第2のCobalt Strikeか／韓国タクシー会社 迅速な身代金支払と事実公表／医療分野への攻撃が世界的傾向 ほか [Scan PREMIUM Monthly Executive Summary]

　大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。
※「●」印は特に重要な事象につけられています。

＞＞Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

＞＞岩井氏 取材記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

【1】前月総括

　7 月は、エスパー元米国防長官が台湾を訪問し、“一中政策”の見直しを提唱し、さらには、ペロシ米下院議長がアジア歴訪を発表したことを受け、米中関係が悪化の様相がみられました。（ 8 月に台湾を訪問し中国が猛反発したことはご存知の通りです）この報道は、サイバー空間における活動へも影響を与えることは明らかであり、ペロシ議員の訪問国である日本への影響が懸念されます。

　日本への攻撃動向ですが、Virustotal には APT10 や Blacktech、Tick と推察される検体が提出されており、中国を拠点とする脅威アクターが暗躍している可能性があります。これらは前出の報道と関連性はみられませんが、米中関係の悪化に伴い、ハクティビストを含めて攻撃活動の活発化を想定しておく必要があります。

　脅威動向についてですが、米国、韓国などで医療分野のシステムに対する攻撃に対してのアドバイザリが公開されています。米 CISA は、北朝鮮の脅威アクターが Maui ランサムウェアを悪用して、医療・公衆衛生分野に対して攻撃を実施していることを報告しています。韓国においては、アンラボ社が医療画像の管理・転送を行うシステム（ PACS ）への攻撃事例を紹介しています。こちらは、dcm4che という Java ベースのアプリケーションで構成されている製品が標的となったとのことです。日本でもたびたび報じられている医療分野への攻撃ですが、これらは世界的傾向であるようです。

　ロシアの脅威アクターの動向ですが、ロシア対外情報庁傘下の APT29 による攻撃において、Cobalt Strike に代替される可能性のあるレッドチームツール「 Brute Ratel C4 」が利用されたことが、Palo Alto Networks 社より報告されました。同ツールの特徴は、EDR やアンチウイルスソフトの検出・回避機能とのことで、今後の悪用増加が懸念されています。ちなみに、同ツールの開発者は、Mandiant や CrowdStrike に在籍経験のある Chetan Nayak 氏です。

　この APT29 に関しては、ビジネスチャットツールの Slack を利用しての攻撃が発見されています。これは、悪性の HTML ファイルである EnvyScout を利用しての欧州への攻撃で確認されたものです。同グループは、これまでに Dropbox や Google Drive を含む複数のサービスを悪用したことが報告されています。同じ攻撃キャンペーンにおいて、複数のサービスを併用されたと推測しますと、非常に早いペースでマルウェアの改良を行なっていることが窺えます。この種のサービスの悪用は、すぐに他の脅威アクターに模倣される恐れがあります。

　次に、7 月の重要な脆弱性情報に関してですが、米 CISA は、連邦政府機関に対して Microsoft 社の月例パッチに含まれている Windows Client / Server Runtime Submission（ CSRSS ）の脆弱性「 CVE-2022-22047 」に対して早期のパッチ適用を求める勧告を行なっています。同脆弱性は、ローカルでの権限昇格が懸念される脆弱性であり、単体で脅威度は然程高いものではありません。しかし、既に欧州で民間の脅威アクターである KNOTWEED による悪用が確認されており、今後サイバー犯罪での悪用増加が懸念されています。

　海外の気になるインシデントとして、韓国のタクシー会社「コルタクシー」のシステム運用会社がランサムウェアの被害に遭い、韓国の 30 以上の都市や地方自治体で影響が出たことが報じられています。これにより、配車アプリによる呼び出しが困難となり、韓国の交通インフラに影響が生じました。事業に直結するインシデントであったことから、同社は身代金を支払う選択をすることでの復旧・回復を行なっており、調査は連携する政府機関（今回は、KISA ）が継続して実施している模様です。ランサムウェアによる攻撃は、攻撃者にとって金銭獲得の一手段であり、他にも複数の攻撃手段を用意していると仮定します。その場合、被害企業の対応の第一優先は「事業の復旧と継続」、次に回復・調査という判断になる、という典型的なケースですね。

　最後に政策動向ですが、オーストラリア政府は、重要インフラのインシデント報告を 12 時間以内とすることを“義務化”の方向で動いています。同国の規定では、重大なサイバーインシデントが発生した、または“発生しつつある”としている点で、比較的相談しやすい書きっぷりとなっているように思います。

　また、米国運輸保安局（ TSA ）は、石油・天然ガスパイプラインのサイバーセキュリティ指令の改訂版を正式に発表しています。こちらは 2021 年 5 月のインシデントを受けてのもので、よりパフォーマンスベースの技術的対策に重点を置いた内容に修正されているとのことです。

　どちらも遵守することを求めており、要求した内容の遵守を証明するために記録や文書の提出が必要としています。国家としてサイバーセキュリティ強化の意気込みが感じられますね。