トレンドマイクロ、ロシア・ウクライナ紛争に関連したサイバー脅威動向について発表
- 2022/03/14 10:00
- SecurityInsight
トレンドマイクロは3月7日、セキュリティブログにおいて、ロシア・ウクライナ紛争に関連したサイバー脅威動向について発表した。その概要は以下のとおり。
2022年2月25日、ランサムウェアの攻撃者グループ「Conti」は、ロシア政府を「全面的に支持する」として、ロシアに対するサイバー攻撃や戦争活動を組織する勢力へ反撃する意向を表明した。また、2022年2月上旬以降、同グループが攻撃に多用するマルウェア「BazarLoader」の急増も確認されている。
しかし、この声明掲載の数時間後、同グループは「どの政府とも同盟を結ばない。現在進行している戦争を非難する」と態度を変えた。その理由は不明だが、Contiは、いわゆる犯罪組織「OCG(Organized Crime Gang)」の中でも最もプロフェッショナルな集団であり、一般企業の部門のような専門性の高い下部組織も有している。こうした点から、組織内に当初の声明に共鳴せずに反発したメンバーがいたことが変化の理由かもしれない。
一方、外部情報としては、ContiのXMPPチャットサーバのバックエンドにアクセスしたウクライナのセキュリティリサーチャーによって、Conti運営者のチャット内容が流出したことが報告されている。トレンドマイクロのリサーチチームは、このログを抽出し、感染の痕跡(IOC, Indicators of Compromise)のマッピングに使用可能な情報を入手している。
その他、以下の項目についても報告している
・ランサムウェア攻撃グループ「Stormous」によるロシア政府支持表明
・「ウクライナ」に便乗するスパムメール/不正サイト
ブログでは結論として、同社のセキュリティリサーチャーは、情報をできるだけ正しく理解するため、次のような取り組みを行なっているとしている。
・自分たちが確信する真実の中にも思い込み(偏見)や間違いがある可能性を排除できないことを意識する
・自分たちがプロパガンダの中心に放り込まれている可能性を排除できないことを自覚する
・完全に中立・公平な情報源などは存在しないということを認識する
・情報の中にある「事実」「意見」「仮定」を区別する
・重要な情報については、可能な限り第一次の情報源をたどる。引用された記事の出典を確認し、その全内容と発言の文脈を確認することも不可欠である
・発表前には、複数の専門家が確認した記事や、専門家が執筆した記事など、信頼できる情報源を必ず参照する