＜ニュースハイライト＞

・マカフィーがコマンド&コントロールサーバーの

　データとコードを分析し、グローバルな

　サイバースパイ活動の内部構造が判明

・サーバーのデータとコードから、

　2018年以前にも活動があったことが明らかに

・主に世界的な金融機関、政府機関、

　重要インフラを標的にした活動が継続中

米国マカフィー（McAfee LLC、本社：米国カリフォルニア州）は

本日、2018年に確認されたOperation Sharpshooterが、

実はより複雑で、広範囲、長期間にわたっている証拠を

明らかにしました。

マカフィー Advanced Threat Research(ATR)は、

このグローバルなサイバースパイ活動の背後で

作戦、ツール、およびスパイ技術を管理する

コマンド&コントロールサーバーの

コードとデータについて詳細に分析しました。

このコンテンツは、マルウェア攻撃に関する

マカフィーがこれまで公表した調査をよく知る政府機関から、

マカフィーに分析のため提供されたものです。

分析の結果、以前には知られていなかった

複数のコマンド&コントロールセンターが確認され、

Sharpshooterの攻撃が2017年9月に開始され、

多くの業界や国の広範な組織を対象に、

いまも活動が継続中であることがわかりました。

マカフィーのフェロー兼チーフ サイエンティストの

ラージ・サマニ（Raj Samani）は、次のように述べています。

「マカフィーATRによるコマンド&コントロールサーバーの

コードとデータの分析によって、Sharpshooterの

背後にいる攻撃者がどのように統制のための

インフラを開発し、構成したかについて

より詳細に知ることができます。

マルウェアをどのように配布し、実行に先だって

どのように秘密裡にテストしたかについての詳細です。

この知見は、攻撃者に対する理解を

深めるために非常に有益であり、

最終的にはより堅牢な防御につながります」

2018年12月、マカフィー ATRはSharpshooterが

通信、エネルギー、政府、防衛分野などを含む

基幹産業全体で世界80以上の機関を標的とする

グローバルなサイバースパイ活動であることを

初めて確認しました。新たな証拠の分析によって、

2018年の活動における技術指標、技法および手順と、

サイバー犯罪組織「Lazarus」 グループによるものと

みなした他の複数の攻撃特徴が、

非常に似ていることがわかりました。

例えば、Lazarus グループが2017年に

Rising Sunインプラントの類似バージョンを

使用したことや、Lazarus グループの悪名高い

2016年のバックドア「Trojan Duuzer」の

ソースコードなどです。

マカフィーの上席プリンシパルエンジニア兼

リードサイエンティストである

クリスチャン・ビーク（Christiaan Beek）は、

次のように述べています。

「サイバー攻撃を完全に理解するには、

技術的な証拠だけでは十分ではなく、

それで謎の全貌が判明するわけではないのです。

敵のコマンド&コントロールサーバーのコードに

アクセスできる機会など滅多にありません。

これらのシステムを探ることで、

サイバー攻撃のインフラの内部構造について

深く知ることができます。

これらは通常、法執行機関に

差し押さえられることはあっても、

民間の研究者が参照できる機会は滅多にありません。

このコードにアクセスすることで得られた知見は、

今日の最も顕著で巧妙なサイバー攻撃を

理解し、戦うために不可欠です」

以前確認された時期よりも約1年早く

開始されていたことがわかり、そして今も続く

これらの活動は、現在、主に金融サービス、政府機関

および重要インフラに集中しているようです。

また最近は、ドイツ、トルコ、英国、

米国を中心に多く発生しています。

以前は米国、スイス、イスラエルなどの通信業界、

政府機関、および金融業界に集中していました。

その他分析結果

・ハンティングとスピア型攻撃

Sharpshooterはいくつかの活動と

設計や戦術が重複しています。

例えば、Lazarus グループによるものと

されている2017年の偽の求人募集を

悪用した活動に非常に類似しています。

・アフリカ・コネクション

コマンド&コントロールサーバーのコードと

ファイルログを分析したところ、

アフリカのナミビアにあるビントフック市から

発信されたIPアドレスのネットワークブロックが

発見されました。

マカフィーATRのアナリストは、Sharpshooterの

背後にいる攻撃者が、広範な攻撃を展開するのに

先立ち、この地域でインプラントやその他技法を

テストした可能性があるのではないかと見ています。

・アセットへのアクセスを維持

攻撃者は、Hypertext Preprocessor (PHP)および

Active Server Pages（ASP）で書かれた

コアバックエンドを有する

コマンド&コントロールインフラを使用しています。

このコードはカスタマイズされており、

グループに固有のもののようです。

マカフィーの分析によると、2017年からの

攻撃に利用されていたことが判明しました。

・進化するRising Sun

Sharpshooterの攻撃者は、

コアのインプラント機能とは独立して

開発されてきたRising Sunを構成する

さまざまな悪意あるコンポーネントで構成される

工場のようなプロセスを使用しています。

2016年からのさまざまなインプラントで

これらのコンポーネントが確認されています。

これは、攻撃者が先進の機能に意のままに

アクセスできることを示すものの一つです。

■マカフィーについて

マカフィーはデバイスからクラウドまでを

保護するサイバーセキュリティ企業です。

業界、製品、組織、そして個人の垣根を越えて

共に力を合わせることで実現する

より安全な世界を目指し、マカフィーは企業、

そして個人向けのセキュリティ ソリューションを

提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

■McAfee Labs および

ATR（Advanced Threat Research）について

McAfee LabsとMcAfee ATRは、

脅威調査、脅威に関する知見、

サイバーセキュリティにおける主要機関です。

McAfee Labs及び、McAfee ATRは、ファイル、

Web、メールやネットワークなどの主な

脅威対象項目にわたる10億以上のセンサーからの

データを元に、リアルタイムで脅威情報、分析、

防御力の向上及びリスクの軽減を目指しています。

* McAfee、McAfeeのロゴは、米国および

　その他の国におけるMcAfee, LLCの商標です。

* その他の製品名やブランドは、該当各社の商標です。