Google の Threat Analysis Group(TAG)は、月曜日の夜に公開されたブログ記事で、セキュリティ研究者を標的とした現在進行中の攻撃に対する警戒を呼びかけました。Google TAG はブログの中で、攻撃者の動機と、これらの攻撃で使われているさまざまな TTP について説明しています。
Cisco Talos の複数の研究者も、この攻撃に関連すると見られるメッセージを受け取ったことが確認されています。ただし、以下で説明するように、Talos の研究者は悪意のあるファイルを受け取る段階にまでは至りませんでした。セキュリティ研究者にとって特に重要なことは、ベストプラクティスに従ってサンプルと情報を可能な限り厳重に保管し、隔離することです。
シスコや Talos がこのようなキャンペーンの標的になったり、罠として利用されたりするのは、今回が初めてではありません。Talos が 2019 年に発表した調査結果では、偽造されたシスコの求人広告を罠として利用し、標的を悪意のある Web ページに誘導する攻撃について詳細に説明しています。
1 月 11 日に、Talos の研究者の 1 人が、今回の攻撃に関連すると見られるメッセージを受信しています。使われた手口は、Google 社などが発表したものと同じです。注目すべき点は、攻撃者が最初に「あなたは脆弱性の研究に携わっていますか?」と尋ねていることです。
この研究者は、「脆弱性研究に携わっていない」と答えましたが、攻撃者は会話を続行しています。
LinkedIn など、他のソーシャル メディア プラットフォームを利用してセキュリティ研究者とコミュニケーションを取ろうとするケースも確認されていますが、現時点ではそれらの間に関連性があることを示す証拠は見つかっていません。しかしこの攻撃者は、セキュリティ研究者とコミュニケーションを取るために、複数のソーシャル メディア プラットフォームを利用していると考えられます。
また、攻撃者が流暢な英語を使いこなし、研究者のタイムゾーンに合わせて通常の勤務時間内にメッセージを送っている点も注目に値します。攻撃者がメッセージに信憑性を持たせようと注意を払っていることが伺われるからです。
救急医療の分野には、「強い疑いの目」という概念があります。判断が難しい問題を診断するには、目に見えるものを強く疑い、標準的なテストよりも踏み込んで確認を行う必要があります。セキュリティ研究者や CEO といった一部の人々も、それと同様です。攻撃の標的にされるリスクが高いため、他の従業員よりも強い疑いの目を持つ必要があるのです。
研究者は、攻撃者たちに著作物を読まれ、研究内容を把握されているだけでなく、国家的支援を受けた攻撃の標的にされる可能性が高いため、常に警戒を怠らないようにすることが大切です。セキュリティ研究者は、ベストプラクティスに従って常に安全な環境で研究を行うようにしなければなりません。また、攻撃者にバックドアを仕組まれた場合に備えて、サンプルとプロジェクトを別々に保管しておく必要もあります。この種のキャンペーンは予想以上に幅広く進行している可能性があるため、研究者は常に警戒を怠らないようにしましょう。
本稿は 2021 年 01 月 26 日に Talos Group のブログに投稿された「Nation-state campaign targets Talos researchers」の抄訳です。