米Microsoftは5月27日(現地時間)、ロシア由来のハッカー集団「Nobelium」が少なくとも24カ国の政府機関やシンクタンクなどにサイバー攻撃を仕掛けたことを確認したと発表した。Nobeliumは、Microsoftが昨年末に確認した米SolarWindsのサービスを悪用したサイバー攻撃を行った集団でもあるとしている。

 Microsoftによると、24日の週に150以上の組織の約3000のメールアカウントが攻撃されたという。標的となった組織の少なくとも4分の1が、国際開発、人道支援、人権活動関連だった。「これらの攻撃は、諜報活動の一環として、外交政策に関与する政府機関を標的とする一連の活動の続きのようだ」と同社は説明する。

 英BBCなどによると、ロシア政府は28日、この攻撃については知らず、Microsoftに対してこの攻撃をなぜロシアと関連付けたのかなど、複数の質問をしたと語ったという。ロシア政府は、SolarWinds攻撃への関連も否定している。

 今回の攻撃は、まず米国際開発庁(USAID)が使っている米メールマーケティング企業Constant Contactのアカウントを乗っ取り、そのアカウントから約3000のメールアカウントにUSAIDからのように見えるフィッシングメールを配布した。

https://image.itmedia.co.jp/news/articles/2105/30/l_yu_usaid.jpg
USAIDからのように見えるメール(画像:Microsoft)

 このメールのリンクをクリックすると「NativeZone」と呼ばれるバックドアを配布するためのファイルが仕掛けられる。このバックドアにより、攻撃社はデータ窃盗やネットワーク上の他のコンピュータへの感染が可能になる。

https://image.itmedia.co.jp/news/articles/2105/30/l_yu_usaid2.jpg
攻撃の手口(画像:Microsoft)

 Microsoftは、同社の顧客企業への攻撃の多くは自動的にブロックされており、Windows Defenderがマルウェアをブロックしたとしている。また、特定した被害者に通知する計画だ。

 同社は28日に公式ブログを更新し、多要素認証やウイルス対策ソフトの使用やメール内リンクの不用意なクリックをしないことなどの、基本的なサイバーセキュリティ対策を講じるよう呼び掛けた。

□関連記事
米バイデン政権、ロシアに制裁 SolarWinds悪用サイバー攻撃や大統領選干渉で - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/17/news024.html
Russian hackers target aid groups in new cyber-attack, says Microsoft - BBC News(英文)
https://www.bbc.com/news/world-us-canada-57280510
米国務長官、SolarWinds悪用の大規模攻撃はロシアが関与と明言 トランプ大統領は「中国かも」とツイート - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2012/20/news016.html

□関連リンク
公式ブログ1
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/
公式ブログ2
https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/
公式ブログ3
https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/

2021年05月30日 07時19分 公開
ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2105/30/news025.html