現在も攻撃活動が続いているOperation Triangulationは、未知のマルウェアを使用しています。iMessage経由でゼロクリック・エクスプロイトを配布し、デバイスとユーザーデータを完全に制御するマルウェアを実行し、最終的にはiOSデバイスユーザーを秘密裡にスパイすることを目的としています。
[本リリースは、2023年6月1日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのリサーチャーはこのたび、iOSデバイスを標的にしたモバイル向けのAPT(持続的標的型)攻撃活動を発見し、「Operation Triangulation(トライアンギュレーション)※1」と名付けました。現在も進行中のこの攻撃活動は、未知のマルウェアを使用しています。iMessage経由でゼロクリック・エクスプロイトを配布し、デバイスとユーザーデータを完全に制御するマルウェアを実行し、最終的にはiOSデバイスユーザーを秘密裡にスパイすることを目的としています。
当社のリサーチャーが、法人向け製品「Kaspersky Unified Monitoring and Analysis Platform (KUMA)」を使用して当社のWi-Fiネットワークのトラフィックを監視していた際に、新たなモバイル向けのAPT攻撃活動を発見しました。さらに分析を進めたところ、当社の数十人の従業員のiOSデバイスが標的になっていることが判明しました。
攻撃手法の詳細は現在も調査中ですが、これまでのところ、大まかな感染手順の特定ができています。攻撃の対象者は、Apple製品用のメッセージアプリiMessage経由でゼロクリック・エクスプロイトを含んだファイルを添付したメッセージを受信します。このメッセージは、ユーザーが何も操作しなくても、特権昇格のコード実行につながる脆弱性(ぜいじゃくせい)を引き起こし、マルウェアに感染したデバイスを完全に制御できるようにします。攻撃者がデバイスの掌握に成功すると、メッセージは自動的に削除されます。
このスパイウェアは、マイクの録音、インスタントメッセンジャーの写真、位置情報を取得するほか、感染デバイスの所有者のさまざまな活動に関連するデータなどを、攻撃者が指定するリモートサーバーに密かに送信します。
調査を進める中で、当社の製品、技術、サービスへの影響はなく、また、ユーザーデータや重要な事業プロセスにも影響がないことを確認しています。攻撃者がアクセスできたのは、感染したデバイスに保存されているデータのみでした。なお、今回の攻撃は当社を狙ったものではなく、当社が偶発的に最初に発見したものと推測しています。このサイバー攻撃の世界的な広がりについては、今後数日で明らかになると思われます。
Kasperskyのグローバル調査分析チーム※2でEEMEA地域を統括するイゴール・クズネツォフ(Igor Kuznetsov)は次のように述べています。「サイバーセキュリティに関しては、最も安全なOSでさえも侵害される可能性があります。APT攻撃者たちは常に新たな弱点を探し、戦術を進化させています。企業は自社システムのITセキュリティ対策を優先し、サイバーセキュリティに関する従業員の教育と理解向上および潜在的な脅威を効果的に認識し防御するために、最新の脅威インテリジェンスとツールを用意することが必要です。私たちはOperation Triangulationの調査を継続しており、このスパイ活動は当社以外を狙っている可能性があることから、今後、詳細が分かり次第、情報を共有したいと考えています」
■ Operation Triangulationの詳細は、Securelistブログ(英語)「Operation Triangulation: iOS devices targeted with previously unknown malware」でご覧いただけます。iOSデバイスが感染しているかどうかを確認する方法も掲載しています。
■ 既知または未知の攻撃者による標的型攻撃から企業を守るために、以下の対策を講じることをお勧めします。
・エンドポイントレベルの検知、調査、インシデントのタイムリーな修復には、「Kaspersky Unified
Monitoring and Analysis Platform」のような信頼性の高い企業向けセキュリティソリューションを使用する
・Microsoft Windows OSやサードパーティ製ソフトウェアのアップデートを迅速に行い、定期的に実施する
・SOCチームが最新の脅威インテリジェンスを利用できるようにする。Kaspersky
Threat Intelligenceは、当社が提供する脅威インテリジェンスの一元的なアクセスポイントで、過去20年以上にわたり収集したサイバー攻撃に関するデータと知見を提供します
・GReATの専門家が開発した、サイバーセキュリティチームのスキル向上を目的としたオンライントレーニングで、最新の標的型脅威に対処できるようにする
・多くの標的型攻撃では、初期感染にフィッシングやソーシャルエンジニアリング手法が使用されていることから、Kaspersky Automated Security Awareness Platformなどのセキュリティ意識向上トレーニングを導入し、従業員が実践的なスキルを学べる機会をつくる
※1 この攻撃で使用されるマルウェアが、対象デバイスのソフトウェアとハードウェアの仕様を認識するために、Canvas Fingerprinting 技術を使用してデバイスのメモリに黄色の三角形を描画することから命名。
※2 グローバル調査分析チーム(Global Research and
Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。