悪性CrowdStrikeドメインの分析:影響を受けるのは誰か、今後何が起こり得るのか
編集・協力:Tricia Howard
編集・修正:Maria Vlasak
エグゼクティブサマリー
Akamaiの研究者は、2024年7月19日に発生したCrowdStrikeのインシデントの後、同インシデントへの対応を支援すると称して新たに作成された悪性ドメインが180以上あることを明らかにしました。そして、その数は増え続けています。
CrowdStrikeのインシデントに関連する悪意のあるドメインのうち、最もアクセス数の多かったものを特定し、ブロックリストへの登録やさらなる分析に活用できるセキュリティ侵害インジケーター(IOC)のリストを作成しました。
この記事で取り上げる悪性ドメインの1つは、関連キーワードの上位200,000サイトにランクインしていました。
最も影響を受けた業種は非営利団体および教育機関であり、合計すると、観測された攻撃トラフィックの20%以上を占めています。
このブログ記事では、現在行われている詐欺の種類をいくつか取り上げ、その標的について調査します。また、このインシデントの影響を受ける組織と個人の両方に緩和のためのヒントを提供します。
はじめに
2024年7月19日(金)、CrowdStrike Falconのコンテンツがアップデートされた後、大多数のデバイスでブルースクリーンが発生し、世界中で大きな話題となりました。このアップデートがトリガーとなって、Windowsホストでバグチェックが行われ、ブルースクリーン(Blue Screen of Death、BSOD)が世界中で発生し、さまざまな場所で何十億件ものシステム障害が発生しました。
世界中で850万台のデバイスが影響を受け、航空、政府、ヘルスケアなどの重要なサービスを含むほぼすべての業界がこの障害の影響を受けました。これにより、現実世界に大きな影響が生じ、その一部はインシデント発生後数日間も続きました。
ニュースになるようなイベントが発生するとよくあることですが、脅威アクターはこのアップデートによって発生した広範な混乱に乗じて、すぐにその状況を悪用しようとしました。このシステム障害の規模は、それに関する報道の規模に表れており、落ち着きを失った多数のユーザーがどこかに解決策がないかと探し回ることになりました。
脅威アクターには絶好の機会
脅威アクターは、このインシデントをソーシャルエンジニアリングの絶好の機会と捉え、影響を受けたCrowdStrikeの顧客を標的とした詐欺サイトを迅速に構築し、情報の窃取やマルウェアの拡散を行いました。
Akamaiの世界中のエッジネットワークで観測されたデータを分析することにより、このインシデントを取り巻く詐欺に使用されている上位の悪性ドメインを特定しました(図1)。これまでに確認された脅威は、ワイパー、情報窃取型マルウェア、リモート・アクセス・ツール(RAT)など、多岐にわたる分野に及んでいます。
図 1:CrowdStrike アシスタンスに関連しているとされる上位の悪性ドメイン
これらの上位ドメインはそれぞれ、ほぼ同じ市場シェアを占めています。これらのドメインの大半は[.]comの最上位ドメインをもっており、これは普遍性をもつドメインであることから、正当であるかのような印象を抱かせます。そのようなドメインのいくつかには、「bsod」や「microsoft」などの一般的なキーワードが含まれています。これらは、知識を求めた被害者が情報収集のために利用したであろう一般的な補助的検索キーワードなのです。
誰もが被害者になる可能性がある
このインシデントの範囲が広いことは、攻撃データが特定の業界に集中していないことから明らかです(図2)。このインシデントの影響を大きく受けた業界の中には、あまりサイバー攻撃の標的となることのない業界、特に教育機関や公共部門があることは意外でした。
図 2:攻撃データの業界別内訳
非営利団体と教育機関:不運な標的
ハイテク業界や金融サービス業界がゼロデイ攻撃の主な標的となるのはもはや日常的ですが 、ここでは29%以上を占める非営利団体と教育セクター、および公共部門が特に目立っています。この業界は、復旧作業の面でも大きな影響を受けています。1つのキャンパスにおける学生向けの管理対象デバイスの数は、教育機関の規模によっては数千台に及ぶことがあります。
さらに、教育セクターは、テクノロジーに精通していない人も含め、さまざまな技術スキルレベルの人に依存しています。IT予算が増加しているにもかかわらず、教育機関のセキュリティチームは小規模であることが多く、こうした環境を保護しようとすることは、至難の業のようにも思えます。ソーシャルエンジニアリングの経験のある攻撃者がこの弱点を認識して悪用することにより、大量のトラフィックが発生する可能性があります。
キャンペーンごとにフィッシングインフラを特定
