【本記事はPwCあらた監査法人様からのプレスリリースです】
Scanboxにより端末情報などを収集する諜報活動を観測
プライスウォーターハウスクーパース株式会社
プライスウォーターハウスクーパース株式会社(本社:東京都中央区、代表取締役社長:椎名 茂)は、7月23日、サイバー攻撃の観測・分析活動を行っている当社の専門チーム「スレットリサーチラボ」が国内の政府機関、特定機構および重工やホテルなどの企業のドメインを模したURLを利用して、標的組織の情報を収集する諜報活動を観測したことを発表します。
昨今、国内外においてさまざまな標的型攻撃が発生し、国家間を超えて対策すべき課題となっています。一般的に標的型攻撃は、標的組織に侵入する前に標的組織の情報を収集するための諜報活動を行います。諜報活動にはさまざまな手法が用いられ、特に昨年からWebサイトにアクセスするだけで端末情報を収集する手法が利用され始めました。これらはDevice Fingerprinting(*1)と呼ばれる技術を悪用した手法であり、主にJavaScriptなどによりアクセスした端末のOSやブラウザおよびプラグイン情報、さらには脆弱性を利用して導入しているウイルス対策ソフトなどを含む各種ソフトウェアの種別やバージョン情報、端末内部の詳細情報を収集することを可能にしています。また、諜報活動を目的として、JavaScriptや脆弱性などを利用してリモートコンピューティングデバイス情報を収集するScanbox(*2)と呼ばれるツールが横行しています。
今回、「スレットリサーチラボ」では、端末情報などを収集する諜報活動を目的とした、標的組織のWebサイトのURLを模したドメインにScanboxのコードの一部を利用したWebサイト(以下、Scanbox Webサイト)、ならびにScanbox Webサイトに誘導する複数のWebサイト(以下、誘導Webサイト)が作成されていることを確認しました【図1】。
【図1】Scanboxによる諜報活動の概略図
また、誘導Webサイトのコンテンツに、国内の政治団体などのWebサイトのコンテンツがコピーされており、それらのコンテンツにScanbox Webサイトへ誘導するコードが埋め込まれていました【図2】。ただし、今回のケースではコピーされたコンテンツの一部が壊れており、コンテンツ自体はブラウザでは表示されませんでした。【図3】は壊れたコンテンツの一部を修正した誘導Webサイトです。なお、誘導Webサイトのコンテンツは壊れていますが、Scanbox Webサイトに誘導するコードは先頭に記載されているため、誘導そのものは実行されます。
【図2】誘導Webサイトの誘導コード
【図3】誘導Webサイトのコンテンツ
国内企業・組織のドメインを模していること、誘導Webサイトで国内企業・組織のコンテンツが表示されることから、今回の諜報活動が、国内の企業・組織を標的とした情報収集を行っていることが推測されます。
さらに、「スレットリサーチラボ」でScanbox Webサイトの難読化コードを解除し詳細に解析したところ、キーロガー機能(*3)やWeb RTC(*4)を利用し端末のローカルIPアドレスまで収集していることも判明し、攻撃者が組織ネットワーク構成やさまざまな情報の把握を試みていることを究明しました。
当ラボでは、一部の組織において実際にScanboxによって情報が抜き取られた可能性を確認し、直接もしくは第三者機関を通じて標的組織へ情報提供を行いました。これらの誘導WebサイトやScanbox Webサイトにアクセスしている痕跡がある場合、当該組織は攻撃者に組織情報や脆弱性情報が抜き取られ、近い将来、攻撃を受けることが想定されるため、引き続き観測するとともに、必要に応じて情報提供を行っていきます。
スレットリサーチラボ統括責任者の星澤 裕二パートナーは、次のようにコメントしています。
「OSやアプリケーションを最新の状態とすることで、諜報活動の被害に遭ったとしても、脆弱性を突いた攻撃による被害拡大を防ぐことが可能となります。さらに、当ラボではサイバー攻撃は不可避なものとして捉え、迅速に対応するレジリエントセキュリティの実現が重要であると考えています。そのためには、インテリジェンスを駆使することで攻撃者の手口を予測し、攻撃を受けたときにも即座に対処、復旧できる態勢を整備することが必要です」
*1 Device Fingerprinting
Device FingerprintingはBrowser FingerprintやMachine Fingerprintとも呼ばれ、リモートコンピューティングデバイスを識別するための情報です。 Cookieなどを用いずとも、リモートコンピューティングデバイスを識別するための情報を得ることができます。
*2 Scanbox
2014年頃から報告された悪意の目的でリモートコンピューティングデバイス情報を収集する不正なツールです。主に、JavaScriptにて作成されています。
*3 キーロガー
ユーザのキータイプ情報などを搾取するプログラムです。
*4 Web RTC
WebRTC (Web Real-Time Communication)とは、World Wide Web Consortium (W3C)が提唱するリアルタイムコミュニケーション用のAPIの定義であり、ウェブブラウザ間のボイスチャット、ビデオチャット、ファイル共有などをプラグインなしで実現します。
以上
- プライスウォーターハウスクーパース株式会社について
- プライスウォーターハウスクーパース株式会社は、ディールアドバイザリーとコンサルティングを提供する国内最大規模のコンサルティングファームです。M&Aや事業再生・再編の専門家であるディールアドバイザリー部門と経営戦略の策定から実行まで総合的に取り組むコンサルティング部門が連携し、クライアントにとって最適なソリューションを提供しています。
世界157カ国、195,000人以上のスタッフを有するPwC(PricewaterhouseCoopers)のネットワークを生かし、国内約1,500名のプロフェッショナルが企業の経営課題の解決を支援しています。 -
報道関係者からのお問い合わせ
- プライスウォーターハウスクーパース株式会社
広報担当 髙橋、渡辺
Tel:03-3546-8480(代表) -
お客様からのお問い合わせ
- プライスウォーターハウスクーパース株式会社
コンサルティング部門 スレットリサーチラボ
Tel:03-3546-8480(代表)
メールでのお問い合わせ
引用元:プライスウォーターハウスクーパース、国内の政府機関、特定機構および企業などのドメインを模した諜報活動に対して注意喚起