Last Updated on 2025-05-20 10:20 by admin
ロシアのサイバースパイ活動「Operation RoundPress」について、複数の信頼性の高いセキュリティ企業の報告が発表された。ESETの調査報告によると、ロシア系サイバースパイ集団Sednit(APT28、Fancy Bearとしても知られる)が実行していると考えられるこの作戦は2023年から少なくとも2025年5月現在まで継続している。
攻撃の概要
Operation RoundPressでは、ハッカーたちがRoundcube、Horde、MDaemon、Zimbraなどの複数のウェブメールソフトウェアのクロスサイトスクリプティング(XSS)脆弱性を悪用している。攻撃者はスピアフィッシングメールを送信し、受信者がそのメールを開くと、ブラウザ上でJavaScriptコードが実行され、メールの内容、連絡先リスト、認証情報などの機密データが窃取される。
悪用された脆弱性
攻撃者は以下の脆弱性を悪用した
- Roundcube – CVE-2020-35730(2023年に使用)
- Roundcube – CVE-2023-43770(2024年初頭に使用)
- MDaemon – CVE-2024-11182(2024年11月に使用されたゼロデイ脆弱性)
- Zimbra – CVE-2024-27443
- Hordeの未特定のXSS脆弱性
特に注目すべきは、MDaemonの脆弱性CVE-2024-11182がゼロデイとして悪用され、Sednitによって発見された可能性が高いことである。
攻撃の標的
攻撃の主な標的は、ウクライナ政府関連組織および、ウクライナに武器を供給しているブルガリアとルーマニアの防衛企業である。ESETの調査によると、これらの防衛企業の一部はウクライナに送られるソビエト時代の武器を生産している。
2024年の被害者には以下が含まれる:
ウクライナ、ギリシャ、カメルーン、セルビアの地方政府関係者
ウクライナとエクアドルの軍関係者
ウクライナ、ルーマニア、ブルガリアの防衛企業の従業員
また、アフリカ、EU、南米の政府機関も標的になっている。
攻撃手法
攻撃は以下のように実行される
- 攻撃者は時事ニュースや政治的イベントに言及したスピアフィッシングメールを送信する
- メールのHTML本文に悪意のあるJavaScriptペイロードが埋め込まれている
- 受信者がメールを開くと、ウェブメールのXSS脆弱性が悪用される
- 実行されたスクリプトは、メールの内容、連絡先、ウェブメール設定、ログイン履歴、二要素認証情報、パスワードなどを収集する
- 収集されたデータは、攻撃者のコマンド&コントロール(C2)サーバーに送信されると考えられる。一般的に、このようなデータ送信にはHTTP POSTリクエストなどが用いられることがある。
MDaemon向けのペイロード「SpyPress.MDAEMON」は、二要素認証をバイパスする機能も持っている。
ESETのシニアマルウェア研究者Matthieu Faou氏も関与したESETの分析によると、この作戦はウクライナの防衛基盤に関する情報を抽出することが主な目的であると見られている 。また、他の国々が標的にされている状況は、Sednit(APT28)の母体とされるGRUが、世界中の政府や軍事組織を含む幅広い標的から情報を収集する任務を負っているという一般的な認識と合致すると考えられる。
References:
‘Operation RoundPress’ Targets Ukraine in XSS Webmail Attacks
編集部解説
ロシアのサイバースパイ活動「Operation RoundPress」について、複数の信頼性の高いセキュリティ企業の報告を確認しました。ESETの調査報告を中心に、CyberScoop、The Record、The Hacker News、Security Briefなど複数のセキュリティメディアが同様の内容を報じています。
この攻撃の特徴は、従来のマルウェア感染やフィッシングとは異なるアプローチを取っている点です。攻撃者はウェブメールサーバー自体の脆弱性を悪用し、ユーザーのブラウザ内でJavaScriptコードを実行させることで情報を窃取しています。これは「クライアントサイド攻撃」と呼ばれる手法で、サーバーやデバイスを直接侵害せずにブラウザ内で完結するため、検出が非常に困難です。
特に注目すべきは、Sednitグループ(APT28/Fancy Bear)がMDaemonのゼロデイ脆弱性(CVE-2024-11182)を発見・悪用していた可能性が高い点です。これは彼らの技術的能力の高さを示しています。ESETの分析によれば、Sednitグループ(APT28/Fancy Bear)がMDaemonのゼロデイ脆弱性(CVE-2024-11182)を発見・悪用していた可能性が高いとされています 。これは彼らの技術的能力の高さを示唆しています。一般的に、攻撃グループがゼロデイ脆弱性を入手する経路としては、自ら発見するケースの他に、サードパーティから購入するケースも存在します。
ウクライナ戦争の文脈で見ると、この作戦はロシアによる情報収集活動の一環であり、特にウクライナへの武器供給網に関する情報を狙っていることが明らかです。ブルガリアとルーマニアの防衛企業が標的になっているのは、これらの企業がウクライナに供給するソビエト時代の武器を生産しているためです。
この種の攻撃が特に危険なのは、メールを開くだけで感染するという点です。通常のセキュリティ対策では防ぎにくく、ユーザーが特別な操作(リンクのクリックやファイルのダウンロードなど)をしなくても攻撃が成功してしまいます。
企業や政府機関にとっての教訓は、ウェブメールサーバーのアップデートを常に最新の状態に保つことの重要性です。ESETの研究者も指摘しているように、多くの組織がウェブメールサーバーを最新の状態に保っていないため、攻撃者にとって格好の標的となっています。
また、この事例はサイバー空間における国家間の情報戦の一端を示していると言えるでしょう。Operation RoundPressのような高度な情報収集活動は、ウクライナ侵攻の長期化に伴い、ロシアに関連する攻撃グループの活動様相が変化している可能性を示唆する事例の一つとして捉えることができます。初期の破壊的な活動から、より持続的かつ隠密な情報収集へと重点が移っているとの分析も一部で見られます。
私たちinnovaTopiaの読者の皆さんにとって、この事例から学べることは、サイバーセキュリティにおいて「見えない脅威」の重要性です。従来の防御策では対応できない新たな攻撃手法が常に開発されており、特に国家支援型のハッカー集団は高度な技術と豊富なリソースを持っています。
テクノロジーの進化とともに、サイバーセキュリティの考え方も進化させる必要があります。単なる技術的対策だけでなく、組織全体のセキュリティ意識向上や、定期的なセキュリティ評価、そして最新の脅威情報への常時アクセスが不可欠となっています。
【用語解説】
XSS(クロスサイトスクリプティング):
ウェブサイトの脆弱性を悪用して、ユーザーのブラウザ上で悪意のあるスクリプトを実行させる攻撃手法。銀行のATMに細工をして、利用者の情報を盗み見るような行為に例えられる。
APT28/Fancy Bear/Sednit:
ロシア軍情報総局(GRU)に所属すると考えられている高度な持続的脅威(APT)グループ。2004年から活動しており、2016年の米国大統領選挙へのサイバー攻撃でも知られている。
ウェブメール:
ブラウザを通じてアクセスできるメールサービス。企業や組織が自社サーバーで運用することが多く、Gmailのような一般向けサービスとは異なり、組織内の機密情報のやり取りに使われる。
スピアフィッシング:
特定の個人や組織を標的にした、カスタマイズされたフィッシング攻撃。一般的なフィッシングより成功率が高い。
ゼロデイ脆弱性:
まだ公式に修正パッチがリリースされていない、新たに発見された脆弱性。攻撃者にとって非常に価値が高い。
【参考リンク】
ESET(外部)
チェコ発祥のセキュリティ企業。今回のOperation RoundPressを発見・報告した。
Roundcube(外部)
オープンソースのウェブメールクライアント。今回の攻撃で悪用された脆弱性を持つ。
MDaemon(外部)
中小企業向けメールサーバーソフトウェア。今回の攻撃でゼロデイ脆弱性が悪用された。
Zimbra(外部)
オープンソースのメールサーバーおよびコラボレーションソフトウェア。
Horde(外部)
PHPベースのウェブアプリケーションフレームワークとグループウェア。
【参考動画】
【編集部後記】
皆さんの組織では、ウェブメールサーバーのセキュリティ対策はどのように行われていますか?今回のOperation RoundPressのような攻撃は、メールを開くだけで情報漏洩につながる可能性があります。定期的なセキュリティアップデートの確認や、組織内での意識向上が重要かもしれません。また、国家支援型ハッカー集団の動向に注目することで、次世代のサイバーセキュリティ対策のヒントが得られるかもしれませんね。皆さんのセキュリティ対策について、ぜひSNSでシェアしていただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
