一部で既に報道されていますが、米国のCrowdStrike（クラウドストライク）社は、ロシアを拠点とする攻撃者が、日本を含む欧米・アジアに対し、攻撃活動を行った証拠を入手したことを明らかにしています。読者の皆様に注意喚起を促すことを目的に、CrowdStrike社による調査内容の一部を記載致します。

この攻撃者は、CrowdStrike社によってEnergetic Bearと呼称されており、過去の攻撃活動で、一部の国のエネルギー関連産業を狙った事実から、ロシア政府のエネルギー外交との関連が疑われています。つまり、攻撃の背後にロシア政府の存在が示唆されています。

今回の攻撃活動では、WordPressを使っている正規のWebサイトを攻撃し、C2サーバとして利用していたことが確認されました。つまり攻撃者自身が構築したC2サーバではなく、正規のWebサイトをC2サーバとして利用しており、中には日本企業のWebサイトも攻撃用インフラの一部に組み込まれたことを確認しております。

また、改ざんされ、マルウェアを仕込まれた日本企業のWebサイトは、ロシア関係のビジネスを行っている企業のWebサイトであることも分かっており、意図を持った改ざんであることが伺えます。

攻撃には、下記の脆弱性が利用されていますので、お使いのソフトウェアを最新の状態にしておくことをお勧めします。（IE、Firefox、Java、Flash Player）

CVE-2013-1347

CVE-2013-1690

CVE-2012-1723

CVE-2012-2034

CIS諸国関係のビジネスをしている方は、特に気を付けて頂きたいと思います。

また公開できる情報が入り次第、お伝えします。