サイバー救急センターレポート特別編集号

メルマガ登録する

メルマガ登録する

サイバー救急センターレポートは、サイバー救急センターが相談を受けて対応しているインシデントレスポンスやフォレンジック調査の結果に基づいて、直前の四半期のインシデント傾向や対応方法について記載したレポートです。今回は特別編集号として、ひとつの攻撃者グループに関する調査結果に焦点を当てた内容となっています。

エグゼクティブサマリ

わたしたちは様々なサイバー攻撃事案において、攻撃者の侵入作戦、様々な防御回避技術やプログラミング上の癖などを分析し攻撃者を推測します。今回、少なくとも2016年以降ロシア系言語を使用し活動していると推測されるHYDSEVEN（ハイドセブン）と呼べる攻撃者グループが別途存在することを推測するに至りました。

このグループに関する情報は少ないですが日本やポーランドを含む様々な国で特に仮想通貨を狙い攻撃を行っていることがわかっています。

2017年以降、サイバー攻撃による仮想通貨取引所での被害額は8億8千2百万ドルにまで拡大しているとの調査もあり、その多くが北朝鮮を本拠地に置くと推測されているLazarus（ラザルス）の仕業と指摘されています。実際に国連安全保障理事会議長への専門家パネルからの書簡^※でも日本で発生した大型窃取事件への北朝鮮の関与に触れていました。

今回発表するレポートで取り上げたハイドセブンはラザルスと侵入手口では類似する点が数多くあるものの、攻撃に悪用されるマルウェアが異なっています。これまでラザルスがこのレポートで紹介しているマルウェアを使用してきたという報告は確認できていません。

もちろん、何者かがラザルスにみせかけようとしているのか、或いはラザルスが他国の犯行とみせかけようとしているのかは分かりませんが少なくとも技術的観点から明らかにできたことを正確にお伝えすることでみなさまのセキュリティ対策の一助になることを目的としています。

※ Letter dated 1 February 2019 from the Panel of Experts established pursuant to resolution 1874 (2009) addressed to the Chair of the Security Council Committee established pursuant to resolution 1718 (2006)
（https://undocs.org/pdf?symbol=en/S/2019/171）

サイバー救急センターレポート特別編集号の内容

仮想通貨を狙うサイバー攻撃の背後にある影

昨今、仮想通貨（暗号通貨）への関心がますます高まっており、仮想通貨を狙うサイバー攻撃は活発に行われています。
本レポートは、仮想通貨の窃取を目的とした攻撃者グループ「HYDSEVEN」の活動に関して、2016年から2019年の期間に彼らが利用したTTPs（Tactics, Techniques and Procedures）を明らかにしたものです。弊社で確認する限り、2019年6月現在でこのHYDSEVENの活動について言及された情報は少ないですが、日本やポーランドを含む様々な国で活動を行っていることがわかっています。仮想通貨を狙うHYDSEVENへの対策を考える上で、組織内や業界内での注意喚起やセキュリティ対策、攻撃の検知等に本レポートを役立てて頂けますと幸甚です。

訂正箇所（2019年6月19日）
P35
（訂正前）
商用版のv1.6と比較すると、このバージョンでは、コマンドプロンプト実行時の引数に"chcp 65001"が指定されていないことがわかります。

（訂正後）
商用版のv1.6と比較すると、このバージョンでは、コマンドプロンプト実行時の引数に"chcp 65001"が指定されていることがわかります。

お詫びして訂正いたします。
なお、現在公開中の記事は訂正済みのものです。