5/22～5/24の三日間、和歌山県にて開催された「サイバー犯罪に関する白浜シンポジウム」に参加してきました。知見を持った業界の人々が一つの場所に集結し、昼夜問わず、サイバー犯罪に関するインテリジェンスの共有を図ることには大きな意義と重要性を感じました。来年も機会があれば、ぜひ参加したいと思います。また今回は、光栄にも講演者としてご招待頂き、弊社の持っている知見の一部を発表させて頂く機会を得ましたので、ここで、その一部を共有したいと思います。

つい先週、Mandiant社がAPT1と呼ぶ攻撃者グループに所属していたとされる5人が、米国によって起訴されたニュースが報道されたのはご存じの方も多いと思います。そのようなニュースの中、弊社では、APT1とは別とされる攻撃者グループによる攻撃キャンペーンを日本国内で確認しています。この攻撃者は、CrowdStrike社によってAurora Pandaと呼ばれ、下記の攻撃キャンペーンの実行犯と見られています。Aurora Pandaは、Mandiant社ではAPT17と呼ばれ、シマンテック社ではHidden Lynxと呼ばれています。APT1よりもスキルが高く、手口も洗練されているというのが、各セキュリティベンダーの一致した見解です。

Aurora Pandaによると見られる攻撃キャンペーン（一部）

• Operation Aurora（McAfee社の調査レポートへリンク）

• Operation Ephemeral Hydra（FireEye社のブログへリンク）

• VOHO Campaign（RSA社の調査レポートへリンク）

• Bit9 Incident（Bit9社のブログへリンク）

• Operation DeputyDog（FireEye社のブログへリンク）

• Monju Incident（Context Information Security社の調査レポートへリンク）

上記の中で、Operation DeputyDogとMonju（GOM Playerの更新時にマルウェア感染)の件は、日本で発生した事案なのでご存じの方も多いと思います。しかし、これらが、かつてGoogle社などが攻撃を受けたOperation Auroraや、セキュリティ企業のBit9社が攻撃を受けたキャンペーンと、技術的な類似性があることは、あまり知られていません。

また、弊社では、2012年～現在に至るまで、Aurora Pandaによると見られる攻撃キャンペーンを3件ほど日本国内で確認しています。いずれも、Bit9社のインシデントや、Operation DeputyDogと技術的な類似性を確認しています。下図は、各キャンペーン間で共通する類似性を線で結んだものです。オレンジ色がキャンペーン名称、緑色がマルウェア検体に見られる類似性、青色がC&Cサーバとの通信に関連した類似性を示しています。図中にある"654@123.com"は、whoisの登録情報に掲載されているメールアドレスが共通であったことを示しています。実際にはメールアドレスだけでなく、組織名や電話番号なども共通でした。

図：　各キャンペーンに見られる類似性（クリックして拡大）