ロシアの諜報機関とつながりのあるハッカー集団が、インターネットに接続された携帯電話やプリンターといったIoT機器を使って企業のネットワークに侵入している。マイクロソフトが8月5日にブログで発表した。
このハッカー集団は、「ストロンチウム(Strontium)」または「ファンシー・ベアー(Fancy Bear)」「APT28」といった名称で呼ばれる集団。ロシア軍の情報機関であるロシア連邦軍参謀本部情報総局(GRU)と通じているとされる。
このハッカー集団は少なくとも2007年には活動を開始しており、数々の悪名高いハッキング行為への関与が確認されている。2016年には米民主党全国委員会(Democratic National Committee)に侵入。2017年にはあらゆる重要データを破壊する「ナットペトヤ(Notpetya)」を使ってウクライナを攻撃し、2018年は年間を通じて欧州や北米地域の政治団体へ攻撃を仕掛けたとされる。
今回発表された新たな活動でハッキング集団は、IP電話やネットに接続されたプリンター、ビデオ・デコーダーといった一般に普及したIoT機器から企業ネットワークに侵入した。多くの企業がウィンドウズを利用していることから、マイクロソフトは世界中の企業ネットワークをとてもよく把握している。マイクロソフトの脅威インテリジェンスセンター(Threat Intelligence Center)は、2019年4月にファンシー・ベアーの新たな活動の開始を発見している。
セキュリティを考えるとき、多くの場合、優先されるのはスマートフォンやデスクトップPCだろう。だが、ハッカーに悪用される可能性を提供しているのは、むしろプリンターやWebカメラ、デコーダーといった機器なのだ。
マイクロソフトは複数の事例で、IoT機器のパスワードが工場出荷のままだったために、ファンシー・ベアーが標的としたネットワークに侵入できたことを確認している。別の事例では、最新のセキュリティ更新プログラムを適用していなかったために侵入された。こうした機器を突破口としてハッカーは足がかりを作り、さらなる侵入経路を探したのだ。
5日に投稿したブログで、マイクロソフトは次のように警告した。「ハッカーはネットワークへのアクセスの確立に一度成功すると、他の安全ではない機器を探す簡単なネットワークスキャンによってより価値のあるデータの入手が可能な特権アカウントを探し出し、ネットワーク中を移動します」。
ハッカーは、ある機器から別の機器へと移動しつつ、継続的に侵入し、ネットワーク構成を解読する。その間ずっと、コマンド・サーバーやコントロール・サーバーと接続しているのだ。
マイクロソフトはこの1年間、ファンシー・ベアーを厳重に監視してきた。
ファンシー・ベアーの標的になった、あるいは実際に侵入された組織にマイクロソフトが送った1400件の通報のうち、20%が世界中の非政府組織やシンクタンク、政治関連団体などだった。残りの80%は政府機関や、テクノロジー、軍事、医学、教育、工学に関連するさまざまな企業となっている。
「私たちは、オリンピック組織委員会、アンチ・ドーピング機関、ホスピタリティ産業に対する『ストロンチウム(STRONTIUM)』攻撃を観測し、通報しました」とマイクロソフトはブログで警告した。
昨年、米国連邦捜査局(FBI)は「VPNフィルター(VPNFilter)」というファンシー・ベアーのマルウェアに対し破壊的な攻撃を実施した。VPNフィルターは、ファームウェアを消去し、機器を使用不能にする壊滅的な能力を持つマルウェアで、ルーターやネットワーク・ストレージをターゲットにする。この攻撃はファンシー・ベアーのお気に入りの標的、ウクライナが主な対象だった。
