“ファンシーベア”が「東京 2020」を狙う  ~ 一般企業も巻き込むサイバーテロ、EDRの役割とは ~

 2020.02.04  EDR実践ポータル

fancy-bear

ビッグイベントにはサイバー攻撃も集結

オリンピック/パラリンピックやサッカーワールドカップなど、国際的なスポーツイベントが開催される国と都市、関係組織に対しては、大規模なサイバーテロが襲いかかります。前回の冬季五輪、平昌大会においても、開会式の混乱を狙って関連設備の運用を妨害したマルウェア、韓国の国家テロ対策センターを偽装した攻撃メールなどがニュースになりました。

過去の五輪でもサイバー攻撃は多発しています。“史上初の本格的なデジタル・オリンピック”とも言われた2012年のロンドン大会では、大会運営委員会のシステムへの不正アクセスが集中して業務を停滞させ、開催を支援する団体にはマルウェアも侵入。大量のスパムメールによる詐欺被害が発生した事件も報じられました。

2020年の東京に向けては、数年前から攻撃を見据えた活動が本格化し、政府主導による「サイバーセキュリティ戦略本部」、内閣官房の傘下に発足した「サイバーセキュリティ協議会」などの組織を軸に、官民が協力して五輪を視野に入れたセキュリティ対策を進めています。開催日が刻々と迫る中、昨年末にクローズアップされてきたのが「ファンシーベア」の存在です。

“気まぐれな熊”が暴れる?

大規模なサイバーテロ活動には、組織の識別と注意喚起、情報共有のため、セキュリティ企業などが、何らかの識別子を付けますが、あるロシアの攻撃者グループに対してファンシーベア(Fancy Bear)、“気まぐれな想像力を持つ熊”という命名をしているのは、米国に拠点を置くCrowdStrike社。同社では、国家主導の攻撃者グループに、ロシアは“熊(Bear)”、中国は“パンダ(Panda)”、インドなら“虎(Tiger)”などの名詞を付けて区分しています。 このルールに従って命名されたファンシーベア(Fancy Bear)はロシアということになります。

(※「ストロンチウム」「APT28」「ポーンストーム」などの名もありますが、現在は多くのメディアが「ファンシーベア」を利用しています)

その実態は、情緒的なネーミングとはかけ離れたサイバーテロ組織。ロシアに拠点を置き、ロシア政府(GRU:ロシア連邦軍参謀本部 情報総局)の関与も指摘される集団です。知られる限り、10年以上前の2008年には活動を始めており、世界各国の政府機関、政治団体、防衛、航空宇宙、エネルギー、メディアなどの分野において、大規模で執拗な攻撃を繰り返してきました。

2015年に起きたフランスのテレビ局に対するサイバー攻撃。2016年、米国の大統領選挙において、民主党陣営のシステムに侵入して機密文書やメールを盗み出し、ネット上に公開した事件。そして冒頭で触れた平昌五輪の運営妨害を企てたいくつかの攻撃も、ファンシーベアによるものである疑いが強いとされています。

 

ファンシーベアが東京を狙う事由は?

平昌五輪に対する妨害は、ドーピング問題でロシア選手団が締め出された措置に対する報復との見方があります。この問題の根は深く、ロシアの国際大会への参加を制限すべきとする報告書を、WADA(世界反ドーピング機構)が発表した2015年以降、関係組織に対する攻撃が報告されるようになりました。日本反ドーピング機構も2016年9月、「ハッカー集団 Fancy Bearsによる日本人競技者の個人情報流出について」と題する声明を出しています。

https://www.playtruejapan.org/topics/2016/000209.html

2019年10月末、米マイクロソフト社は公式ブログにおいて、ファンシーベアによるWADAやスポーツ関連団体に対する攻撃が確認されており、東京大会を視野に入れたものである可能性が高いとする注意喚起を出しました。

せめぎ合いの中から打ち手を見出す

ファンシーベアによる攻撃は、特定の企業や団体に照準を合わせ、マルウェアを貼付したメールなどを起点に侵入を計る標的型攻撃、偽装したWebサイトを設置して関係者をおびき寄せ、認証情報を搾取するフィッシングなど、さまざまな手口で切り崩しを計ることが知られています。

サイバー犯罪の攻撃者グループは、組織の状況やシステムの仕様などを調べ上げ、わずかな隙を突いてきます。敵の出方が読めない守る側にハンディがあることは否めません。ましてファンシーベアのような、国家や大きな権力を後ろ楯とする組織は、目的が明確であり、そこに向かって執拗な攻撃を仕掛けてきます。侵入を完全に跳ね返すことは難しいのが現実です。

