中国ハッカーが狙う金融機関のサプライチェーン、徹底調査と対策は急務
[22/02/28]
提供元:PRTIMES
提供元:PRTIMES
[画像1: https://prtimes.jp/i/45349/18/resize/d45349-18-74ac5675ee217440415a-4.jpg ]
近年、金融業界で新しい技術の運用と発展は世界的に注目されている。関連するトピックの注目度も引き続き上昇中だ。それに伴い金融業界での情報セキュリティ危機についての議論も活発になってきた。昨年の2021年11月には、台湾の証券会社や先物取引会社がハッキングされ、発注システムに異常が発生したことが明らかとなり、世間を騒がせた。台湾のセキュリティベンダーである弊社の最近の研究結果によると、ハッカーは台湾の金融組織を攻撃対象としており、実のところ、当時発見されたものよりはるかに深刻な事態だった。おそらく個別の攻撃ケースではなく、組織的かつ長期的に影響を与え続けているものだと思われる。潜んでいるリスクは軽視できず、関係組織には早急な対策が求められている。
2021年11月のハッカー攻撃を受けて、弊社は金融機関のインシデント調査(Incident Response, IR)を行った際に、第二波のハッキング行為を検知し、その後即詳細なマルウェア分析とフォレンジック調査を開始した。その調査から、第二波の活動のピークは2022年2月10日から13日にかけて行われ、攻撃者のソースIPは香港、QuasarRATというバックドアプログラムを使用していたことがわかった。 マルウェアの起動方法、保護メカニズム、マルウェアと通信しているC2サイドを分析した結果、2021年末の金融セキュリティインシデントと同じ一連の攻撃者の活動は、中国の有名ハッカーグループAPT10によるものと考えられ、台湾国内の金融機関の内部データを盗むことを主目的としていると我々は結論付けた。
[画像2: https://prtimes.jp/i/45349/18/resize/d45349-18-719d7b1b019851abd43f-0.png ]
CyCraft AIR システムはハッカーの侵入をいち早く察知し、アラートを発信する
[画像3: https://prtimes.jp/i/45349/18/resize/d45349-18-425038c23a50392a8e99-3.png ]
CyCraft 脅威インテリジェンスプラットフォーム『CyberTotal』の調査結果により、今回の攻撃は中国有名ハッカーグループAPT10によるものと考えられる
弊社が更に指摘したいことは、今回の攻撃は、特定の金融ソフトウェアシステムのWebサービスの脆弱性を狙った攻撃である疑いが高く、金融機関のサプライチェーンを標的としているということだ。この攻撃の過程で、ハッカーはまずこの脆弱性を利用してホストを制御し、そして.Net Webshellやバックドアプログラムを広範囲に仕込み、ハッキングされた企業からデータを盗み出したのだ。また、調査の結果から、この攻撃手法はウィルス感染していないモジュールを利用することで侵入を隠蔽し、アンチウィルスソフトウェアによる検知の可能性を低くしていたことが判明した。今回侵入が発生した金融ソフトウェアシステムは、証券会社やファンドプラットフォームなど、台湾国内の大手金融機関で高いシェアを持つ製品であるため、この手法による被害が更に広まる可能性があると予想する。
[画像4: https://prtimes.jp/i/45349/18/resize/d45349-18-3a56227ffcba5a6179fd-1.png ]
第二波金融機関への攻撃インシデントのマルウェアプログラムの仕組みと行動分析
なお、これまでの研究では、中国発のAPTグループは、一般的に金銭的動機は少なかったのに対し、今回は、明らかに金融機関のデータの盗取があったため、弊社研究チームは、この攻撃手法を「金食いパンダ作戦」(Operation Cache Panda) と名づけた。この”金食いパンダ作戦”の手法には、最新版のMITRE ATT&CKフレームワークv10にのみ登場する新しい攻撃手法「Reflective Code Loading」(MITRE ATT&CK - T1620)を使用するなど、.Netマルウェアや行動隠蔽・調査難読化のための各種ツールが高度に利用されていることが判明している。弊社の情報セキュリティブログ上でこのサイバー攻撃に関する技術的な詳細分析、緩和策と侵入指標(Indicator of Compromise, IoC)などの内容の研究レポートを発表している。
[画像5: https://prtimes.jp/i/45349/18/resize/d45349-18-b701f78ffa5e027604b0-2.png ]
弊社の共同創設者であるJeremy Chiuは、「今回の攻撃で利用されたツールやサプライチェーンへの攻撃は台湾国内で初めてのもので、通常の情報セキュリティソフトウェアでは検知が困難です。したがって、影響の範囲と程度は非常に深刻なものと言えます。台湾国内では既に多くの金融機関がハッキングされており、かつ昨年始まった多くの金融機関へのハッキング行為に関しては、各関係当局は警戒を怠らず、すべての金融機関に厳格な予防措置を講じる必要があります。」と語った。また「脆弱性の改善、バックドアやトロイの木馬の除去を行うとともに、情報セキュリティ専門会社の協力を得て、組織の情報セキュリティの防御措置を徹底的に見直す必要があります。」と注意を呼びかける。
より詳細の情報については、弊社の情報セキュリティブログ(https://medium.com/cycraft/supply-chain-attack-targeting-taiwan-financial-sector-bae2f0962934)で公開した研究レポートの中から、このサイバー攻撃事件に関する IP、ファイルハッシュ値(Hash)、マルウェアの特性などのIoCsを確認できる。この情報に基づいて、組織内部の状況を見直しすることも可能だ。弊社のサイバーヘルスチェックサービス、あるいは悪意のあるアクティビティを監視または阻止可能なAIエンドポイント状況収集システムを利用すれば、組織の情報セキュリティの耐性を強化し、ますます危険になるサイバー攻撃に対応できるだろう。
株式会社CyCraft Japanについて
株式会社CyCraft Japanは台湾に本社を置くAI サイバーセキュリティ業界のリーダーです。最先端のCyCraft AI技術でサイバーセキュリティ自動化サービスを提供しています。CyCraft AIRソリューションには次世代アンチウイルスソフト、EDR、及びCTIが搭載されています。SIEMとの連携も可能です。アジアの政府機関、フォーチュン・グローバル500企業、主要銀行および金融機関、台湾・シンガポール・日本・ベトナム・タイをはじめとするAPAC諸国の主要インフラ・航空・通信・ハイテック企業と中小企業に、サイバーセキュリティサービスを提供しています。日本、シンガポールに拠点を設けており、積極的にグローバルビジネスを展開しています。
オフィシャルサイト:https://www.cycraft.com/ja-jp/