プレスリリース

サイランス、中東の新しいAPT攻撃グループ「ホワイトカンパニー」を発見

Press + Media Contact

<本件に関するお客様からの問い合わせ先>

Cylance Japan株式会社

担当:三浦

電話:03−6386−0061

prjapan@cylance.com

〜パキスタン空軍を標的とする、潤沢なリソースをもつ新しい攻撃グループを解明〜

2018年11月13日

本発表は、Cylance(サイランス)米国本社のプレスリリース抄訳版です。原文はこちらからご覧頂けます。本プレスリリースに関するブログ記事の抄訳版はこちらからご覧頂けます。

米国カリフォルニア州アーバイン - AI(人工知能)を活用して予測脅威防御のセキュリティソリューションを提供するCylance Inc.(以下、サイランス)は、米国時間2018年11月12日、これまでのAPT攻撃グループとは異なる、国家の関与が疑われる全く新しい攻撃グループを発見し、本日、追跡調査レポートを公開しました。

調査レポートでは、攻撃グループの最近の活動の一つである、パキスタン空軍を狙った一年間に及ぶスパイ活動について詳しく解説しています。サイランスはこの攻撃キャンペーンを「Operation Shaheen – オペレーション・シャヒーン」と命名し、この組織が活動の証拠をすべて消し去って(ホワイトウオッシュ)、アトリビューションを免れようと数々の巧妙な手段を講じていることから「White Company – ホワイトカンパニー」と命名しました。

パキスタン空軍は、核兵器計画を含む、パキスタンの国家安全保障体制に不可欠な要素であるだけでなく、新しく発表された同国のNational Centre for Cyber Securityの本拠地でもあります。 パキスタン軍を標的にしたスパイ作戦が成功すれば、西洋諸国と必ずしもかみ合わない利害関係を持つ勢力を含む幅広い外国勢力について、かなりの戦術的・戦略的洞察を得ることができます。

サイランスの研究者は、ホワイトカンパニーが以下を保有することを示す証拠を突き止めました。

  • ゼロデイエクスプロイトの開発者とゼロデイエクスプロイトにアクセスできる可能性
  • 自動化された複雑なエクスプロイト構築システム
  • ミッション固有のニーズを達成するためにエクスプロイトを変更、洗練、進化させる能力
  • 高度な標的偵察能力

サイランスの脅威リサーチチームは、ホワイトカンパニーのエクスプロイト約30個に埋め込まれたマシン語のシェルコード命令の調査という、手間のかかる分析を行いました。42個の固有の機能に対して遺伝子マーキングとマッピングを行うことで、ホワイトカンパニーのツールキットの開発、変更、進化を経時的に追跡することを可能にしました。これにより、過去に特定されていないキャンペーンや、アトリビューションが誤っていた他のキャンペーンにホワイトカンパニーを紐付ける事ができました。

ホワイトカンパニーは、複数のアンチウイルス製品(Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG、Quick Heal)を標的にして効果的に回避した上で、各製品がその所有者に敵対するよう仕向けるという、Cylanceが初めて遭遇する脅威アクターです。また、特定の日に意図的に各製品によって捕捉されることによって、標的のリソースを混乱させて対応を遅らせ、注意を逸らします。

アンチウイルスの回避は、ホワイトカンパニーがアトリビューションを免れるために用いる数多くの手法の1つに過ぎません。サイランスが発見した手法には、他にも次のようなものがあります。

  • エクスプロイト内部:マルウェアがアナリストや調査担当者のシステムに配置されたかどうかを確認する4種類の方法、Wordをクリーンアップしておとりのドキュメントを起動し、疑いを持たれないようにする機能、ターゲットシステムから自身を完全に削除する機能
  • マルウェア内部:最終的なペイロードを一連の入れ子人形式の各層内に配置する5種類の難読化(パッキング)手法、マルウェアがアナリストや調査担当者のシステムに配置されたかどうかを確認する追加の方法、匿名のオープンソースのペイロードと難読化手法、侵害済みのネットワークインフラストラクチャをコマンドアンドコントロールで使用

今後、公開が予定されている調査レポートでは、ホワイトカンパニーの活動に関係するマルウェアとインフラストラクチャについて深く掘り下げて経緯を明らかにしながら、その基になっている技術調査結果の高度な分析結果についてまとめます。

レポートの全文はこちらからダウンロードできます。

Cylance Inc.について

サイランスは、人工知能(AI)、アルゴリズム技術、および機械学習をサイバーセキュリティに応用し、高度なセキュリティ問題を未然に解決することを可能にした初の企業です。CylancePROTECT®は、画期的な予測分析プロセスによって、安全か脅威かを迅速かつ正確に識別し、標的となったシステムで有害なコードが実行されるのを阻止します。洗練された機械学習とAIを攻撃者の心理に関する独自の見識と組み合わせ、高度な脅威に対して真の予測および防御が可能なテクノロジーとサービスを提供します。詳しくは、下記Webサイトをご参照ください: www.cylance.co.jp

サイランスのプレスリリースと最新ニュースは下記のWebサイトをご覧ください。
https://www.cylance.com/jp-company-news-press-releases
Cylance Japanのソーシャルメディア
Facebook:https://www.facebook.com/CylanceJapan/
Twitter:https://twitter.com/CylanceJapan

<本件に関する報道関係者からの問い合わせ先>

Cylance Japan PR事務局
合同会社NEXT PR(担当:有本、本間)
電話:03-4405-9537 
Email: cylance@next-pr.co.jp

Cylance® および CylancePROTECT® は、米国および諸外国における Cylance Inc. の登録商標または商標であり、その使用には事前の書面による許可が必要になる場合があります。その他の商標の所有権は各所有者に帰属します。