米政府は、オーストラリア、英国の政府とともに、イランの支援を受けたハッカーが米国の重要インフラ分野の組織を標的にしており、一部のケースではランサムウェアを使用していると警告した。
イランとランサムウェアを結びつける珍しい警告は、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、英国の国家サイバーセキュリティセンター(NCSC)が現地時間11月17日に発表した共同勧告に盛り込まれている。
この勧告によると、イランの支援を受けた攻撃者が、少なくとも3月以降Fortinetの脆弱性を、10月以降はMicrosoft Exchange ProxyShellの脆弱性を悪用して、米国の交通機関や公衆衛生分野の重要インフラ組織、およびオーストラリアの組織にアクセスしているという。ハッカーの目的は、最終的にこのアクセスを利用して、データ流出、恐喝、ランサムウェアの展開などの後続作業を行うことにある。
例えば、2021年5月、ハッカーはFortigateを悪用して、米国の地方自治体のドメインを管理するウェブサーバーにアクセスした。その翌月にCISAとFBIは、ハッカーがFortinetの脆弱性を悪用して、米国の小児医療専門病院のネットワークにアクセスしたことを確認している。
今回の共同勧告は、Microsoft(マイクロソフト)が発表したイランのAPTの進化に関する報告書と併せて発表された。イランのAPTは「資金を集めるため、あるいは標的を混乱させるためにランサムウェアをますます利用している」。報告書の中でMicrosoftは、2020年9月に始まった攻撃でランサムウェアを展開し、データを流出させている6つのイランの脅威グループを追跡している、と述べている。同社は、Phosphorusと呼ぶ(APT35としても知られる)、特に「攻撃的」なグループを取り上げている。以前はスピアフィッシング電子メールを使って、2020年の米選挙の大統領候補者などを含む被害者を誘い出していたが、Microsoftによると、このグループは現在、ソーシャルエンジニアリング戦術を採用して被害者との信頼関係を構築してから、Windowsに組み込まれたフルディスク暗号化機能であるBitLockerを使ってファイルを暗号化しているとのことだ。
CISAとFBIは、イランの攻撃者がもたらす脅威を軽減するために、OSのアップデート、ネットワークセグメンテーションの実施、多要素認証と強力なパスワードの使用など、一連の行動をとるよう組織に呼びかけている。
画像クレジット:Scott Olson / Getty Images
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)