トム バート (Tom Burt)
Customer Security & Trust 担当コーポレートバイスプレジデント
※本ブログは、米国時間 12 月 6 日に公開された “Protecting people from recent cyberattacks” の抄訳を基に掲載しています
Microsoft Digital Crimes Unit (DCU) では、Nickel という中国を拠点としたハッキンググループの活動を妨害しました。本日公開されたドキュメントにて、バージニア州連邦裁判所は、Nickel が米国と世界 28 ヶ国の組織を攻撃する際に利用していたウェブサイトを差し押さえるよう求めたマイクロソフトの要請に応じました。これにより、Nickel による被害者へのアクセスは遮断され、サイトが攻撃に使われないよう防御することができました。マイクロソフトでは、これらの攻撃が主に政府機関やシンクタンク、人権団体から情報を収集するため使われていたと見ています。
マイクロソフトは 12 月 2 日、米バージニア州東部地区地方裁判所に対し、サイトを制御する権限を求め訴状を提出しました。裁判所は迅速に命令を下し、ホスティングプロバイダーの作業完了後、本日内容が公開されました。悪意のあるウェブサイトを制御し、同サイトからのトラフィックをマイクロソフトの安全なサーバにリダイレクトすることで、すでに被害を被った人や今後の被害者を保護することができるほか、Nickel の活動についてより深い洞察を得ることができます。今回の防御対策で、Nickel が他のハッキング活動を続けることまでは防げませんが、同グループが最近の攻撃で利用していたインフラの重要な一部は排除することができたと考えています。
マイクロソフトの DCU は、他に先駆けてこのような法的戦略を活用し、サイバー犯罪者や、最近では国家主導型のハッカーに立ち向かってきました。現在までに、国家レベルの活動家に対する 5 件を含め 24 件の訴訟を起こしており、サイバー犯罪者が使う悪意のある 1 万以上のサイトと、国家レベルの活動家が使う 600 近くのサイトをテイクダウンしてきました。また、今後悪意のある使い方をしようと企む犯罪者に先んじて、60 万以上のサイト登録を阻止してきました。
Microsoft Threat Intelligence Center (MSTIC) は、2016 年より Nickel を追跡しており、2019 年より特定の活動について分析しています。過去に見られた国家レベルの活動と同様、マイクロソフトは今後も標的となったお客様やセキュリティ侵害に遭ったお客様には可能な限りお知らせし、お客様のアカウント保護に必要な情報を提供しています。MSTIC が監視した攻撃は高度に洗練されており、さまざまな手法が使われていますが、目的は大体いつもひとつに絞られていました。それは、侵入や監視、データを盗み取る行為を円滑に進められるよう、検出困難なマルウェアを着弾することです。Nickel の攻撃では、サードパーティー仮想プライベートネットワーク (VPN) サプライヤを侵害することによるものやスピアフィッシングキャンペーンで盗み出された認証情報が使われることもありました。一部の攻撃では、Nickel のマルウェアがパッチの適用されていないオンプレミスの Exchange Server や SharePoint システムを標的とした不具合を利用している様子も確認されました。ただし、こうした攻撃の中でマイクロソフト製品に新たな脆弱性は見つかっていません。マイクロソフトは独自のシグネチャを作成し、Microsoft 365 Defender などのセキュリティ製品によって既知の Nickel の行動を検出し保護しています。
Nickel は、民間企業と公的機関の両組織をターゲットとしており、その中には北米、中米、南米、カリブ海、欧州、アフリカの国々の外交機関や外務省なども含まれています。Nickel がターゲットとする組織と、中国の地政学的利益には相関関係が見られることがよくあります。他にこのグループの活動を調査しているセキュリティコミュニティの中には、同グループのことを「KE3CHANG」「APT15」「Vixen Panda」「Royal APT」「Playful Dragon」といった別名で呼ぶこともあります。
米国のほかに Nickel の活動が見受けられた国は、アルゼンチン、バルバドス、ボスニア・ヘルツェゴビナ、ブラジル、ブルガリア、チリ、コロンビア、クロアチア、チェコ共和国、ドミニカ共和国、エクアドル、エルサルバドル、フランス、グアテマラ、ホンジュラス、ハンガリー、イタリア、ジャマイカ、マリ、メキシコ、モンテネグロ、パナマ、ペルー、ポルトガル、スイス、トリニダード・トバゴ、イギリス、ベネズエラなどです。
国家レベルの攻撃は、増加し、ますます巧妙になっています。マイクロソフトはこれまでにも、中国で活動する Barium や、ロシアの Strontium、イランの Phosphorus、北朝鮮の Thallium を排除したり、抑止する活動などを行ってきました。今回のケースにおいてもその目的は過去と同様、悪意のあるインフラを排除し、攻撃者の戦術をより深く把握し、お客様を保護し、サイバー空間における許容範囲の基準について幅広く議論することです。マイクロソフトは今後もエコシステムのセキュリティ向上に懸命に取り組むとともに、どこを発信源とする活動かどうかに関わらず、観測した内容を共有していきたいと思います。
マイクロソフトや業界内の他の企業が単独で取り組んだとしても、このような国家主導による活動やそれらの領域内で活動するサイバー犯罪者からの攻撃の波を止めることはできません。業界、政府、市民社会やその他で集結し、サイバー空間における適切な行動と不適切な行動について新たな合意を確立しなくてはなりません。このところの進展は非常に期待が持てるもので、先月には米国と EU が、サイバー空間の信頼性と安全性のためのパリ・コールに参加しました。この協定は、世界最大数の関係者が承認したサイバーセキュリティの中核となる原則で、1,200 以上の組織が署名しています。Oxford Process では、法律家の最高峰が集結し、サイバー空間での国際法の適用に関する評価を行っています。また国連では、関係者間での対話を促進する重要な取り組みを進めています。テクノロジの信頼性向上とデジタルエコシステムの保護に向け、できる限り努力をし続けることは、マイクロソフトはもちろん、関連する専門知識やリソースを持ったすべての団体の責任でもあるのです。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
