大規模サイバースパイ組織、衛星ネットワークを悪用して隠蔽工作

© User:Colin / Wikimedia Commons / CC-BY-SA-4.0

 カスペルスキー・ラボの調査分析チーム(GReAT)は、ロシア語話者が関係しているとみられるサイバースパイグループ「Turla」(トゥーラ)が、攻撃活動とその拠点を隠蔽するため、衛星ネットワークの仕様を悪用していることを解明したと発表した。  Turlaは、SnakeやUroburosなどの別名を持ち、8年以上活動を続けている高度なサイバースパイグループだ。これまでにカザフスタン、ロシア、中国、ベトナム、米国をはじめ、45か国以上の政府機関、大使館、軍事組織、教育機関、研究機関、製薬企業などで大量のコンピューターをマルウェアに感染させてきた。Turlaの攻撃には「Epic」というマルウェアが用いられ、バックドアを仕掛けて標的のネットワークに侵入し、内部情報を収集する。社会的地位や知名度の高い組織だけに対象を絞られていた。今回の調査報告で明らかになったのは、このサイバー攻撃の最終段階で広範な衛星通信のメカニズムを利用して、自らの活動の痕跡を隠蔽するということだ。  衛星通信は、通常のインターネット接続が不安定だったり利用できない地域などで活用されているが、下り専用回旋は安価な衛星インターネット回線の一つとして普及している。  この下り線用接続の場合、下りトラフィックで衛星回線が使われるのだが、通信が暗号化されないという欠点があるため、安価な機器とソフトウェアだけで簡単に通信を傍受できるのだ。  Turlaはこの特性を悪用し、標的との通信と指令サーバーの隠蔽を次のような手順で行っているという。 【1】攻撃者は衛星からの下りトラフィックを「注視」し、オンライン状態の正規衛星通信ユーザーのIPアドレスを特定。 【2】次に、上記で特定したIPアドレスと同じIPアドレスを指令サーバーに振り当て、正規ユーザーを指令サーバーの隠れ蓑として使用。 【3】標的に感染させたEpicマルウェアに従来の通信方法でコマンドを送信し、調査結果や窃取するデータを衛星経由で先に特定したIPアドレスで受信。この際、データの送信先には通常閉じられているポートを指定しているため、正規IPアドレスのユーザー側では通信がドロップされてしまうため通信に気づくことなく、攻撃者の元だけに窃取した情報が届く――というからくりである。

出典/カスペルスキー

 現在のところ、攻撃者は中東とアフリカ諸国の衛星インターネット接続プロバイダーを利用しており、コンゴ、レバノン、リビア、ニジェール、ナイジェリア、ソマリア、UAEのプロバイダーのIPアドレスが悪用されていることが確認されているという。これらの国の事業者が使う衛星は、欧州や北米地域をカバーしていないことが多いため、大半のセキュリティリサーチャーによる調査が困難なってしまうのだ。  カスペルスキー・ラボのシニアセキュリティリサーチャー、ステファン・タナセは、次のように語る。 「衛星インターネット回線を利用して活動を隠蔽しているグループは、これまでに少なくとも3つ確認されています。その中でも、Turlaグループが開発した手法は最も興味深く、特殊です。一方向の衛星インターネットという広く使用されている技術を悪用し、極めて高いレベルの匿名性を実現しています。Turlaの拠点は、攻撃に使われた衛星の通信可能範囲のどこかにあると考えられますが、この範囲は数千平方キロメートルを超えることもあるため、攻撃者の追跡はほぼ不可能です。こうした手法が広く利用されるようになっており、システム管理者はエンドポイントを含め適切な防御策をとり、攻撃の影響を緩和することが重要です」 参照:カスペルスキー <文/HBO取材班 Photo by User:Colin / Wikimedia Commons / CC-BY-SA-4.0
バナー 日本を壊した安倍政権
新着記事

ハーバービジネスオンライン編集部からのお知らせ

政治・経済

コロナ禍でむしろ沁みる「全員悪人」の祭典。映画『ジェントルメン』の魅力

カルチャー・スポーツ

頻発する「検索汚染」とキーワードによる検索の限界

社会

ロンドン再封鎖16週目。最終回・英国社会は「新たな段階」に。<入江敦彦の『足止め喰らい日記』嫌々乍らReturns>

国際

仮想通貨は“仮想”な存在なのか? 拡大する現実世界への影響

政治・経済

漫画『進撃の巨人』で政治のエッセンスを。 良質なエンターテイメントは「政治離れ」の処方箋

カルチャー・スポーツ

上司の「応援」なんて部下には響かない!? 今すぐ職場に導入するべきモチベーションアップの方法

社会

64bitへのWindowsの流れ。そして、32bit版Windowsの終焉

社会

再び訪れる「就職氷河期」。縁故優遇政権を終わらせるのは今

政治・経済

微表情研究の世界的権威に聞いた、AI表情分析技術の展望

社会

PDFの生みの親、チャールズ・ゲシキ氏死去。その技術と歴史を振り返る

社会

新年度で登場した「どうしてもソリが合わない同僚」と付き合う方法

社会

マンガでわかる「ウイルスの変異」ってなに?

社会

アンソニー・ホプキンスのオスカー受賞は「番狂わせ」なんかじゃない! 映画『ファーザー』のここが凄い

カルチャー・スポーツ

ネットで話題の「陰謀論チャート」を徹底解説&日本語訳してみた

社会

ロンドン再封鎖15週目。肥満やペットに現れ出したニューノーマル社会の歪み<入江敦彦の『足止め喰らい日記』嫌々乍らReturns>

社会

「ケーキの出前」に「高級ブランドのサブスク」も――コロナ禍のなか「進化」する百貨店

政治・経済

「高度外国人材」という言葉に潜む欺瞞と、日本が搾取し依存する圧倒的多数の外国人労働者の実像とは?

社会