を使用して高レベルのターゲット向けにカスタマイズされることがよくあります。 

ソフトウェア ツール 

米国保健福祉省の報告によると、APT41 は悪意のある活動に様々なソフトウェア ツールを活用しています： 

• BLACK COFFEE: リバース シェルとして機能する多機能ツール。難読化技術を採用しながら、列挙、削除、コマンド アンド コントロール (C2) 通信を支援します。 

• China Chopper: 企業ネットワークへの不正アクセスを許可し、標的のシステムへの侵入と操作を容易にする Web シェル。 

• Cobalt Strike: 悪意のあるペイロードの展開と実行を可能にする市販のツール。攻撃者が意図したアクションを実行できるようにします。 

• Gh0st Rat: 侵害されたシステムを不正に制御し、その後の悪意のあるアクティビティのために継続的なアクセスを確立するリモート アクセス ツール (RAT)。 

• Mimikatz: プレーン テキストの Windows アカウント情報を抽出し、機密性の高い認証情報を取得する認証情報ダンプ ツール。 

• PlugX: モジュール式プラグインを備えた RAT。侵害されたシステムを悪用して制御するための追加機能を提供します。 

• ShadowPad: APT41 がコマンド アンド コントロール通信によく使用するモジュール式バックドア。侵害されたシステムや悪意のあるアクティビティのリモート制御を可能にします。 

LAZARUS GROUPラザルスグループ 

ラザルスグループは、ヒドゥンコブラ、ジンク、APT-C-26、ガーディアンズ・オブ・ピース、グループ77、フー・イズ・ハッキング・チーム、スターダスト・チョリマ、ニッケル・アカデミーなど、数多くの別名で知られ、朝鮮民主主義人民共和国（DPRK）の偵察総局（RGB）の管轄下で活動しています。2017年、連邦捜査局（FBI）と国土安全保障省（DHS）の分析に基づき、米国政府が発行した共同技術警報（TA17-164A）では、ヒドゥンコブラが「北朝鮮の国家支援を受けた悪意のあるサイバー組織」であると特定されました。 

ラザルスグループの活動は北朝鮮の政治的利益と密接に一致しており、韓国と米国が主な標的となっています。しかし、同グループはアフガニスタン、オーストラリア、オーストリア、バングラデシュ、ベルギー、ブラジル、カナダ、中国、フランス、ドイツ、グアテマラ、香港、インド、イタリア、日本、メキシコ、オランダ、ニュージーランド、ポーランド、ロシア連邦、サウジアラビア、スペイン、スイス、タイ、トルコ、英国など、他の国々にも活動を広げています。 

他の国家系脅威アクターよりも広範囲に活動するラザルス グループの目的は、情報窃盗、金銭的強要、スパイ活動、破壊活動、混乱など多岐にわたります。同グループは、金銭的利益を目的とした銀行強盗、暗号通貨窃盗、ランサムウェア攻撃に加え、エネルギー、航空、防衛などの分野を標的に戦略的に重要な情報を入手しています。 

マルウェア、ツールセット、戦術、テクニック、手順 (TTPs) 

 ラザルスグループは時間の経過と共に戦略を洗練させ、様々な組織に対する初期の DDoS 攻撃から、より破壊的なマルウェアと TTP の武器を採用することに移行しました。 

グループの攻撃パターンはさまざまですが、通常は同様の手順に従います。ラザルスグループは、脆弱性と最適な攻撃タイミングを確認するために潜在的な被害者を徹底的に偵察し、高度な攻撃を綿密に計画します。 

ラザルスグループ は、スピアフィッシング、サプライチェーン攻撃、ウォーターホール攻撃、ゼロデイ脆弱性の悪用などの手法を利用して、標的のネットワークにアクセスし、リモートアクセストロイの木馬 (RAT)、バックドア、ボットネットなどのカスタムビルドのマルウェアを通じて持続性を維持します。 

ラザルスグループは、検出を回避して痕跡を隠すために、ログとデータを削除し、必要に応じてマルウェアまたはランサムウェアを展開します。検出された場合は、マルウェアをすぐに再パッケージ化し、暗号化キーとアルゴリズムを変更して、フォレンジック調査を回避するために迅速に行動します。 

ディスク消去マルウェアの使用を含む攻撃的な戦術で知られる ラザルスグループ は、混乱、妨害、金銭窃盗、スパイ活動に重点を置いています。彼らは、バックドア (Appleseed、HardRain、BadCall、Hidden Cobra、Destroyer、Duuzer)、RAT (Fallchill、Joanap、Brambul)、悪名高いランサムウェア Wannacry などの様々なツールを利用して、攻撃用のカスタム マルウェアを継続的に開発および変更しています。 

