「偽SNSアカウント」で信用させてターゲットの情報を盗み出すサイバー攻撃「NEWSCASTER」とは？

By kinikkin reims

世界各国の200人以上の専門家で構成されたサイバーセキュリティのトップ企業「iSIGHT Partners」は、SNSや偽ニュースサイト「NEWSCASTER」によるアメリカ・イギリス・イスラエルをターゲットとしたサイバー攻撃について報告書を公表しました。偽のSNSアカウントで民間の重要人物・米軍・外交官・政治家・ワシントンD.C.エリアのジャーナリスト・米シンクタンク・防衛システムの請負業者などを狙って情報を盗み出す、といった手口が使われています。

NEWSCASTER - An Iranian Threat Inside Social Media - iSIGHT Partners
http://www.isightpartners.com/2014/05/newscaster-iranian-threat-inside-social-media/

企業および政府のサイバー攻撃対策を先導するセキュリティ企業iSIGHT Partnersは、イランを拠点としたFacebook、Twitter、LinkedIn、Google＋、YouTube、BloggerなどのSNSの偽アカウントを利用するサイバー・スパイ活動について発表しました。これらの活動は「NEWSCASTERネットワーク」と呼ばれており、2011年から2014年現在まで継続中とのことです。

By Gavin Llewellyn

サイバースパイたちはSNSで報道・政府・防衛システム関係者を装った精巧な十数人の偽アカウントを作成しており、スパイ組織が作成した「NEWSCASTER(newsonair.org)」と呼ばれる盗作ニュースで更新している架空ニュースサイトを使うことで信憑性を作り出しています。スパイはターゲットとSNS上の偽アカウントを通じて親しくなることで、公開されていない所在地・活動・交友関係・家族情報などを日々のアップデートから盗み出しているとのこと。また、ターゲットのアカウントは「スピアフィッシング詐欺」の攻撃対象となり、偽ログインページを表示させて認証情報を盗み出すことや、偽ログインページからマルウェアを送るといったサイバー攻撃が行われています。

数年にわたる調査の結果、これらのスパイ活動が行われる時間パターンはイランの首都であるテヘランの一般的な労働時間と一致していることや、newsonair.orgのドメイン登録地がテヘランであることからイランのスパイ組織によるサイバー攻撃であると、iSIGHT Partnersが報告。

iSIGHT Partnersはスパイ組織の狙いを「1：SNSによる政府要人や産業リーダーのコネクション作成」「2：ターゲットからの情報を元にした兵器システムの開発および米軍の動向偵察」「3：今回のような新しいサイバー攻撃方法の開発」と推測。SNSのログイン認証情報が盗み出されたことまでは確認されているのですが、多くの人が類似するパスワードを使い回すことがあるため、ログイン認証情報を使って別のシステムにアクセスして情報を盗むことも可能であり、どのような情報が盗み出されているか正確には判明していない状況です。

以前にも中国拠点のSNSを使ったサイバー・スパイ活動をiSIGHT Partnersが突き止めましたが、NEWSCASTERネットワークのような長期間にわたるスパイ活動は他に類を見ません。高度なテクノロジーを使ったわけではないものの、粘り強い忍耐力によって成功を収めたと見られています。組織の全貌や主導者およびイラン政府の関与などは今のところわかっていませんが、iSIGHT Partnersは、SNS上で知らない人や道の組織とコンタクトをとらないように警告しています。

By Robert S. Donovan