韓国を標的としたサプライチェーン攻撃の実態

セキュリティニュースが報じた、韓国の建設会社、公共機関、および地方政府を標的とした2つのサプライチェーン攻撃。要約と分析を日本語訳でご紹介します。

攻撃の概要

第1の攻撃では、有効な証明書で署名されたトロイのインストーラーが使用されました。このインストーラーは、アンチウイルスチェックをバイパスし、マルウェアを配備。マルウェアはスクリーンショットを撮影し、ブラウザに保存されたデータを盗み、さらなるマルウェアを展開しました。

第2の攻撃では、国内VPNソフトウェアの通信プロトコルの脆弱性が悪用されました。パケットをスプーフィングし、正当なサーバー更新として誤認識させ、マルウェアをインストールしたとみられています。

主な脆弱性

今回の攻撃で明らかになった主な脆弱性は、トロイのインストーラーとVPNソフトウェアの通信プロトコルの脆弱性です。特に、有効な証明書で署名されたトロイのインストーラーの悪用が危険をもたらすことが分かりました。

攻撃方法

第1の攻撃では、アンチウイルスチェックをバイパスする手口が使われました。有効な証明書で署名されたトロイのインストーラーは、インストール後、マルウェアを配備し、スクリーンショットを撮影し、ブラウザに保存されたデータを盗み、さらなるマルウェアを展開しました。

第2の攻撃では、VPNソフトウェアの通信プロトコルの脆弱性が悪用されました。パケットをスプーフィングし、正当なサーバー更新として誤認識させ、マルウェアをインストールしたとみられています。

影響

これらの攻撃により、機密データの盗難、クレデンシャル、Cookie、ブックマーク、履歴、GPKI証明書、SSHキー、Sticky Notes、およびFileZillaデータが含まれます。これらの盗まれたデータは、アイデンティティー・セフト、金融詐欺、スパイ活動などの悪意の活動に使用される可能性があります。

緩和/対策

リスクにあるウェブサイトのオペレーターは、韓国インターネット＆セキュリティーエージェンシー（KISA）からセキュリティー・インスペクションを依頼すべきです。厳しいソフトウェア配布承認ポリシーを実施し、管理者認証を最終的な配布ステージで要求すべきです。また、タイムリーなソフトウェアおよびOSのアップデート、継続的な従業員セキュリティー・トレーニング、および政府サイバーセキュリティー・アドバイザリーの監視により、新たな脅威を早期に特定し、停止することができます。