本記事は2022年1月18日に公開したものをアップデートしたものです。
狙われるバイオメディカル企業
バイオメディカル企業とそのパートナー会社が、「クマムシ型マルウェア」(Tardigrade Malware)を用いたAPT(Advanced Persistent Threat)攻撃に狙われています。
APT(Advanced Persistent Threat)攻撃とはサイバー攻撃の一種で、特定の組織や個人をターゲットに、複数の攻撃手法を用いて継続的に攻撃を行うというものです。
「クマムシ型マルウェア」は「Smoke Loader」マルウェアに関連する高度な脅威であると示唆されています。「Smoke Loader」とはステルス型マルウェアであり、システムに新たなモジュールや他のステルス型マルウェアをダウンロードする機能を持つ汎用的なバックドアです。感染すると攻撃者が被害者のネットワークに継続的にアクセスし、情報を盗み取り続けます。
「クマムシ型マルウェア」とは?
「クマムシ型マルウェア」は、そんな「Smoke Loader」よりもはるかにステルス性が高い、危険なマルウェアの亜種と位置づけられています。このマルウェアは、システム内にあるファイルのどれを変更するか自分で判断しでき、コマンドの使用やコントロール・サーバとの通信を必要とせずに、被害者のネットワーク内を移動することができます。このマルウェアは、より高い権限を持つ端末を捜索し、即座に特権を最高レベルまで昇格させることができます。
マルウェアの目的
「クマムシ型マルウェア」の目的は諜報活動であると考えられていますが、はるかに大きな機能を備えています。このマルウェアは、製薬会社やバイオメディカル企業、ワクチンチェーン企業の機密データを流出させるだけでなく、機密データを流出させた後にランサムウェア攻撃を行うためのシステムを準備するなど、ITシステムに大きな被害を与えて重要なプロセスを中断させることが可能です。
マルウェアの解析は現在進行中であり、攻撃を行った特定の脅威主体は特定されていませんが、この攻撃は国家的な脅威主体によって行われたと考えられています。
バイオ製造分野への標的型攻撃について注意喚起
バイオエコノミー情報共有・分析センター(BIO-ISAC)は、ワクチン製造インフラへ脅威をもたらすとして、「クマムシ型マルウェア」に関する警告を発しました。「クマムシ型マルウェア」に関する解析が完了する前ですが、この早期情報公開は公共の利益に資するものと考えられています。
標的となる可能性が高いのはバイオ製造部門のすべての企業とそのパートナー企業であり、攻撃が起こることを想定して活動する必要があります。したがって、攻撃を阻止・或いは攻撃が成功した場合の被害を最小限にするために、適切なサイバーセキュリティ対策が実施されていることを確認する必要があります。
「クマムシ型マルウェア」の配布手法
「クマムシ型マルウェア」の配布手法はまだ確定していませんが、これまでに検出された感染から、攻撃の背後にいる APT グループは、「クマムシ型マルウェア」の配布にフィッシングメールを使用していることが分かっています。このことから「ウイルス感染したファイルをメールへ添付する」手段が最も有力な配布方法であると考えられます。また、メールのハイパーリンクも使用されている可能性があります。これは、ウイルスへ感染したファイルやマルウェアのインストーラをダウンロードさせるWebサイトへ誘導する手法です。
また、この「クマムシ型マルウェア」はUSBメモリにも感染します。まだ感染していないコンピューターに感染済みのUSBメモリを使用すると、自動的にマルウェアをコンピューターへ転送する可能性があることが攻撃分析から判明しています。つまり、ネットワークから切り離されたデバイスでUSBメモリーを始めとする記録デバイスを使用すると、それらから感染する可能性があるということです。
クマムシ型マルウェアへの対策
アンチウイルス製品
「クマムシ型マルウェア」の攻撃から身を守るには、アンチウイルスエンジンに依存しない、高度なアンチスパムソリューションが必要です。アンチウイルスエンジンは、既知のマルウェアの亜種をブロックすることには有効ですが、未検出の亜種には効果がありません。クマムシ型マルウェアはメタモルフィックであるため、AVエンジンで悪意あるものとして検出されなかったサンプルをブロックするためには、機械学習技術とサンドボックスが必要です。マルウェア自体が悪意のあるものとして検出されない可能性があるため、動作解析が可能なアンチウイルスソフトウェアをすべてのデバイスにインストールする必要があります。
Webフィルタリング製品
併せて、Webフィルターを導入し、インターネットからの実行ファイル(.js、.com、.exe、.batファイルなど)のダウンロードをブロックする必要があります。また、悪意のあるメッセージの脅威について従業員の意識を高め、フィッシングメールの見分け方を全従業員に教育することも重要となります。トレーニングでは、サイバーセキュリティのベストプラクティスを取り上げ、疑わしい電子メールを受信した場合に従うべき手順について従業員に知らせる必要があります。スピアフィッシング(攻撃対象者に合わせて手口を変えたメールを送る)攻撃は、ソーシャルメディアの投稿を確認し、標的となる可能性のある個人を特定することが推奨されます。
ネットワークのセグメンテーション
「クマムシ型マルウェア」の拡散を防ぐには、ネットワークのセグメンテーションが不可欠です。万が一端末に侵入されたとしても、ネットワークのセグメンテーションにより、被害を最小限に抑えることができます。企業ネットワーク、ゲスト・ネットワーク、業務ネットワークが適切にセグメント化されていることを確認するためのテストを実施する必要があります。
機密データの特定
バイオ製造分野のすべての企業は、最も機密性の高いデータを特定すべきです。そしてそれらが適切に保護されていることを確認し、主要なインフラストラクチャを定期的にバックアップし、バックアップはオフラインで保存する必要があります。BIO-ISACは、交換が必要なバイオインフラストラクチャについて、主要コンポーネントのリードタイムについて問い合わせることを推奨しています。
以上で、今回の記事を終わります。
Webフィルタリングや電子メールに関するご相談は、以下リンクより、お気軽にお問い合わせください。
Webフィルタリングサービス WebTitan
製品の詳細につきましては、紹介ページをご覧ください。
14日間の無料トライアルをご用意しております。
※自動でサブスクリプションに移行することはありません。お気軽にお試しください。
WebTtitan Cloudのお試しマニュアルはこちらよりご覧いただけます。
WebTitan Cloudオンライン説明会を開催中!お申し込みはこちらから!
スパムメールフィルタリングサービス SpamTitan
製品の詳細につきましては、紹介ページをご覧ください。
30日間の無料トライアルをご用意しております。
※自動でサブスクリプションに移行することはありません。お気軽にお試しください。
参考ページ:Tardigrade Malware Used in Targeted Attacks on Vaccine Manufacturers and Biomedical Firms TitanHQ Blogページ
ここまでお読みいただき、ありがとうございました。