metamorworks via Getty Images

米マイクロソフトのThreat Intelligence Centerによると、ロシア政府に関連するハッキンググループがインターネット機器のセキュリティ脆弱性を悪用し、企業のネットワークにまで侵入している可能性があるようです。センターの研究者は、VoIP電話、ネットワークプリンター、ビデオ再生機器などのIoTデバイスへのハッキングの試みを発見したと発表しました。この攻撃はロシア軍の情報機関GRUとの関わりが深いStrontiumもしくはFancy Bear、APT28などと称されるハッキンググループが実行したとみられます。また、ハッキングされた側はIoT機器の大半をデフォルト設定で使用しており、グループは面倒なパスワード解析すら行う必要なく、いとも簡単にネットワークの概要を知ることができたと報告されています。

このグループは2016年に発生した米民主党全国委員会(DNC)をはじめ米国の政府関係者へのハッキング行為をくり返して北とされ、今年春にはEUの選挙にも妨害を加えようとしたと言われています。

今回の攻撃に関してはマイクロソフトが攻撃の初期段階で発見したため、ハッキンググループが何をしようとしていたのかはわかっていません。いかし、侵入者がIoT機器を侵入の入り口にしてそこからネットワーク調査ツールtcpdumpを実行し内部を探索、他の脆弱なIoT機器からネットワーク管理者としてのグループ権限を取得していたことが判明しています。さらにトラフィック分析からはハッキングに使われたIoTデバイスが外部のC2(Command and Control)サーバーと通信していることがわかったとのこと。

マイクロソフトは、Strontiumの標的にされたと考えられる1400の組織に対し"国からのお知らせ"として通知をしたと述べています。その多くは政府関連団体や、IT/軍事/防衛/医学/教育/エンジニアリングの各分野の企業だった一方、全体の1/5は非政府組織やシンクタンク、政治的関連のある団体だったと報告しています。そのため、公的機関や企業に対しては、IoT機器のセキュリティ設定を見直し、積極的にネットワークの保護をするよう呼びかけています。

ちなみに、マイクロソフトはパスワードいらずなオンライン認証の標準化を目指す団体 FIDO Alliance にもBoard Levelメンバーとして参加しています。