プライスウォーターハウスクーパース、国内機関や企業の情報収集する諜報活動を確認し注意喚起
プライスウォーターハウスクーパースのサイバー攻撃の観測・分析活動専門チームが国内の政府機関や特定機構、企業のドメインを模したURLで標的にした組織の情報を収集する諜報活動を確認し、注意を呼びかけている。
一般的に標的型攻撃は標的組織への侵入前の情報収集として諜報活動を行っており、昨年からWebサイトにアクセスするだけで端末情報を収集するDevice Fingerprintingという技術を悪用した手法が使われ、OSやブラウザ、プラグイン、ウィルス対策ソフトや端末内部の詳細情報などが収集されている。今回確認された手口では国内企業のドメインを模しており、国内の企業を標的にしていると思われる。国内企業のWebサイトURLを模したドメインにScanboxのコードの一部を利用したWebサイトやScanbox Webサイトに誘導する複数のWebサイトが作成されていることを同チームが確認している。また、誘導Webサイトのコンテンツに、国内の政治団体などのWebサイトコンテンツがコピーされ、コンテンツにはScanbox Webサイトへ誘導するコードが埋め込まれていた。そして、同チームがScanbox Webサイトの難読化コードを解除して解析した結果、キーロガー機能やWeb RTCで端末のローカルIPアドレスまで収集していることが判明し、攻撃者は組織ネットワーク構成や様々な情報を把握していると思われる。
もし組織が誘導WebサイトやScanbox Webサイトにアクセスしている痕跡がある場合には、攻撃者に組織情報やその他の情報が抜き取られ、近いうちに攻撃される恐れがあるため、同チームは観測を継続するとともに、標的となっている企業への情報提供など、注意喚起を行っている。
