ニュースに戻る
速報

APT37がリムーバブルドライブを利用してエアギャップネットワークに新型マルウェアを侵入させる手法

1分で読めますソース: BleepingComputer

北朝鮮のAPT37が、リムーバブルUSBドライブを悪用してエアギャップネットワークを突破する新型マルウェアを展開。高セキュリティ環境を標的とした攻撃手法と対策を解説。

北朝鮮のAPT37、エアギャップ突破型マルウェアで攻撃能力を強化

セキュリティ研究者らは、北朝鮮のサイバー攻撃グループAPT37(別名ReaperまたはScarCruft)による新たな攻撃キャンペーンを発見した。このキャンペーンでは、エアギャップネットワークとインターネット接続システムを橋渡しする、これまで未確認のマルウェアが使用されている。攻撃チェーンはリムーバブルUSBドライブを活用し、データの窃取や監視を実行。高セキュリティ環境を標的とした同グループの戦術進化が浮き彫りとなった。

攻撃の技術的詳細

最近の調査で特定されたこのマルウェアは、多段階の感染プロセスを経て動作する。

  1. 初期感染経路 攻撃は、APT37がよく使用するフィッシングやスピアフィッシングメールから始まる。システムが侵害されると、マルウェアは持続性を確立し、リムーバブルドライブが接続されるのを待機する。

  2. USB経由の伝播 感染したシステムがUSBドライブを検出すると、マルウェアは自身をデバイスにコピー。ペイロードは正規ファイルに偽装されるか、autorun.infを利用して挿入時に自動実行される。

  3. エアギャップの突破 エアギャップシステムに挿入されると、マルウェアは起動し、機密データをスキャン。攻撃者が制御するインフラへ情報を窃取するための秘密の通信チャネルを確立する。この手法は、従来のネットワークベースの防御を回避し、物理メディアを介したデータ転送に依存する。

  4. 監視機能 マルウェアには、キーロギング、スクリーンキャプチャ、ファイル窃取などのモジュールが含まれ、侵害されたシステムの包括的な監視が可能。研究者らは、ペイロードが高度にモジュール化されており、攻撃者が特定のターゲットに応じて機能をカスタマイズできる点を指摘している。

これらの新たに発見されたツールにはCVE IDは割り当てられていないが、マルウェアの高度な回避技術(サンドボックス回避や暗号化通信など)は、検出を逃れるための多大な投資を示唆している。

影響と標的

APT37は、韓国、日本、中東の政府機関、防衛関連企業、重要インフラを標的にする歴史がある。エアギャップシステムへの攻撃手法の転換は、軍事、原子力、金融などの高価値で隔離されたネットワークを重点的に狙っていることを示している。USBを利用した伝播は、StuxnetAgent.BTZなどの国家支援型キャンペーンで観察された戦術と一致するが、APT37のツールは破壊活動よりもスパイ活動に特化しているようだ。

この発見は、国家支援型の脅威アクターがエアギャップ環境に与える継続的な脅威を浮き彫りにしている。物理的に隔離されているため本質的に安全と見なされがちなエアギャップネットワークだが、リムーバブルメディアへの依存は重大な脆弱性を生む。わずか1本の感染したUSBドライブが、データ窃取の橋渡し役となる可能性がある。

緩和策と推奨事項

エアギャップネットワークや高セキュリティ環境を管理するセキュリティチームは、以下の対策を実施してこの脅威に対処すべきである。

  • USBアクセス制御 リムーバブルドライブの使用を承認された担当者のみに制限し、承認済みデバイスのホワイトリスト化を実施。すべてのシステムでオートラン機能を無効化することを検討。

  • エンドポイント検出および対応(EDR) リムーバブルメディアへの不正なファイル転送や異常なプロセス実行など、不審な挙動を検出できるEDRソリューションを導入。

  • ネットワークセグメンテーション エアギャップシステムは物理的に隔離されているが、隣接するネットワークは侵害時の横方向の移動を制限するためにセグメント化する。

  • ユーザー啓発トレーニング USBベースの攻撃のリスクについて従業員を教育。マルウェア展開に先立つ可能性のあるフィッシングキャンペーンにも注意を促す。

  • 定期的な監査 エアギャップシステムの不正なハードウェアやソフトウェアの変更を検出するために、頻繁に監査を実施。**ファイル完全性監視(FIM)**を導入し、不審な変更を特定。

  • 脅威インテリジェンスの共有 業界の同業者や政府機関と協力し、APT37のようなグループからの新たな脅威に関する情報を入手。このキャンペーンに関連する**侵害指標(IOC)**を監視。

結論

APT37の最新マルウェアの発見は、高セキュリティ環境における脅威アクターと防御側のいたちごっこが続いていることを示している。エアギャップネットワークは依然として重要な防御メカニズムだが、物理メディアベースの攻撃に対する脆弱性は、多層的なセキュリティアプローチを必要とする。組織は、技術的な制御と積極的な脅威ハンティングを組み合わせ、高度な持続的脅威に対抗しなければならない。

詳細なIOCや技術分析については、BleepingComputerの原文レポートを参照。

共有

TwitterLinkedIn