私たちは2016年11月、2012年にマルウェア「Shamoon」の攻撃を受けた時とこれまでのサンプルを比較検証したブログを発表しました。11月以降も独自の継続分析を続け比較してきましたが、膨大な研究結果により、私たちの当初の主張が正しいことを裏付けられました。最新のShamoonが攻撃範囲を拡大していること、この攻撃が他の顕著な攻撃と関係していること、また、攻撃の精度が上がっていることから、このマルウェアの背後には、単独のハッカー グループだけではなく、包括的に投資、協力、調整を行う国家の存在が示唆されています。このブログ(英文)と調査ブログ (英文) では、2012年から2017年の攻撃に関する比較とその成長について継続的な研究結果をまとめています。
標的の拡大
2012年の初代Shamoon攻撃の主な標的は、サウジアラビアのエネルギー関連企業に集中していました。最近の攻撃では、標的の範囲がエネルギー関連企業から、官公庁や金融サービスなどにも拡大しています。標的は拡大していますが、私たちが確認したサンプルは、すべてサウジアラビアの組織が標的とされていました。
攻撃方法は、どれも非常に似ていました。標的を特定すると、初期侵入経路としてスピア フィッシング メールを送信します。2016年9月ごろから、標的となった組織の個人宛にこうしたスピア フィッシング メールが送られています。このメールの本文には、マクロが埋め込まれたMicrosoft Officeファイルが含まれており、これを利用してバックドアを仕掛け、攻撃者は組織に侵入します。こうして必要な偵察を終えると、攻撃者は、サウジアラビア全土の重要企業を混乱させることを目的として、攻撃の武器化を開始しました。
- 攻撃第1波: サウジアラビア時間で2016年11月17日午後8時45分にシステムをワイプ
- 攻撃第2波: サウジアラビア時間で2016年11月29日午前1時30分にシステムをワイプ
- 攻撃第3波: 2017年1月23日より、第1波および第2波と同様のサンプル、手法、TTP (戦術、技術、手順) で攻撃を開始。現在も継続中。
感染したシステムのワイプ処理では、2012年の攻撃とは別のイメージがロードできますが、その破壊効果は同じです。攻撃の規模 (段階的攻撃) から、国を崩壊させるための連携体制が窺ます。これは、過去の攻撃にはなかった特徴です。
他の攻撃との繋がり
コードの大部分が同じであるという事実から、過去のキャンペーンとの関係性が窺われます。実際、私たちの調査では、2012年の攻撃で使われたコードの90%が再利用されていました。ただし、このコードの再利用について調査したところ、他の攻撃のコードも使われていることを確認しました。たとえば、最新のスピア フィッシング攻撃のマクロに使われているコードは、ハッキング集団「Rocket Kitten」による攻撃で使われていたものでした。また、Oil-RIG攻撃で使用されたインフラが使われていることも確認しました。
最近のShamoon攻撃には、ある国家が関与している可能性がありますが、私たちは、2012年の攻撃以降、その技術が著しく向上していることに注目しています。たとえば、2012年の攻撃者は、被害者のネットワーク内外を素早く移動し、システムにワイプ攻撃を与えたのち、消滅していました。一方、2016年の攻撃者は、ネットワークに侵入して遠隔操作を確立したうえで、インテリジェンスを収集し、将来的なワイピング攻撃を企てます。
幅広い協力体制
上記の内容を含む重要な違いがあることから、私たちは、2016~2017年の攻撃では、かなり大規模なハッキング集団が開発に協力していることを、ほぼ確信しています。最近の攻撃は技術レベルが大きく向上していますが、攻撃の幅広い部分には、必ずしも同等レベルの技術を持ち合わせていない数多くの攻撃者が関与していました。セキュリティの操作手順の甘さから、一部の攻撃は能力が劣る攻撃者によるものであることが窺えます。さらに、他の攻撃者の攻撃に見せかけてマルウェアをデザインすることが可能であるという事実もあります。
長年、Shamoon攻撃を調査してきましたが、私たちが確認したケースでは、このような他の攻撃者からの攻撃に見せかける戦術は使われていないと考えます。
しかし、巧妙化という言葉について、はっきりしていることがあります。この攻撃は、サウジアラビアの重要企業や国を混乱させることを目的として、極めて大規模かつ巧妙に計画された国際的な攻撃です。
東アジアの銀行や企業も攻撃されているため、サイバー スパイ行為やシステム ワイプ攻撃の標的は中東だけではありません。無法国家や無国籍の攻撃者は、他の方法では不可能な軍事および情報目的を達成させるために、同様のサイバー ツールや戦術を使うことが確認されています。こうしたアクターは、互いに直接取引する以外に、ブラックマーケットからこれらのマルウェアやその他の技術を入手していることが分かっています。
そのため、攻撃者がまた舞い戻ってこないという保証はありません。今回のShamoonの「再来」が示すように、マルウェアは進化して、何度も何度も襲ってくるのです。
この研究に関する詳細は、エグゼクティブ パースペクティブスのマカフィー ストラテジック インテリジェンス調査ブログ(英文)をご覧ください。