ロシアの国家支援ハッカー組織「Midnight Blizzard(APT29/Cozy Bear)」による大規模なサイバースパイ活動の詳細が判明した。
主な事実:
• 攻撃期間:2024年8月から開始、10月22日から本格化
• 攻撃規模:100以上の組織から数千人を標的
• 攻撃インフラ:
– 偽装ドメイン多数
– Let’s Encrypt証明書で署名されたRDPファイル
– PyRDPツールの悪用
攻撃対象:
• 地域:英国、欧州、日本、オーストラリアを重点
• 組織:政府機関、防衛関連組織、学術研究機関、NGO
攻撃手法:
• Microsoftやアマゾンの従業員を装ったスピアフィッシングメール
• 正規の証明書で署名された不正なRDP設定ファイルの送付
• ゼロトラストアーキテクチャに関連する文言で信頼性を装う
from:Midnight Blizzard Taps Phishing Emails, Rogue RDP Nets
【編集部解説】
Midnight Blizzardの活動は、2024年に入って急激に活発化しています。1月にはMicrosoftの企業メールシステムへの侵入が確認され、その後10月には1日あたり200組織を標的にする過去最大規模の攻撃を実施しました。
この攻撃グループは2008年から活動を続けており、その高度な技術力と執拗な攻撃手法から、世界でも最も警戒すべきサイバー脅威の一つとされています。
技術的特徴
今回の攻撃で特筆すべきは、マルウェアを使用しない新しい手法を採用している点です。正規のRDPツールを悪用することで、セキュリティ対策をすり抜けようとする巧妙な手口を取っています。
攻撃者は、TOR、VPN、住居用プロキシサービスなど、複数の匿名化レイヤーを組み合わせて使用しています。これにより、IPアドレスによる防御が効果的でなくなっています。
日本への影響
日本の組織も主要な標的の一つとなっています。特に政府機関、学術研究機関、防衛関連組織が狙われており、機密情報の窃取が懸念されます。
また、同グループは日本を標的とした別のマルウェア「LODEINFO」も使用しており、複数の攻撃手法を使い分けている実態が明らかになっています。
今後の展望と対策
組織として重要な対策は以下の通りです:
- 外向きのRDP接続要求の即時ブロック
- メール経由のRDP設定ファイルのブロック
- フィッシング対策の強化
- ユーザー教育の徹底
innovaTopia編集部からのメッセージ
このような高度なサイバー攻撃は、もはや特定の組織だけの問題ではありません。デジタル化が進む現代社会において、サイバーセキュリティは私たち一人一人が意識すべき課題となっています。
技術の発展は私たちの生活を豊かにする一方で、新たなリスクも生み出します。しかし、それは技術の否定ではなく、より賢明な活用方法を模索する機会として捉えるべきでしょう。