サイバー攻撃の被害に遭った赤十字、「国家が支援」するハッカーが未パッチの脆弱性を悪用したと発表

先日、赤十字国際委員会(ICRC)がサイバー攻撃の被害に遭い、51万5000人以上の「非常に弱い立場にある」人々のデータが流出したが、これは国家が支援するハッカーの仕業だった可能性が高いようだ。

ICRCはスイス時間2月16日に公開した最新情報の中で、ハッカーによる最初の侵入は、1月18日に攻撃が明らかになる2カ月前の2021年11月9日にさかのぼることを確認、分析の結果、侵入はICRCのシステムに対する「高度に洗練された」標的型攻撃であり、ICRCが当初の発表で述べたような業務契約している外部企業のシステムに対する攻撃ではないことがわかったと付け加えた。

ICRCは「攻撃者がICRCに関わるサーバー上のみで実行することを目的としたコードを作成していたことから、今回の攻撃がICRCを標的としたものであることがわかった」と述べている。今回更新された情報によると、攻撃者が使用したマルウェアは、ICRCのインフラストラクチャ内の特定のサーバーを標的として設計されたものだったという。

ハッカーは、ウェブベースのオフィスサービスを手がけるZoho(ゾーホー)が開発したシングルサインオンツールに存在する、既知でありながらパッチが適用されていない危険度の高い脆弱性を悪用して、ICRCのネットワークにアクセスする手段を得た。この脆弱性は、9月に米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)から警告を受けており、CVSS(共通脆弱性評価システム)の深刻度スコアは10点満点中9.8点となっている。

ICRCによると、不明な国家支援ハッカーはこの欠陥を悪用し、ウェブシェルを設置して、管理者資格の侵害、ネットワーク内の移動、レジストリファイルやドメインファイルの流出などの侵入後活動を行ったという。

「ネットワークに侵入したハッカーは、攻撃的なセキュリティツールを展開して、正当なユーザーや管理者に偽装することが可能になりました。これにより、データが暗号化されているにもかかわらず、データにアクセスすることができたのです」と、ICRCは述べている。赤十字は、今回の攻撃で盗まれたデータが公開されたり取引されたりしているという決定的な証拠はなく、身代金の要求もなかったと付け加えているが、個人情報が流出した可能性のある人々には連絡を取っていると述べている。

ICRCによると、標的とされたサーバー上のマルウェア対策ツールは攻撃を受けた時に有効であり、攻撃者が使用した悪意のあるファイルの一部をブロックしていたものの、展開されたファイルのほとんどは、マルウェア対策防御を「回避するために特別に作られた」ものであったとのこと。

このようなツールは、通常、APT(Advanced Persistent Threat、高度持続的標的型攻撃)グループや、あるいは国家が支援する攻撃者が使用するものであるとICRCは指摘しているが、赤十字社は、今回の攻撃が特定の組織によるものであると、まだ正式に判断したわけではないと述べている。Palo Alto Networks(パロアルト・ネットワークス)が2021年11月に発表したレポートでは、APT27と呼ばれる中国の国家支援グループに、同じ脆弱性を悪用した関連性が見られると述べている。

今回のサイバー攻撃の結果、赤十字社は、紛争や災害で離ればなれになった家族の再会などの重要な業務を遂行するために、スプレッドシートの使用に頼らなければならなくなったと述べている。

「弱い立場にある人々のデータに対するこの攻撃が、変化を促す要因となることを、私たちは願っています」と、ICRCのRobert Mardini(ロバート・マルディーニ)事務局長は、声明の中で述べている。「赤十字・赤新月運動の人道的使命に対する保護が、データ資産やインフラにまで及ぶことを明確に求めるために、今後は国家および非国家主体との関わりを強化していきます」。

「人道的データは決して攻撃されてはならないという確固たるコンセンサスを、言葉と行動で得ることが重要であると、私たちは信じています」。

画像クレジット:Fabrice Coffrini / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。