標的型攻撃キャンペーンの急増

標的型攻撃 - 大量のデータと大きな影響力を持つ重要な情報システムを標的としたAPT攻撃は、これまでも、そして現在も、多くのハッカーグループが選択する攻撃トレンドの一つです。多くの組織や企業が業務をデジタル環境に移行し、データ資産がますます大規模化している中で、この傾向はますます増加しています。

実際、今年最初の数か月における世界およびベトナムのサイバーセキュリティの状況は、エネルギー、通信などの主要分野で事業を展開する企業のシステムに対する標的型攻撃の増加傾向を明確に示しています。具体的には、ベトナムでは、2024年上半期に、VNDIRECT、PVOILなどのシステムに対するランサムウェアを使用した標的型攻撃により、これらの企業の業務が中断され、物質的およびイメージ的な損害が発生したほか、国家のサイバーセキュリティを確保するための活動にも影響が出ました。

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
今年初めに発生した、VNDIRECTのシステム上のデータをマルウェアで暗号化する意図的な攻撃は、ベトナムの部隊にとって情報セキュリティ確保に関する大きな教訓となった。写真:DV

新たに共有された情報によると、情報セキュリティ部の傘下にある国家サイバーセキュリティ監視センター(NCSC)は最近、サイバー攻撃、情報窃盗、システム破壊を主な目的として、複雑なマルウェアや高度な攻撃手法を意図的に使用して組織や企業の重要な情報システムに侵入するサイバー攻撃キャンペーンに関する情報を同部署が記録したと述べた。

情報セキュリティ部門は、9月11日に各省庁、支局、地方自治体のITおよび情報セキュリティ部門、国有企業、一般企業、通信、インターネットおよびデジタルプラットフォームサービスプロバイダー、金融および銀行組織に送った警告の中で、Mallox Ransomware、Lazarus、Stately Taurus(別名Mustang Panda)の3つの攻撃グループによるAPT攻撃キャンペーンに関する詳細な情報を提供した。

具体的には、情報セキュリティ局は、Malloxランサムウェア関連の攻撃キャンペーン、ビデオ会議プラットフォームを偽装してWindowsアプリケーションを使用して多くの種類のマルウェアを拡散するLazarusグループのキャンペーン、VSCodeを悪用してアジアの組織を攻撃するStately Taurusグループのキャンペーンなど、重要な情報システムを標的とした3つの標的型攻撃キャンペーンにおける攻撃グループの攻撃行動を統合して分析するとともに、全国の機関、組織、企業がサイバー攻撃のリスクを早期に確認して検出できるように、サイバー攻撃指標(IoC)も提供しました。

その直前の2024年8月には、情報セキュリティ局は、次のような他の危険な標的型攻撃キャンペーンについても継続的に警告を発していました。APT 41グループに関連していると特定され、ベトナムを含むアジア太平洋地域の組織に影響を与えている、「AppDomainManager Injection」手法を使用してマルウェアを拡散するキャンペーン、インターネットサービスプロバイダーを標的とし、ユーザーのmacOSおよびWindowsシステムにマルウェアを展開して制御を奪い、重要な情報を盗むことを目的としているAPT StormBambooグループによるサイバー攻撃キャンペーン、金融機関、研究機関、製造業者を「ターゲット」としたAPT MirrorFace攻撃グループによるサイバー攻撃キャンペーンなど...

攻撃ステップモデル1.jpg
2024年8月6日に情報セキュリティ局が警告した、インターネットサービスプロバイダーを標的としたStormBamboo APTグループの攻撃手順の図。写真:NCSC

ベトナムの大規模な組織や企業を狙った標的型攻撃グループに関する情報も、今年上半期のベトナムの情報セキュリティ状況に関するレポートの中で、Viettel Cyber Securityが重点的に分析し、共有している内容です。

具体的には、Viettel Cyber Securityの専門家による分析によると、2024年上半期において、APT攻撃グループは攻撃キャンペーンで使用するツールとマルウェアをアップグレードしています。APTグループの主な攻撃手法は、偽の文書やソフトウェアを用いてユーザーを騙し、マルウェアを実行させることです。また、多くのグループが用いる一般的な手法は、DLLサイドローディングです。これは、クリーンな実行ファイルを利用して悪意のあるDLLをロードしたり、CVEセキュリティ脆弱性を悪用したりするものです。

Viettel Cyber Security の技術システムによって、2024 年の最初の数か月間にベトナムの企業や組織に大きな影響を与えると評価された APT グループには、Mustang Panda、Lazarus、Kimsuky、SharpPanda、APT32、APT 28、APT27 が含まれます。

APTによるシステム攻撃のリスクを早期に防ぐ対策

情報セキュリティ局は、APT攻撃に関する警告の中で、政府機関、組織、企業に対し、攻撃キャンペーンの影響を受ける可能性のある情報システムの点検とレビューを実施するよう勧告しています。同時に、サイバー攻撃キャンペーンに関する情報を積極的に監視し、攻撃を受けるリスクを回避するための早期対応策を講じるべきです。

W-情報システムセキュリティ-1-1.jpg
国内の機関、組織、企業は、サイバー攻撃や搾取の兆候を察知した場合、監視を強化し、対応計画を策定することが推奨される。写真:LA

同時に、各部隊は監視を強化し、サイバー攻撃や搾取の兆候を察知した際に対応計画を策定し、当局や大規模な情報セキュリティ組織の警告チャンネルを定期的に監視して、サイバー攻撃のリスクを迅速に検知することも推奨される。

世界的にもベトナムでも標的型攻撃を含むサイバー攻撃が絶えず増加している状況において、情報セキュリティの専門家は、国内の組織や企業に対し、リスクを最小限に抑え、継続的な生産・事業活動を維持するために注力すべきいくつかの対策を推奨しています。

これらは、顧客データと内部データを管理するためのプロセスとシステムのレビュー、システムへの侵入の兆候を積極的にレビューし、標的の攻撃グループを早期に検出して対応すること、重大な影響のあるセキュリティの脆弱性を含むソフトウェアとアプリケーションのバージョンのレビューとアップグレードなどです。

アジア太平洋諸国の技術スタッフがAPT攻撃への対応訓練を実施。「APT攻撃への対応:困難な問題への解決策の探求」をテーマにした国際演習「APCERT 2024」が8月29日に開催され、ベトナムをはじめとするアジア太平洋諸国の技術スタッフが参加した。