サイバー攻撃の被害に遭った赤十字、「国家が支援」するハッカーが未パッチの脆弱性を悪用したと発表

先日、赤十字国際委員会(ICRC)がサイバー攻撃の被害に遭い、51万5000人以上の「非常に弱い立場にある」人々のデータが流出したが、これは国家が支援するハッカーの仕業だった可能性が高いようだ。

ICRCはスイス時間2月16日に公開した最新情報の中で、ハッカーによる最初の侵入は、1月18日に攻撃が明らかになる2カ月前の2021年11月9日にさかのぼることを確認、分析の結果、侵入はICRCのシステムに対する「高度に洗練された」標的型攻撃であり、ICRCが当初の発表で述べたような業務契約している外部企業のシステムに対する攻撃ではないことがわかったと付け加えた。

ICRCは「攻撃者がICRCに関わるサーバー上のみで実行することを目的としたコードを作成していたことから、今回の攻撃がICRCを標的としたものであることがわかった」と述べている。今回更新された情報によると、攻撃者が使用したマルウェアは、ICRCのインフラストラクチャ内の特定のサーバーを標的として設計されたものだったという。

ハッカーは、ウェブベースのオフィスサービスを手がけるZoho(ゾーホー)が開発したシングルサインオンツールに存在する、既知でありながらパッチが適用されていない危険度の高い脆弱性を悪用して、ICRCのネットワークにアクセスする手段を得た。この脆弱性は、9月に米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)から警告を受けており、CVSS(共通脆弱性評価システム)の深刻度スコアは10点満点中9.8点となっている。

ICRCによると、不明な国家支援ハッカーはこの欠陥を悪用し、ウェブシェルを設置して、管理者資格の侵害、ネットワーク内の移動、レジストリファイルやドメインファイルの流出などの侵入後活動を行ったという。

「ネットワークに侵入したハッカーは、攻撃的なセキュリティツールを展開して、正当なユーザーや管理者に偽装することが可能になりました。これにより、データが暗号化されているにもかかわらず、データにアクセスすることができたのです」と、ICRCは述べている。赤十字は、今回の攻撃で盗まれたデータが公開されたり取引されたりしているという決定的な証拠はなく、身代金の要求もなかったと付け加えているが、個人情報が流出した可能性のある人々には連絡を取っていると述べている。

ICRCによると、標的とされたサーバー上のマルウェア対策ツールは攻撃を受けた時に有効であり、攻撃者が使用した悪意のあるファイルの一部をブロックしていたものの、展開されたファイルのほとんどは、マルウェア対策防御を「回避するために特別に作られた」ものであったとのこと。

このようなツールは、通常、APT(Advanced Persistent Threat、高度持続的標的型攻撃)グループや、あるいは国家が支援する攻撃者が使用するものであるとICRCは指摘しているが、赤十字社は、今回の攻撃が特定の組織によるものであると、まだ正式に判断したわけではないと述べている。Palo Alto Networks(パロアルト・ネットワークス)が2021年11月に発表したレポートでは、APT27と呼ばれる中国の国家支援グループに、同じ脆弱性を悪用した関連性が見られると述べている。

今回のサイバー攻撃の結果、赤十字社は、紛争や災害で離ればなれになった家族の再会などの重要な業務を遂行するために、スプレッドシートの使用に頼らなければならなくなったと述べている。

「弱い立場にある人々のデータに対するこの攻撃が、変化を促す要因となることを、私たちは願っています」と、ICRCのRobert Mardini(ロバート・マルディーニ)事務局長は、声明の中で述べている。「赤十字・赤新月運動の人道的使命に対する保護が、データ資産やインフラにまで及ぶことを明確に求めるために、今後は国家および非国家主体との関わりを強化していきます」。

「人道的データは決して攻撃されてはならないという確固たるコンセンサスを、言葉と行動で得ることが重要であると、私たちは信じています」。

画像クレジット:Fabrice Coffrini / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

赤十字国際委員会のデータが流出、「弱い立場にある」51万5千人の個人情報が盗まれる

赤十字国際委員会(ICRC)の業務委託先がサイバー攻撃を受け、紛争や移住、災害などで家族と離ればなれになった「非常に弱い立場にある」51万5000人以上の個人データが流出していることが明らかになった。

赤十字国際委員会は、データの保存に使用しているスイスの業者の名前や、セキュリティ事故の原因については明らかにしていないものの、これらのデータは60以上の赤十字社および赤新月社のナショナルソサエティから提供されたものだと述べている。

声明の中で、赤十字国際委員会は攻撃者に対し、データの保護必要度を考慮して、情報を公に共有したり漏洩させたりしないようにと訴えている。

「あなた方の行為は、すでに計り知れない苦しみに耐えている人々に、さらに多くの傷と痛みを与える可能性があります。今、あなた方が手にしている情報の背後にいる実在の人物、実在の家族は、世界で最も無力な人々です。どうか正しいことをしてください。このデータを共有したり、売ったり、漏洩させたり、悪用したりしないでください」と、声明には書かれている。

この情報漏洩を受けて、同団体は紛争や災害で離ればなれになった家族を再会させることを目的とした「Restoring Family Links(家族のつながりの回復)」プログラムを停止した。

赤十字社の広報担当者がTechCrunchに語ったところによると、盗まれた情報には、氏名、所在地、連絡先の他、同組織のプログラムの一部にアクセスするための認証情報も含まれていたとのこと。

今回のサイバー攻撃によって、51万5000人以上の氏名、所在地、連絡先などの個人情報が侵害された。被害を受けた人々の中には、行方不明者とその家族、親のいない子どもや親と離ればなれになった子ども、拘留者、その他の武力紛争や自然災害、移住により国際赤十字・赤新月社運動から支援を受けている人々が含まれる。また、これらのプログラムに従事する約2000人の赤十字社・赤新月社のスタッフおよびボランティアのログイン情報も流出した。赤十字の広報担当者であるCrystal Ashley Wells(クリスタル・アシュリー・ウェルズ)氏によれば、システムが細分化されているため、ICRCの他の情報が漏洩することはないという。

国際的な人権団体や災害救援機関がハッカーの標的となることは増えている。2021年、国連は正体不明のサイバー攻撃者にネットワークを侵害された。また、5月にMicrosoft(マイクロソフト)は、米国国際開発庁のメールアカウントがハッカー集団に乗っ取られ、数千人に悪意のあるメールが送信されたことを明らかにした。

画像クレジット:Alex Wong / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)