ライフライン、エンターテイメント、金融、医療、通信を含む幅広い業界を襲うグローバルな組織的データ窃盗の存在をマカフィーの Advanced Threat Research(ATR)のアナリストが明らかにしました。 「Operation GhostSecret」(以下、GhostSecret)と名付けられたこの攻撃は、北朝鮮の国家的支援を受けているサイバー犯罪集団「Hidden Cobra」に関連する複数のインプラント、ツール、マルウェアの亜種を利用しています。インフラストラクチャーは現時点でアクティブなままです。 (ATRチームのより詳細な分析は、GhostSecretの情報窃盗に関する英文分析記事 “Analyzing Operation GhostSecret: Attack Seeks to Steal Data Worldwide.” をご参照ください。)
この組織的な攻撃は極めて複雑で、感染したシステムから情報を盗むため多数のインプラントを使用、その上検出を回避し、調査の目を欺くよう綿密に設計されています。使用される複数のインプラントはそれぞれかなり異なり、いくつかの機能とコードを共有しているものの、カテゴリーが異なっています。 マカフィーATRのアナリストがこの攻撃を調査した結果、2014年のソニー ピクチャーズへの攻撃で使用されたインジケータと多くの類似点が見られました。
この攻撃の一つで、Bankshotのインプラントを使用してトルコの金融部門を狙った案件をマカフィーATRのアナリストが最近検知しました。これはGhostSecretの初期段階だったようです。発表の翌日には、新たな攻撃が金融機関以外でも発生、3月14日~18日の間に、計17カ国でデータ窃盗のためのインプラントが検出されました。
この攻撃に関わる犯罪組織の容疑者リストの幅は、追求すればするほど狭くなります。彼らはどのIPアドレスから誰が接続できるかを明らかにしているのです。これらのIPアドレスのWHOIS情報を確認すると、互いに何らかの地理的な相関関係があることがわかりますが、これらのアドレスがなぜ使用されたかについては、それ以上の鍵となるような情報はありません。
この攻撃では初期の段階で検知され発表されても、攻撃の手を緩めさせることにはまったくつながらなかったことは経緯を見れば明らかです。彼らは単に攻撃を継続しただけでなく、標的の種類、使用ツールの両面で攻撃の範囲を拡大したのです。「熟練」という言葉は陳腐で主観的なので使わないようにしていますが、それにしても攻撃者は相当な能力があり、それは彼らのツールの開発とそのペースをみても分かります。
サイバー犯罪撲滅には、官民の効果的なパートナーシップを通じて取り組むのがベストです。マカフィーは、タイの取締当局がGhostSecretのコントロールサーバーインフラストラクチャーを廃止し、さらなる分析のための関連システムを保護するよう、タイ政府との協力を進めています。マカフィーは、世界各国の取締当局とのパートナーシップの構築とその継続を通じ、脅威には団結して当たることが最良の策だと実証しています。