プライスウォーターハウスクーパース、国内の政府機関、特定機構および企業などのドメインを模した諜報活動に対して注意喚起【PR】

  • 2015/7/23

【本記事はPwCあらた監査法人様からのプレスリリースです】

 

Scanboxにより端末情報などを収集する諜報活動を観測


プライスウォーターハウスクーパース株式会社

プライスウォーターハウスクーパース株式会社(本社:東京都中央区、代表取締役社長:椎名 茂)は、7月23日、サイバー攻撃の観測・分析活動を行っている当社の専門チーム「スレットリサーチラボ」が国内の政府機関、特定機構および重工やホテルなどの企業のドメインを模したURLを利用して、標的組織の情報を収集する諜報活動を観測したことを発表します。

昨今、国内外においてさまざまな標的型攻撃が発生し、国家間を超えて対策すべき課題となっています。一般的に標的型攻撃は、標的組織に侵入する前に標的組織の情報を収集するための諜報活動を行います。諜報活動にはさまざまな手法が用いられ、特に昨年からWebサイトにアクセスするだけで端末情報を収集する手法が利用され始めました。これらはDevice Fingerprinting(*1)と呼ばれる技術を悪用した手法であり、主にJavaScriptなどによりアクセスした端末のOSやブラウザおよびプラグイン情報、さらには脆弱性を利用して導入しているウイルス対策ソフトなどを含む各種ソフトウェアの種別やバージョン情報、端末内部の詳細情報を収集することを可能にしています。また、諜報活動を目的として、JavaScriptや脆弱性などを利用してリモートコンピューティングデバイス情報を収集するScanbox(*2)と呼ばれるツールが横行しています。

今回、「スレットリサーチラボ」では、端末情報などを収集する諜報活動を目的とした、標的組織のWebサイトのURLを模したドメインにScanboxのコードの一部を利用したWebサイト(以下、Scanbox Webサイト)、ならびにScanbox Webサイトに誘導する複数のWebサイト(以下、誘導Webサイト)が作成されていることを確認しました【図1】。

【図1】Scanboxによる諜報活動の概略図

【図1】Scanboxによる諜報活動の概略図

また、誘導Webサイトのコンテンツに、国内の政治団体などのWebサイトのコンテンツがコピーされており、それらのコンテンツにScanbox Webサイトへ誘導するコードが埋め込まれていました【図2】。ただし、今回のケースではコピーされたコンテンツの一部が壊れており、コンテンツ自体はブラウザでは表示されませんでした。【図3】は壊れたコンテンツの一部を修正した誘導Webサイトです。なお、誘導Webサイトのコンテンツは壊れていますが、Scanbox Webサイトに誘導するコードは先頭に記載されているため、誘導そのものは実行されます。

【図2】誘導Webサイトの誘導コード

【図2】誘導Webサイトの誘導コード

【図3】誘導Webサイトのコンテンツ

【図3】誘導Webサイトのコンテンツ

国内企業・組織のドメインを模していること、誘導Webサイトで国内企業・組織のコンテンツが表示されることから、今回の諜報活動が、国内の企業・組織を標的とした情報収集を行っていることが推測されます。

さらに、「スレットリサーチラボ」でScanbox Webサイトの難読化コードを解除し詳細に解析したところ、キーロガー機能(*3)やWeb RTC(*4)を利用し端末のローカルIPアドレスまで収集していることも判明し、攻撃者が組織ネットワーク構成やさまざまな情報の把握を試みていることを究明しました。

当ラボでは、一部の組織において実際にScanboxによって情報が抜き取られた可能性を確認し、直接もしくは第三者機関を通じて標的組織へ情報提供を行いました。これらの誘導WebサイトやScanbox Webサイトにアクセスしている痕跡がある場合、当該組織は攻撃者に組織情報や脆弱性情報が抜き取られ、近い将来、攻撃を受けることが想定されるため、引き続き観測するとともに、必要に応じて情報提供を行っていきます。

スレットリサーチラボ統括責任者の星澤 裕二パートナーは、次のようにコメントしています。

「OSやアプリケーションを最新の状態とすることで、諜報活動の被害に遭ったとしても、脆弱性を突いた攻撃による被害拡大を防ぐことが可能となります。さらに、当ラボではサイバー攻撃は不可避なものとして捉え、迅速に対応するレジリエントセキュリティの実現が重要であると考えています。そのためには、インテリジェンスを駆使することで攻撃者の手口を予測し、攻撃を受けたときにも即座に対処、復旧できる態勢を整備することが必要です」