もちろん、世界各国のセキュリティ企業、調査機関は技術と経験値を結集して、サイバー攻撃の回避、そして被害を少しでも軽減するための努力を続けています。せめぎ合いの中で、効力を発揮している取組みも少なくありません。その一つが、各国の企業・団体で情報システムの前線に配置されている「EDR(Endpoint Detection and Response)」やプロアクティブな脅威ハンティングです。

特定組織の標的型攻撃をリアルタイムに察知、表示するEDR

クラウド利用の促進、リモートワーク/テレワークの推進、それを支える5GなどIT環境が変化している中でサイバー攻撃が先鋭化した現在、企業の情報セキュリティ対策は、外部と社内ネットワークの境界をガードする“境界防御”から、PCやサーバーなどのエンドポイント機器の単位で最後の守りを固める“エンドポイント保護”というコンセプトが主流になっており、EDRもここをカバーするものです。侵入を100%防ぐことは困難という現実を直視し、仮にエンドポイントへのアクセスを許したとしても、侵入を見つけて被害を最小限に止めるとする考え方です。

ファンシーベアのような攻撃に対峙するには、脅威を正確に検知することが第一歩です。検知できなければ、気付かないうちにセキュリティ侵害に遭っている状態、何も起きていない状態と勘違いしている状態Silent failure(サイレント障害)に陥ります。その間に攻撃者グループは横展開をはじめ、被害はネットワーク内に広がってしまいます。エンドポイント機器の振る舞いから、すぐに攻撃の兆候を見つけ出す特性は欠かせないのです。

そしてもう一つ、大切な要素は攻撃者グループの特定です。世界中に降り注いでいる犯罪組織の動きとその手口は、“脅威インテリジェンス”と呼ばれる情報として毎日毎時、蓄積されています。EDRがリアルタイムで検知した脅威の兆候は、いかなる組織による、どのような攻撃なのか? 標的型攻撃なのかどうかを特定するには、この脅威インテリジェンスとの連携が欠かせません。 またマルウェア1つを見つけた、おかしなコマンドを見つけた、ではなく、「ファンシーベア」の攻撃なのか、他の攻撃者グループの攻撃なのかそれとも非標的型で広く実行され単なるマルウェアだったのかの全貌をキャッチした上で対処を進めることで、被害の拡散を防ぐことができます。

――CrowdStrikeのEDRの検知画面。知られた攻撃者グループに紐づくアクティビティであった場合には、その旨が表示される。 以下の例は「FANCY BEAR Detected」とファンシーベアの攻撃を検知した例。 決してオリンピック関連団体や政府だけで検知されるものではなく、一般企業でも「BEAR」「PANDA」などの攻撃は見られる。

crowdstrike-edr-dashboard

サプライチェーンのほころびを狙う

過去のオリンピック/パラリンピックでサイバー攻撃を受けたのは、IOC(国際オリンピック委員会)のような運営に直接関与する組織だけではありません。2012年のロンドン大会、2016年に開催されたリオデジャネイロ、そして2018年の平昌においても、攻撃のターゲットは政府機関をはじめ、電力などのエネルギー、交通機関や宿泊施設などの周辺産業、そして通信、金融、流通グループなどに波及していました。

一般企業も決して無縁ではありません。現代の産業社会では、企業間が“サプライチェーン”で結ばれているからです。どのような業態であっても、1社で完結するビジネスはなく、商品企画、設計、製造、輸送、販売、メンテナンス、広報などの分野において、企業は多くの業務を外部へ委託しています。製品のライフサイクルで発生するさまざまな技術情報、そして顧客情報などの機密情報も、サプライチェーン全体で共有しているはずです。

加速する攻撃にエンドポイントで対峙

ファンシーベアのようなスキルが高い犯罪組織は、平時においても、最初からガードが固い大手企業や業界団体は狙わずに、サプライチェーンの一角を形成する一般企業に対し、標的型攻撃などで探りを入れてきます。侵入が成功すると、ここを足場に攻撃の範囲を広げていくのです。

2020年7月が近づくにつれて、ファンシーベア、そして世界中の犯罪組織が仕掛ける攻撃は、加速していくはずです。2020年を迎えた日本において、サイバー犯罪とまったく無縁の企業はないと言っていいでしょう。ここでもう一度、みなさまの組織を防御する手段として、エンドポイントセキュリティに目を向けてみることをお勧めします。

ENDPOINT DETECTION AND RESPONSE

脅威ハンティングの最前線
攻撃の痕跡 VS 侵害の痕跡

RELATED POST関連記事


RECENT POST「セキュリティ全般」の最新記事


“ファンシーベア”が「東京 2020」を狙う  ~ 一般企業も巻き込むサイバーテロ、EDRの役割とは ~
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング