• この新しいバージョンのマルウェアは、USB経由で広範囲に拡散し、ネットワーク境界や物理的な大陸境界線すら容易に超えることが確認されています
• CPRはあらゆる組織に対し、類似する攻撃手法に対する防御と、USBドライブを使用する資産の安全確保を呼びかけています
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるCPRは、感染したUSB機器を経由して拡散する中国の国家支援によるAPTマルウェアの亜種を発見、注意を呼びかけました。
先般、チェック・ポイントのインシデントレスポンスチーム(Check Point Incident Response Team、以下CPIRT < https://www.checkpoint.com/support-services/threatcloud-incident-response/ > )が、ヨーロッパの医療機関で発生したインシデントにおいて、マルウェアによる懸念すべき攻撃を発見しました。このインシデントは、Mustang PandaおよびLuminousMothの別名でも知られる中国拠点のスパイ脅威アクター、Camaro Dragon < https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/ > の活動解明に手掛かりをもたらしました。従来このグループの主な標的は東南アジアでしたが、この最新の発見によって世界的な活動範囲が明らかになり、マルウェアの拡散においてUSBドライブが果たす危険な役割も浮き彫りになりました。
招かれざる客 – USBドライブを介して忍び込むマルウェア
問題の医療機関は、感染したUSBドライブを通じてシステムに侵入したマルウェアによって被害を受けました。このインシデントを受け、CPRは徹底した調査を行い、マルウェアの複数の新しいバージョンを発見するに至りました。これらの悪質にプログラムされたマルウェアは、USBドライブを介して自己増殖する能力を持ち、最初に意図した標的にとどまらず、さらに広範な感染をもたらす強力な媒介者となります。
ゼロ号患者の発生 – 医療機関への感染
当該医療機関におけるマルウェア感染の「ゼロ号患者」、すなわち初の感染者は、アジアでのカンファレンスに参加した医療従事者であることが確認されました。その人物は、自分のプレゼンテーションをUSBメモリーを使用して参加者に共有する機会を得ていました。しかし不運にも同僚の1人のコンピューターが感染していたため、そのUSBドライブも知らぬ間に感染してしまいました。その後勤務先であるヨーロッパの医療機関に戻った医療従事者は、期せずして感染したUSBドライブを持ち込むこととなり、病院のコンピューターシステムへの感染拡大をもたらしたのです。
このインシデントは、Avastが2022年後半の報告書に記載した複数の悪意あるツールセット(報告書ではSSEとラベル付け)の目撃事例です。このツールセットは、研究者によってMustang Pandaに起因すると見なされる配布サーバーの1つでステージングされていました。感染の連鎖は、被害者が感染したUSBフラッシュドライブ上で悪意あるDelphiランチャーを起動することによって開始され、これによりUSBの初期感染時には隠されていた被害者の全ファイルが公開されます。このランチャーはメインのバックドアを解放し、他の接続されたドライブを感染させる役割を担っています。
WispRiderの登場 – 進化したペイロード
感染の主犯は、このマルウェアの亜種の1つであるWispRiderです。作成者はマルウェアの能力を向上させ、バックドア機能と、HopperTickランチャーを用いたUSBドライブ経由による拡散能力を搭載しています。これに加えWispRiderは、東南アジアで一般的なアンチウイルスソフトウェアSmadavを回避するためのバイパスメカニズムなど追加機能を謳っています。DLLサイドローディングの利用に加え、G DATA Total Securityなどのセキュリティソフトウェア、Electronic ArtsやRiot Gamesといった大手ゲーム会社のコンポーネントを回避のため使用しています。
CPRは攻撃者による上記ソフトウェアの利用について上述の企業に通知しています。
明白なUSBの介在
本レポートは他業界のソース< https://www.mandiant.com/resources/blog/china-nexus-espionage-southeast-asia >からなる証拠によって裏打ちされ、Camaro Dragonのような中国系の脅威アクターが、USB機器を感染経路として継続的に利用していることを裏付けています。脅威アクターがマルウェアの拡散を促進するためUSBドライブを利用している事実は、組織が警戒を保ち、資産保護のための対策を緊急に講じる必要性を強調しています。
USBを悪用した攻撃から組織が自衛するために
USBドライブに関連するリスクから組織を守るために、以下の対策の実施を検討してください。
-
従業員の意識向上:従業員に対し、入手先が不明または信頼できないUSBドライブを使用する潜在的な危険性について教育を推奨します。慎重な行動を推奨し、会社のデバイスで見慣れないUSB機器を使用しないよう周知する必要があります。
-
厳格なポリシーの確立:組織におけるUSBドライブの使用に関する明確なガイドラインの策定を推奨します。入手元が信頼でき、かつマルウェアスキャンを実施した場合を除き、USBの使用制限または禁止を検討してください。
-
安全な代替手段:クラウドストレージや暗号化されたファイル共有プラットフォームなど、代替ソリューションの使用を検討して物理的なUSBドライブへの依存を減らし、関連するリスクを軽減します。
-
セキュリティ対策の更新を怠らない:全デバイスでウイルス対策ソフトウェアやその他のセキュリティ対策ツールを定期的に更新し、マルウェア感染の危険があるUSBドライブの定期スキャンを実施してください。
-
デバイス管理の強化: USBドライブの使用を監視しコントロールするための堅牢なデバイス管理ポリシーを導入してください。不正アクセスの制限と暗号化を実施し、不審な行動がないかUSBのアクティビティを監視してください。
Check Point Harmony Endpointや脅威エミュレーション のような防止優先のセキュリティソリューション < https://www.checkpoint.com/jp/harmony/advanced-endpoint-protection/ > の導入は、こうした攻撃から身を守るための手段の1つとなります。インターネットからの攻撃や、マルウェアが組織全体に拡散するような事態においても、ゼロデイ攻撃や未知の攻撃を検知し予防します。
結論
医療機関での本インシデントが示すように、USBドライブは、マルウェアを世界中の組織に侵入させる有力な手段として再び台頭しています。組織が常に最新の情報を入手し、積極的なセキュリティ対策を採用することにより、USBを悪用した攻撃に対する効果的な自衛と、サイバー脅威に対する重要資産の保護が可能になります。
本プレスリリースは、米国時間2023年6月22日に発表されたCPRレポート < https://research.checkpoint.com/2023/beyond-the-horizon-traveling-the-world-on-camaro-dragons-usb-flash-drives/ >をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity/threatcloud-ai/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp