APT28が仕掛けた”ご近所ハック” ─ Wi-Fiで隣接オフィスから侵入する新手法が波紋

APT28が仕掛けたご近所ハック ─ Wi-Fiで隣接オフィスから侵入する新手法が波紋 - innovaTopia - (イノベトピア)

Last Updated on 2024-11-26 08:05 by admin

ロシアの国家支援ハッカー集団APT28(Fancy Bear/Forest Blizzard)が、新しい攻撃手法「Nearest Neighbor Attack(最近接攻撃)」を使用して、米国の組織のネットワークに侵入した事案が発生した。

発生時期:2022年2月4日(ロシアのウクライナ侵攻直前)

場所:ワシントンDC

標的:ウクライナ関連のプロジェクトを行っていた組織

攻撃者:ロシア軍総参謀本部情報総局(GRU)の軍事ユニット26165に所属するAPT28

攻撃の特徴:

  • 標的組織から数千マイル離れた場所から実行
  • 近隣建物のWi-Fiネットワークを経由して侵入
  • 少なくとも2つの組織のネットワークを踏み台として使用
  • デュアルホームシステム(有線・無線両方の接続が可能なシステム)を悪用
  • 標的組織の会議室の窓際付近にある3つの無線アクセスポイントに接続

使用された技術:

  • パスワードスプレー攻撃による認証情報の取得
  • カスタムPowerShellスクリプトの使用
  • Windows内蔵ツールCipher.exeの活用
  • MicrosoftのCVE-2022-38028脆弱性の悪用

発見者:サイバーセキュリティ企業Volexity

  • 発見時期:2022年2月
  • 調査期間:約1.5ヶ月

from:Fancy Bear ‘Nearest Neighbor’ Attack Uses Nearby Wi-Fi Network

【編集部解説】

今回のニュースは私たちの想像を超えた新しいサイバー攻撃の手法を示しています。

従来、Wi-Fi経由の攻撃といえば、攻撃者が物理的に近くにいることが前提でした。しかし、この「Nearest Neighbor Attack」は、その常識を覆す画期的な手法です。

特に注目すべきは、この攻撃が単なる技術的な革新ではなく、地政学的な文脈で発生したという点です。ロシアのウクライナ侵攻直前のタイミングで、ウクライナ関連の情報収集を目的として実行されました。

この攻撃手法が示す重要な教訓は、セキュリティの連鎖の概念です。組織のセキュリティは、その組織単独では完結しないということです。近隣組織の脆弱性が、自組織への侵入経路となり得るのです。

特に日本企業にとって重要な示唆があります。日本のオフィスビルは高層化・集積化が進んでおり、1つのビル内に複数の企業が入居している状況が一般的です。このような環境では、「Nearest Neighbor Attack」のリスクが特に高いと考えられます。

企業のセキュリティ担当者は、Wi-Fiネットワークを他のリモートアクセスサービスと同等の重要性を持つものとして扱う必要があります。特に、MFAの導入やネットワークの分離といった対策は、もはや選択肢ではなく必須となってきています。

この事例は、サイバーセキュリティにおける「信頼できる境界」の概念を再考する必要性を示唆しています。物理的な距離や境界に依存したセキュリティモデルは、もはや時代遅れかもしれません。

【用語解説】

  • APT28(Fancy Bear)
    2004年から活動を継続するロシアの国家支援ハッカー集団、GRU(ロシア軍参謀本部情報総局)第26165部隊に所属
  • デュアルホームシステム
    有線LANとWi-Fi両方に同時接続可能なシステム、一般的なノートPCの多くがこの機能を持つ

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » APT28が仕掛けた”ご近所ハック” ─ Wi-Fiで隣接オフィスから侵入する新手法が波紋