Last Updated on 2024-11-26 08:05 by admin
ロシアの国家支援ハッカー集団APT28(Fancy Bear/Forest Blizzard)が、新しい攻撃手法「Nearest Neighbor Attack(最近接攻撃)」を使用して、米国の組織のネットワークに侵入した事案が発生した。
発生時期:2022年2月4日(ロシアのウクライナ侵攻直前)
場所:ワシントンDC
標的:ウクライナ関連のプロジェクトを行っていた組織
攻撃者:ロシア軍総参謀本部情報総局(GRU)の軍事ユニット26165に所属するAPT28
攻撃の特徴:
- 標的組織から数千マイル離れた場所から実行
- 近隣建物のWi-Fiネットワークを経由して侵入
- 少なくとも2つの組織のネットワークを踏み台として使用
- デュアルホームシステム(有線・無線両方の接続が可能なシステム)を悪用
- 標的組織の会議室の窓際付近にある3つの無線アクセスポイントに接続
使用された技術:
- パスワードスプレー攻撃による認証情報の取得
- カスタムPowerShellスクリプトの使用
- Windows内蔵ツールCipher.exeの活用
- MicrosoftのCVE-2022-38028脆弱性の悪用
発見者:サイバーセキュリティ企業Volexity
- 発見時期:2022年2月
- 調査期間:約1.5ヶ月
from:Fancy Bear ‘Nearest Neighbor’ Attack Uses Nearby Wi-Fi Network
【編集部解説】
今回のニュースは私たちの想像を超えた新しいサイバー攻撃の手法を示しています。
従来、Wi-Fi経由の攻撃といえば、攻撃者が物理的に近くにいることが前提でした。しかし、この「Nearest Neighbor Attack」は、その常識を覆す画期的な手法です。
特に注目すべきは、この攻撃が単なる技術的な革新ではなく、地政学的な文脈で発生したという点です。ロシアのウクライナ侵攻直前のタイミングで、ウクライナ関連の情報収集を目的として実行されました。
この攻撃手法が示す重要な教訓は、セキュリティの連鎖の概念です。組織のセキュリティは、その組織単独では完結しないということです。近隣組織の脆弱性が、自組織への侵入経路となり得るのです。
特に日本企業にとって重要な示唆があります。日本のオフィスビルは高層化・集積化が進んでおり、1つのビル内に複数の企業が入居している状況が一般的です。このような環境では、「Nearest Neighbor Attack」のリスクが特に高いと考えられます。
企業のセキュリティ担当者は、Wi-Fiネットワークを他のリモートアクセスサービスと同等の重要性を持つものとして扱う必要があります。特に、MFAの導入やネットワークの分離といった対策は、もはや選択肢ではなく必須となってきています。
この事例は、サイバーセキュリティにおける「信頼できる境界」の概念を再考する必要性を示唆しています。物理的な距離や境界に依存したセキュリティモデルは、もはや時代遅れかもしれません。