ラザルスグループは、攻撃において、Adobe Flash Player、Microsoft Office、韓国のローカル ソフトウェア (Hangul Word Processor など)、SWIFT 金融ソフトウェアの脆弱性など、ゼロデイ脆弱性と既知のエクスプロイトの両方を活用しています。 

IOCs/侵害の痕跡情報 

ラザルスグループの暗号イーサリアムアドレス： 

• 0x098B716B8Aaf21512996dC57EB0615e2383E2f96   
• 0xa0e1c89Ef1a489c9C7dE96311eD5Ce5D32c20E4B   
• 0x3Cffd56B47B7b41c56258D9C7731ABaDc360E073   
• 0x53b6936513e738f44FB50d2b9476730C0Ab3Bfc1  

WannacryのIOCs/侵害の痕跡情報 

• IP Addresses and Domains   
• IPv4 197(.)231.221.211   
• IPv4 128(.)31.0.39   
• IPv4 149(.)202.160.69   
• IPv4 46(.)101.166.19   
• IPv4 91(.)121.65.179   
• URL hxxp://www(.)btcfrog(.)com/qr/bitcoinpng(.)php?address   
• URL hxxp://www(.)rentasyventas(.)com/incluir/rk/imagenes(.)html   
• URL hxxp://www(.)rentasyventas(.)com/incluir/rk/imagenes(.)html?retencion=081525418   
• URL hxxp://gx7ekbenv2riucmf(.)onion   
• URL hxxp://57g7spgrzlojinas(.)onion   
• URL hxxp://xxlvbrloxvriy2c5(.)onion   
• URL hxxp://76jdd2ir2embyv47(.)onion   
• URL hxxp://cwwnhwhlz52maqm7(.)onion   
• URL hxxp://197.231.221(.)211 Port:9001   
• URL hxxp://128.31.0(.)39 Port:9191   
• URL hxxp://149.202.160(.)69 Port:9001
• URL hxxp://46.101.166(.)19 Port:9090   
• URL hxxp://91.121.65(.)179 Port:9001   

HACKTIVISTS ハクティビストグループ 

 ロシアとウクライナの紛争はハクティビズムの新たな波を引き起こし、親ロシア派と親ウクライナ派のグループが互いの組織や同盟国に対してサイバー攻撃を仕掛けました。これらのグループの一部は公式の関係を否定しているものの、ロシア政府と連携していると考えられています。注目すべきは、日本は西側同盟国に対する地政学的立場に加えて、クリル諸島をめぐってロシアと領土紛争を抱えていることです。 

 過去1年間、ロシアとウクライナの戦争が続いており、2023年10月からイスラエルとハマスが対立が激化している為、サイバースペースを新たな戦場として利用しようとする個人やグループが増えています。 

2023年を通じて、国際原子力機関が福島第二原子力発電所の廃水の放出を許可する決定を下したことを受けて、日本国内の数十の政府機関が 「OpFukushima」 と呼ばれる匿名のハクティビストおよびVulzSecの活動の標的となりました。 

更に、KillnetとNoName057(16)は、主にウクライナへの支援を理由に、他の西側諸国や同盟国とともに日本を標的にしています。 

戦術、テクニック、手順 (TTPs) 

 通常、ハクティビストが最もよく使う手法は、分散型サービス拒否 (DDoS) 攻撃です。これは、ターゲット サーバーにトラフィックを大量に送り込み、正当なユーザーがアクセスできない状態にします。Web サイトの改ざんも一般的な戦術の 1 つで、Web サイトの外観やコンテンツを不正に変更してメッセージを伝えたり、操作を妨害したりします。これらの TTP により、ハクティビストは発言力を強めることができます。 

OPJAPAN攻撃キャンペーン 

2023年10月下旬、イスラエルとパレスチナの紛争が続く中、日本がイスラエルへの支持を表明したことを受けて、OpJapanと呼ばれるオンラインハクティビズムキャンペーンが出現しました。キャンペーンに関与した主なグループは、アノニマスと提携していると主張するパキスタンを拠点としている「Pakistani Leet Hackers」である。 

もう1つの参加グループは「GHOSTS of Palestine」です。キャンペーンは主に、複数のセクターに渡る様々な企業のWebサイトに対するDDoS攻撃で構成されていました。キャンペーンの最後の活動は2023年11月初旬に報告され、それ以降、新しい活動は確認されていません。 

