【ITニュース解説】UNC6384 Deploys PlugX via Captive Portal Hijacks and Valid Certificates Targeting Diplomats
ITニュース概要
中国関連の攻撃グループが、東南アジアの外交官を標的にサイバー攻撃を実行。公共Wi-Fiのログイン画面を乗っ取り、正規の証明書を悪用してマルウェア「PlugX」を配布する。通信を盗聴する中間者攻撃など、巧妙な手口で検出を回避する。
ITニュース解説
UNC6384という特定の攻撃者グループが、東南アジアの外交官をはじめとする世界中の様々な組織を標的としたサイバー攻撃を展開している。この攻撃は、中国の戦略的利益を推進することを明確な目的としており、非常に高度で巧妙な手法を複数組み合わせている点が特徴だ。彼らが使用する主要なマルウェアは「PlugX」と呼ばれる遠隔操作ツールである。これは、感染したコンピューターを外部から自由に操ることを可能にするマルウェアで、攻撃者はこれを通じて標的のシステムから機密情報を盗み出したり、さらなる不正な操作を行ったりすることができる。 この一連の攻撃における初期侵入手口の一つが「キャプティブポータルハイジャック」だ。キャプティブポータルとは、ホテルや空港、カフェなどの公衆Wi-Fiに接続した際に、インターネットを利用するために表示されるログイン画面や利用規約の同意画面のことを指す。攻撃者はこの正規のキャプティブポータルを乗っ取り、偽の画面を表示させる。被害者は、普段利用している正規のサービスだと信じ込んでしまい、その偽の画面を通して、知らず知らずのうちに攻撃者の意図するマルウェアをダウンロードしてしまったり、個人情報を入力してしまったりするのだ。 このキャプティブポータルハイジャックを実現する主要な手段の一つが、「中間者攻撃(Adversary-in-the-middle: AitM)」と呼ばれる手法である。通常、私たちはインターネットを利用する際に、自分のデバイスとウェブサイトのサーバーが直接通信していると考えている。しかし、中間者攻撃では、攻撃者がその二者間の通信に秘密裏に割り込み、すべての情報を盗聴したり、内容を改ざんしたり、あるいは正規のサーバーになりすまして被害者と通信したりする。この攻撃によって、被害者は自分の通信相手が正規のサービスであると錯覚させられ、攻撃者の巧妙な罠に気づくことが非常に難しくなる。キャプティブポータルハイジャックの文脈では、攻撃者がWi-Fiネットワークと利用者の間に割り込むことで、正規のキャプティブポータルではなく、攻撃者が用意した偽のポータル画面を被害者に表示させるのである。 さらに、UNC6384は「有効な証明書」を悪用している。インターネット上では、ウェブサイトの信頼性やソフトウェアの正当性を保証するために「デジタル証明書」が広く使われている。通常、有効な証明書を持つものは安全であると判断される。しかし、攻撃者は不正な手段で正規の「コード署名証明書」を入手したり、悪用したりしている。コード署名証明書は、ソフトウェアが信頼できる発行元によって作成され、改ざんされていないことを示すものであり、これがあることで、ユーザーやセキュリティソフトウェアはそのソフトウェアを正規のものとして認識し、警戒心を抱きにくくなる。攻撃者は、この信頼性を逆手にとり、自分たちのPlugXマルウェアに有効なコード署名証明書を付与することで、あたかも正規のアプリケーションであるかのように装い、セキュリティソフトによる検出を回避し、ユーザーに安心して実行させるよう誘導するのだ。 このような高度な技術的攻撃に加えて、攻撃者は「ソーシャルエンジニアリング」と呼ばれる手法も活用する。ソーシャルエンジニアリングとは、コンピューターシステムの技術的な脆弱性を直接突くのではなく、人間の心理的な隙や行動の習慣、信頼関係などを巧みに利用して、情報を聞き出したり、不正な操作をさせたりする手法のことだ。例えば、外交官という特定の立場にある人々を標的とする場合、彼らが関心を持つような話題や、業務に関連する偽のメールを送付し、添付ファイルを開かせたり、偽のウェブサイトへ誘導したりすることで、マルウェア感染のきっかけを作る。 また、攻撃者は「間接的な実行手法」を用いることで、さらに検出を困難にしている。これは、マルウェアを直接的に実行するのではなく、正規のソフトウェアが持つ脆弱性や、OSの標準機能、システムの設定などを悪用して、最終的にマルウェアが動作するように仕向ける方法だ。これにより、セキュリティソフトウェアが一般的に検出するマルウェアの直接的な挙動を回避し、攻撃の痕跡を隠蔽することができる。例えば、一見すると無害なファイルや、正規のシステムプロセスの中にマルウェアの実行コードを隠し込むことで、監視の目をくぐり抜けるのである。 このように、UNC6384による攻撃は、キャプティブポータルハイジャック、中間者攻撃、有効な証明書の悪用、高度なソーシャルエンジニアリング、そして間接的な実行手法といった、非常に多岐にわたる複雑な技術と心理的な操作を何段階にもわたって組み合わせることで構成されている。これらの手法はそれぞれ単体でも強力だが、組み合わされることで、攻撃の成功率を飛躍的に高め、かつその検出を極めて困難にしている。システムエンジニアを目指す者にとって、このような巧妙な多段階攻撃のメカニズムを理解することは、将来、システムの防御やセキュリティ対策を設計・実装する上で不可欠な知識となるだろう。これらの攻撃手口の全体像を把握し、常に最新の脅威動向に注意を払うことが、現代のサイバーセキュリティにおいて極めて重要だと言える。