piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

大手ウイルス対策ベンダ3社への不正アクセスについてまとめてみた

2019年5月10日、米国セキュリティ企業 AdvIntel(Advanced Intelligence, LLC)は大手のウイルス対策ベンダ3社が不正アクセスを受け、ソースコード等の機密情報が盗まれた可能性を報告しました。
その後、この3社はTrendMicro、Symantec、McAfeeと報じられ一部企業は不正アクセスを受けたとコメントしています。ここでは関連する情報をまとめます。

AdvIntelの調査報告(2019年5月10日)

Top-Tier Russian Hacking Collective Claims Breaches of Three Major Anti-Virus Companies

  • 2019年3月に米国拠点の大手ウイルス対策ベンダ3社から独占情報を盗んだと声明。
  • 不正アクセスは「Fxmsp」と呼称されるグループにより行われたものと報告。
  • 盗まれた情報にはソフトウェア開発に関するソースコードも含まれていた。
  • ハッキングフォーラムで盗んだ情報やネットワークアクセスに関する手口を販売。
  • 販売価格は30万ドル(3300万円相当)
  • Fxmspは2019年4月24日に3社への侵害を行ったと主張していた。
Fxmspについて
  • 英語、ロシア語話者で構成されるハッカーグループ。
  • 報じられたエビデンス(チャット画像)ではキリル文字で行われていた。
  • 2017年頃からアンダーグラウンドコミュニティで活動しAdvIntelはトップクラスと評価。
  • 様々な企業、政府を標的にしたことで知られ、これまでに100万ドル相当の収益を得たとみられる。
  • 外部公開されたRDP、ADを介した攻撃手法が知られている。
  • 最近は大規模な標的を対象にクレデンシャル窃取を目的としたボットを使用。
  • ロシア語圏ハッキングフォーラムに活動が集中していたが、2019年5月11日に投稿、オファーを一斉削除した。
  • FireEyeも2018年10月のUISGCONで[PDF] Fxmspの調査報告を行っている。

Fxmspは3社の侵害について次のコメントをしている。

  • 侵害に関連する調査は主に過去6か月間が対象とされるため、2018年10月から2019年4月までフォーラム上では沈黙していた。
  • ウイルス対策企業はネットワーク内の活動をだれも監視していない。
  • 窃取された情報がWeb上で確認された場合にのみ検出されると確信。
Fxmspが主張する3社から盗んだ情報
  • 以下の製品に関連する機密情報が盗まれた可能性がある。
    • 開発関連の文書
    • 機械学習に関係する分析情報
    • ウイルス対策ソフトのソースコード
    • Webセキュリティソフトウェア(セキュリティプラグイン?)のソースコード
    • そのほかPOS用のウイルス対策ソフト、メール用のアンチウィルス等様々。
  • Fxmspからフォルダのスクリーンショットが証拠として示された。
  • 盗まれたデータは30TB以上に及ぶ。
  • AnyDeskの画面を通じて証拠を示せると主張。
  • 盗まれた情報がWeb上に暴露されたといった情報、報道は5月14日時点で出ていない。

侵害されたとみられる3社

www.bleepingcomputer.com

  • Fxmspにより侵害されたのは次の3社とみられる。
被害を受けたとみられる企業 被害の有無
TrendMicro テストラボへの不正アクセス、一部低リスクの情報流出あり。
Symantec Nortonへの影響なし。
McAfee 5月14日時点で影響確認中。(侵害を否定していない)
  • SC Mediaの取材には4社目の侵害についてもコメントしている。*1
  • 4社目がどこかFxmspから開示されておらず、AdvIntelも把握していない。
(1) TrendMicro

www.trendmicro.com
TrendMicroが発表した声明は以下の通り。

  • 最近確認された声明について積極的な調査を行っている。
  • 単一のテストラボが侵害された。
  • 低リスクのデバッグ関連情報がいくつか盗まれた。
  • 侵害されたラボは隔離済みで、追加情報は現在無し。
  • 現時点でソースコードや顧客情報が盗まれた兆候はない。
  • 中国南京の拠点が被害を受けたとの報道は事実と異なる。

これについて、AdvIntel側のコメント。

  • AdvIntelが最初(2019年4月24日)に連絡したセキュリティベンダ。
  • トレンドマイクロの出した声明に疑問を呈している。
  • Fxmspによる30TB超データへのアクセスや実際のファイル(100MB以上の.symファイル)を証拠として提示できる。

Fxmspがチャットで語っていたTrendMicro内の状況

  • TM社内へは企業内のローカルネットワークへのアクセスを行えた。
  • ネットワーク内で自由にアクセスすることが可能であった。
  • 認証済のnet share、またはRDPを介してのみ横移動することが可能。
  • 販売対象のアクセス方法はTeamViewer、AnyDeskを用いたもの。
  • TM社内のネットワークは巨大であり、各々異なる監視が行われている。
  • 全てのデータを抽出すると1000TBを超え、数か月かかるため危険である。
(2) Symantec
  • AdvIntelから5月8日にパートナーを通じてSymantecへ連絡。
  • その後、2019年5月9日、10日に2回 改善のリクエストを行っている。
  • 一部でSymantec側はAdvIntelからのコンタクトがないと報じられていたが、その後SymantecはAdvIntelのリサーチャーとコンタクトし、影響範囲を確認済。
  • Norton製品の他、顧客への影響は確認されていない。
  • AdvIntelはSymantec社内への無許可のエンティティの有無を判断するには証拠がさらに必要とコメント。
(3) McAfee
  • AdvIntelから5月9日にMcAfeeへ連絡したが返事待ちの状況。
  • 取材に対して、McAfee側は続けて確認中であるとコメント。

AdvIntelについて

  • 調査責任者はYelisey Boguslavskiy氏。
  • 以前はFlashpointなどで働いていた。
  • 2019年3月にFP社を離れ、AdvIntelを設立。*2


更新履歴

  • 2019年5月14日 PM 新規作成
  • 2019年5月15日 AM 続報(4社目の侵害)追記
  • 2019年5月21日 AM トレンドマイクロ社の発表を追記