*1 Device Fingerprinting
Device FingerprintingはBrowser FingerprintやMachine Fingerprintとも呼ばれ、リモートコンピューティングデバイスを識別するための情報です。 Cookieなどを用いずとも、リモートコンピューティングデバイスを識別するための情報を得ることができます。

*2 Scanbox
2014年頃から報告された悪意の目的でリモートコンピューティングデバイス情報を収集する不正なツールです。主に、JavaScriptにて作成されています。

*3 キーロガー
ユーザのキータイプ情報などを搾取するプログラムです。

*4 Web RTC
WebRTC (Web Real-Time Communication)とは、World Wide Web Consortium (W3C)が提唱するリアルタイムコミュニケーション用のAPIの定義であり、ウェブブラウザ間のボイスチャット、ビデオチャット、ファイル共有などをプラグインなしで実現します。

以上

プライスウォーターハウスクーパース株式会社について
プライスウォーターハウスクーパース株式会社は、ディールアドバイザリーとコンサルティングを提供する国内最大規模のコンサルティングファームです。M&Aや事業再生・再編の専門家であるディールアドバイザリー部門と経営戦略の策定から実行まで総合的に取り組むコンサルティング部門が連携し、クライアントにとって最適なソリューションを提供しています。
世界157カ国、195,000人以上のスタッフを有するPwC(PricewaterhouseCoopers)のネットワークを生かし、国内約1,500名のプロフェッショナルが企業の経営課題の解決を支援しています。

報道関係者からのお問い合わせ

プライスウォーターハウスクーパース株式会社
広報担当 髙橋、渡辺
Tel:03-3546-8480(代表)

お客様からのお問い合わせ

プライスウォーターハウスクーパース株式会社
コンサルティング部門 スレットリサーチラボ
Tel:03-3546-8480(代表)
メールでのお問い合わせ

引用元:プライスウォーターハウスクーパース、国内の政府機関、特定機構および企業などのドメインを模した諜報活動に対して注意喚起

  • このエントリーをはてなブックマークに追加

公認会計士ナビが転職をサポート!

公認会計士のための転職エージェント

過去の注目記事

  1. 公認会計士のキャリアが多様化する昨今、自らのコアキャリアをどこに置くべきかが気になる若手会計士は少な…
  2. 今回より「シリーズ:会計士×専門性」と題して、公認会計士のキャリアや専門性につい…
  3. 今回は、今、最も注目されているスタートアップのひとつであり、公認会計士ナビのスポンサーでもあるクラウ…
  4. 新年あけましておめでとうございます。 公認会計士ナビのおすすめ書籍のコーナーに掲載している…
  5. 公認会計士に専門特化した転職エージェント
    公認会計士ナビをご覧のみなさん、こんにちは。 いつも公認会計士ナビをご覧頂きましてありがとうござい…
  6. 公認会計士 井上健
    今回よりスタートするシリーズ企画 公認会計士のリアル。 日本経済が成熟し、公認会計士にも多様性が求…

更新情報

公認会計士ナビの更新情報は下記よりご購読頂けます。

follow us in feedly

公認会計士ナビをフォロー
公認会計士ナビ RSS

公式サービス

公認会計士のための転職エージェント

公認会計士ナビの人材紹介サービス

公認会計士ナビのスポンサー募集

会計事務所求人名鑑

スポンサー企業

公認会計士ナビは以下の企業様をはじめとするスポンサーにサポート頂いております。

あらた監査法人

株式会社エッサム

弥生会計

税理士法人平成会計社

ディスクロージャーのパイオニア 宝印刷

企業の経営支援コンサルティングは山田ビジネスコンサルティング

東京共同会計事務所

企業の持続的成長を支援するエスネットワークス

海外進出支援のCaN International

管理部門支援のプロフェッショナル集団・Bridgeグループ

無料で使える請求書・見積書管理サービスmisoca

全自動の会計クラウドフリー お申し込みはこちら!

自動型クラウド会計ソフト MFクラウド

MacでもWindowsでも使える中小企業向け会計クラウド

オンライン英会話ベストティーチャー

→スポンサー企業一覧

→スポンサープラン詳細

PR:会計士の独立に!

■税理士開業塾

税理士会業塾:公認会計士の独立支援

■JCBの法人・事業者カード

会計士の独立にJCB法人カード

ページ上部へ戻る