2019 年 5 月 15 日 Emil Hozan 著

最近のニュースで、アンチウイルス（AV）の大手ベンダ 3 社がハッキングされた疑いがあることがわかりました。Advanced Intelligence, LLC（AdvIntel）は、企業の財務業務のセキュリティ、機密性、整合性の最大限の向上を支援する、詐欺対策を専門とする企業です。今回のデータ漏えいの証拠が記事で紹介されていますが、この件については、AdvIntel と BleepingComputer が独占的に報道しています。

公正を期すため、このブログ記事では、AdvIntel の最初のブログ記事（最初のリンク）と BleepingComputer の 3 つの記事に基づき、その概要を紹介します。上記の 2 つのリンク以外の 2 件の記事については、このブログ記事の後半で紹介します。

犯人は誰か

AdvIntel は同社のブログで、「Fxmsp」と呼ばれる、ロシア語と英語を話すハッカー集団が犯人であると説明しています。Fxmsp は 2017 年頃から、いくつもの代表的な地下コミュニティで活動しており、この数年間で地下コミュニティで有名な存在になり、独自の取引ネットワークを確立して、信頼できるリセラーを通じて、攻撃で手に入れた情報を宣伝してきました。彼らは、リモートデスクトッププロトコルサーバと外部に公開されているアクティブディレクトリサーバを使ってネットワーク環境にアクセスする仕組みをパッケージとして提供することで知られています。最近は、有名な企業や組織を標的に認証情報を盗むボットネットを開発したとされています。

攻撃の詳細

Fxmsp は、ネットワークへの侵入の証拠となるサンプルデータ以外にも、「キル（殺す）」という重要なミッション、すなわち、3 つの大手 AV ベンダを執拗に攻撃することを目標としていたようです。彼らが証拠としているデータには、さまざまな AV ソフトウェア、AI、およびセキュリティプラグインのソースコードが含まれます。

不正取得したデータを合計すると、30 TB にもなります。

攻撃の時期

この件が明らかになったのは 2019 年 4 月 24 日でしたが、攻撃そのものは、2018 年第 4 四半期に始まった、3 か月間にわたる長いものでした。Fxsmp はこの間、通常であれば頻繁に連絡を取り合うフォーラムで沈黙を続けました。

攻撃の目的

Fxsmp はどうやら、AV ベンダを最大の標的と考えていたようであり、世界中の企業や政府機関のネットワークも標的にされています。
当然ながら、金銭を得るという目的もあります。

Fxmsp は、いくつかのソフトウェア製品のソースコードとネットワークへの完全アクセスをパッケージにして 30 万ドルで売ると提案しましたが、これは、6 か月分の仕事に相当する多額の金額です。さらにこれは、1 社あたりの金額であり、このパッケージを 3 社に別々に売ることで、最大 90 万ドルの利益が見込まれます。

主張の信憑性

もちろん、主張や攻撃者の素性が真実ではない可能性は十分にあります。責任について発言し、主張する人物がいない場合、あるいは、たとえそのような人物が何人かいた場合であっても、そのグループが攻撃を実際に実行したという証拠があるのでしょうか？

今回の場合は、ShadowRunTeam と呼ばれるロシアの別の有名な攻撃者が Fxmsp は確かに存在すると発言し、AdvIntel に Andrey という名前を挙げて、Fxmsp は 2000 年代半ばに活動を開始したと説明しているようです。AdvIntel の専門家も調査を進め、高い確度で Fxmsp は本物であると判断しているようです。また、Fxmsp の主張は信頼できるものであり、検証可能な企業データを不正入手して販売して 100 万米ドル近い金銭を稼いだ実績があると説明しています。

BleepingComputer が発表したこの記事では、Fxmsp が以前にやり取りした過去のいくつかのチャットログや、Fxmsp のリセラーの 1 つである、BigPetya からのコミュニケーションも紹介されています。

攻撃された企業

BleepingComputer による続報によると、攻撃された AV ベンダ 3 社は、Symantec、McAfee、Trend Micro です。記事では、チャットのログのいくつかのスクリーンショットが紹介されており、3 社すべての名前が見つかるログも、2 社だけのログもありますが、チャットの内容はかなり核心に迫るものであり、納得できるものでもあります。

攻撃されたベンダのコメント

攻撃された最初のベンダは、Symantec です。

Symantec は、発表した声明で、噂があることについては認めましたが、自社が攻撃されたとは認めていません。さらに、自社の顧客がこの問題の影響を心配しなければならない理由はないとしています。AdvIntel も、Fxmsp から十分な証拠がまだ提供されていないとして、Symantec の声明を支持しており、さらには、顧客がこの問題の影響を心配する必要はないとした Symantec の声明は妥当なものだとしています。

攻撃された次のベンダは、Trend Micro です。Trend Micro は、BleepingComputer の取材に回答しており、攻撃の影響は大きくないと考えていて、侵入されたのは実験用ネットワークだけであり、社内のグローバルチームが法的機関の捜査に全面的に協力していると主張しました。AdvIntel は、この回答をすぐに支持を表明することなく、Fxmsp が公表した証拠は明らかに Trend Micro のものであると主張しました。

攻撃された最後のベンダは、McAfee です。McAfee はこの件について肯定も否定もしておらず、そのような主張があったことだけ認めています。

まとめ

これらのソフトウェア製品が我々のネットワークを保護する目的で設計されたものであることを考えると、恐怖を感じざるを得ません。今回と同じように、AV ベンダが攻撃された例は過去にもありました。AV 製品だけで犯罪者の侵入を防ぐのが難しいのであれば、一体どうすればよいのでしょうか。

そのような状況で真価を発揮するのが、不正侵入検知です。簡単に言えば、ハッキングについて言えば、されるかどうかではなく、いつされるかという点だけが問題です。もちろん、犯罪者に侵入を許さないよう警戒することが第一ですが、たとえ侵入されてしまったとしても、追跡の手段を持つことが重要です。監査ログを保存して半定期的に分析することで、不正侵入の検知が可能になります。

さらには、重要なネットワークサーバのアクセスへの多要素認証ソリューションの導入を検討してください。面倒なことのように思えるかもしれませんが、何らかの対策を追加しなければならない現状にあって、多要素認証の導入だけで新たなセキュリティレイヤが追加されるのであれば、決して大きな負担とは言えないはずです。