2019年10月21日 15時30分セキュリティ

PC遠隔操作ソフト「TeamViewer」を利用したシステムにサイバー攻撃グループがアクセス可能であるとの指摘、中国のセキュリティ企業は否定

by geralt

PCを遠隔操作するためのリモートデスクトップソフトウェア「TeamViewer」が、「APT41」と呼ばれる中国のサイバー攻撃グループに利用されていたことが分かりました。ただし、中国のセキュリティ研究所によると、TeamViewerそのものがハッキングされた事実はなく、数回利用されただけであるとのこと。

[Report] Double Dragon: APT41, a Dual Espionage and Cyber Crime Operation
https://content.fireeye.com/apt-41/rpt-apt41

APT41は、日本を含む15の国・地域で活動している中国のサイバー攻撃グループです。2012年から金銭目的での活動が確認されていて、その後、中国の利益になるような知的財産の窃取も行っていることがわかっています。

2019年10月11日(金)に開催された、サイバーセキュリティ企業・FireEyeによるCyber Defense Summit 2019において、そのAPT41に関する講演が行われました。

Last talk of the day: All things APT41
With Ray Leong and the bearded wonder @MrDanPerez #FireEyeSummit pic.twitter.com/QbkeIcE0fw
— Christopher Glyer (@cglyer) October 10, 2019

講演の中では、APT41のさまざまな攻撃履歴が示されました。

APT41 LOVES software supply chain compromise including
CCleaner, Netsarang, league of legends, fifa online 3...etc

Out of these CCleaner likely enabled them access to virtually any org in the world#FireEyeSummit pic.twitter.com/DKPV98Syp8
— Christopher Glyer (@cglyer) 2019年10月10日

その事例の1つが、2017年に発生したPC最適化ツール「CCleaner」のマルウェア混入でした。

PC最適化ツール「CCleaner」を踏み台にした標的型攻撃のマルウェア混入ルートが判明 - GIGAZINE

by download.net.pl

この流れで明かされたのが、APR41はTeamViewerの開発企業を“乗っ取り”、TeamViewerのインストールされたシステムに対してアクセス可能であるという話です。2017年から2018年にかけて複数件の侵入が確認されているとのことで、相当数の端末が危険にさらされていることが示唆されています。

APT41 compromised company behind TeamViewer - which enabled them to access *any* system with TeamViewer installed ????????#FireEyeSummit pic.twitter.com/FMTQSBRQ5D
— Christopher Glyer (@cglyer) 2019年10月10日

ただ、中国のインターネットセキュリティ企業・北京華順信安科技有限公司の傘下の研究所・白帽滙安全研究院はこれに反論。

TeamViewer疑似被入侵事件分析|NOSEC安全讯息平台 - 白帽汇安全研究院
https://nosec.org/home/detail/3038.html

白帽滙安全研究院のブログによれば、発表資料ではTeamViewerが侵入ポイントの役割を果たしていて、サイバー攻撃の中で数回利用されたことはわかるものの、TeamViewerそのものがハッキングを受けたとは示されていないとのことです。

この記事のタイトルとURLをコピーする