この攻撃の被害者には、駐日イスラエル大使館経済部、日本最大のオンラインカジノ「リリベット」、日本原子力学会、ヤフージャパン、複数の日本政府所有のドメインなどが含まれています。 

CYBERINTの推奨事項 

ランサムウェアの防止 

• 堅牢なパッチ管理プロセスを維持し、セキュリティ更新とパッチがタイムリーに適用され、簡単に対処できる対策が講じられ、既知の脆弱性が悪用されるのを防ぎます。 

• 疑わしい動作の早期警告として、エンドポイント セキュリティ イベントを継続的に監視します。例えば、横方向の移動を示すホスト間通信や、大量のファイルの暗号化または流出を示す大量のディスク操作などです。 

• net.exe、taskkill.exe、vssadmin.exe の使用など、正当な Windows コマンド ライン ツールの異常な実行を監視し、警告することを検討します。 

• 最小権限の原則 (POLP) に従ってユーザー権限を制限します。 

• 内部または外部からの不正アクセスを防止するために、法的または規制上の要件を遵守して機密データを保護します。 

• アプリケーションの許可リストと拒否リストを使用して、より広範な攻撃の一部として配信されるような不正または未知の実行ファイルの実行を防止します。 

• 災害復旧計画とバックアップ ポリシーでは、定期的なバックアップ、データ整合性の検証、オフライン ストレージを考慮し、壊滅的なインシデントが発生した場合に復旧を容易にします。 

• ネットワーク分離を利用して、ノード間、特にエンドポイント間の通信を制限し、被害を制限して脅威の伝播を制限します。 

• 悪意のあるペイロードや脅威アクターによる悪用を防ぐ為に、管理ツールとスクリプト インタープリターを無効にします。 

フィッシングの検出と緩和 

Cyber​​int は、継続的なフィッシング検出という積極的なアプローチを取ることを推奨しています。検出と並行して、Cyber​​int は著作権侵害を理由に Web サイトの削除を実行することを推奨しています。ご要望に応じて、Cyber​​int がお客様に代わって削除手続きをお手伝いします。 

Web サイトが広範なフィッシング キャンペーンの一部である場合、Cyber​​int は調査の実施を推奨しています。これにより、潜在的な脆弱性を特定し、適切なセキュリティ対策を実施できるようになります。 

アンダーグラウンド プラットフォームの継続的な監視 

Cyber​​int は、脅威アクターが頻繁に利用するダークウェブ、ハッキングフォーラム、および関連するアンダーグラウンドプラットフォームの継続的な監視を実施することを強く推奨します。このプロアクティブなアプローチは、潜在的なデータ侵害をタイムリーに検出するために不可欠です。 

警戒を怠らず、これらのチャネルを定期的に監視することで、機密情報や組織のサードパーティベンダーへの侵害や不正アクセスの兆候を迅速に特定できます。 

早期検出により迅速な対応策が可能になり、潜在的な侵害の影響を最小限に抑え、組織の資産と評判を保護します。 Cyber​​int チームは、包括的な監視戦略の設定と、リスクを効果的に軽減するための堅牢なセキュリティ対策の実装を喜んでサポートします。 

Cyber​​int の多言語サイバー専門家は、中国語、ロシア語などの言語を含む主要なアンダーグラウンドフォーラムで分析と調査を行うための十分な能力を備えています。 

著名な脅威活動グループへの対抗 

多層的なセキュリティ アプローチを採用し、巧妙な戦術に対抗できるようにカスタマイズされたベスト プラクティスを実装することが不可欠です。 

• 包括的なネットワーク セグメンテーションを確実に実施することで、インフラストラクチャ内での横方向の移動を制限し、脅威アクターがトラバースして機密データにアクセスすることをより困難にすることができます。 

• 堅牢なアクセス制御と最小権限の原則を採用することで、重要なシステムとデータへの不正アクセスを制限できます。 

• 従業員に定期的なセキュリティ意識向上トレーニングを実施することは、脅威アクターの戦術に対する理解を深め、フィッシング攻撃やソーシャル エンジニアリング戦術に対して警戒を怠らないようにするために不可欠です。 

• 更に、侵入検知システム (IDS) やエンドポイント検出および対応 (EDR) ソリューションなどの高度な脅威検出および対応メカニズムを導入することで、脅威アクターの活動を早期に検出し、迅速に対応することができます。 

• 最新のソフトウェア パッチを維持し、定期的に脆弱性評価を実施することで、脅威アクターの潜在的な侵入口を塞ぐことができます。