2020/07/16

イギリス、カナダ、米国が新型コロナウイルス関連の研究へのサイバー攻撃に連名で注意喚起

2020 年 7 月 16 日 Trevor Collins 著

本日、英国国立サイバーセキュリティセンター(NCSC)とカナダ通信保安局(CSE)は、米国国家安全保障局(NSA)の助力を得て、別名「Dukes」「Cozy Bear」として知られる、ロシアの情報機関と関与するグループ「APT29」の攻撃に関するアドバイザリを公開しました。

ATP29 は「WellMess」や「WellMail」として知られる独自のマルウェアを使用して、世界中の組織を攻撃しています。攻撃を受ける組織の中には、新型コロナウイルスのワクチン開発に関わる組織も含まれています。

レポートでは、標的を侵害するために APT29 が実際に使用している脆弱性のいくつかが紹介されています。

WellMess とは、シェルコマンドを実行してファイルをダウンロードする、Windows と Linux を標的にした 2018 年から知られるマルウェアです。WellMail とは、コンピュータ上でコマンドを実行してその結果を C&C サーバに送信する Linux サーバを標的にした新しいマルウェアです。マルウェアに関する詳細はレポート全文をお読みください。

新型コロナウイルスの研究を標的とする攻撃は依然として続いており、当ブログでもこのような攻撃について紹介したことがあります。病院や研究施設は、これらのサーバやネットワークを保護するよう取り組まなければなりません。

  • 今回のレポートでは、このマルウェアで悪用された新しい脆弱性は発見されていません。最新のパッチを随時適用していれば、APT29 がこれらの脆弱性をネットワークの侵害に使うことはできません。
  • ユーザが意図せず認証情報を漏洩してしまう場合もあります。メールが不審であるかどうか判断しそれを報告する方法など、ユーザには常に最新のベストプラクティスを共有しましょう。もしパスワードが盗まれた場合、多要素認証を設定していれば、ユーザアカウントの安全を確保できます。
  • ローカルネットワークのアクティビティを記録してレポートすることで、不審なアクティビティがあっても、すぐに特定しやすくなります。またインシデントが発生した際、ログを調査することで、被害の範囲を特定し、影響を受けていない他の環境に被害を拡散することなく、問題を除去できます。