これらのフィッシング攻撃は、企業環境に匹敵するスキルを持つプロの脅威アクターによって実行される場合、レジリエントなインフラの一部となっていることが一般的です。このような高度なキャンペーンはフェイルオーバーと難読化のメカニズムをもち、素早く体裁を変更できます。このキャンペーンで観測されたドメインの1つは、コロナ禍を利用した既知の悪性ソースに関連しています。
さらに、これらのサイトには、ユーザーがセキュリティと関連付けているSSL認証やITサポートなどの信頼を築くための仕組みが組み込まれていることが多くあります。この記事の公開時点で、180以上の異なるドメインが特定されており、それらはすべて7月19日から7月21日の間に登録されています。修復プロセスが続いている最中にも、その数は増加する可能性があります。
影響を受けた上位ドメイン
これらのサイトの影響力の大きさは、そのサイトに向かうトラフィックの量によって証明されています。AkaRankによると、これらのサイトは数百万回の閲覧数を獲得しており、一部は特定の期間における関連キーワードのグローバルランキングでトップ200,000ドメイン以内に入っています。
Akamaiは最もトラフィックの多かったドメインのいくつかを分析して、手口を確認しました。そして、サイトがどのように正当性を装っているかに基づいて、偽のITサービス、偽のソリューション、偽の法的サポートに分類しました。注:より高度な悪性サイトは、他の手口(「電話サポート」や実際のCrowdStrikeサイトへのリダイレクトなど)によって、疑いをもたないユーザーとの信頼関係をさらに高めようとする場合もあります。
偽のITサービス
CrowdStrikeのアップデートが引き起こした広範なシステム障害発生後、Akamaiは、ドメイン名に「crowdstrike」という単語を含み、CrowdStrikeのタイポスクワッティングであるドメインがいくつか作成されたことに気付きました。これらのドメインは、被害者からの問い合わせに対して、この問題のテクニカルサポートを提供すると称していました(図3)。
図 3:偽のサービス詐欺の例
このような詐欺サイトは、迅速な復旧を支援できるITの専門家を装っており、その口調も同様に切迫感に満ちています。緊急感を出すことによって、訪問者に個人情報の提供を促します。これは、フィッシングのセットアップによくある特徴です。ここでの目的は、ユーザーの入力から機微な情報を直接窃取することです。
偽のソリューション
人の手を借りずにすぐに修正したいと考えている被害者を標的とした、偽のソリューションキャンペーンがあります(図4)。このキャンペーンは、ボタンをクリックするだけでダウンロードできる偽の修復スクリプトや実行可能ファイルによる迅速な修正に着目したものです。
図 4:偽のソリューションキャンペーンのスクリーンショット
指示にざっと目を通すと、正当な修正のように見えます。ファイル名は「CrowdStrike」で、現在発生している問題に言及し、適当な数の手順を示しています。何も知らない被害者は、仕事を再開するために、自分の環境に自分の手でいとも簡単にマルウェアを侵入させてしまう可能性があります。
偽の法的サポート
悪性キャンペーンがすべて技術的な側面にフォーカスしていたわけではなく、訴訟の観点からアプローチしたキャンペーンもあります。このようなキャンペーンは、CrowdStrikeのアップデートが引き起こした広範なシステム障害に関連する法的支援を提供するという名目で、ユーザーから個人情報を収集しようとしました。図5の例のランディングページは、法律事務所のロゴとCrowdStrikeのロゴを掲載して信頼性を高めています。
図 5:悪性の法律フィッシングサイト
このIOC(crowdstrikeclaim[.]com)は、大規模なフィッシングインフラの一部である可能性が高いという点で際立っていました。Akamai Security Intelligence Response Teamはこの分析の一環として、このドメインに悪性であることが判明しているFacebook ID(covid19-business-help.qualified-case[.]comへのリンクに使用されていたID)が埋め込まれていることを特定しました。このサイトにはさらに、約40の他のWebサイトにリンクする別のFacebook IDも埋め込まれています。
緩和策
システム障害の影響を受け、情報を求めている場合は、CrowdStrikeやMicrosoftなどの信頼できるソースを参照することが推奨されます。他のソースにはより新しい情報があるように見えるかもしれませんが、正確ではない場合もあれば、悪性の目的のあるサイトである場合もあります。
個人の場合
CrowdStrikeのアップデートが引き起こした広範なシステム障害についての支援を提供すると称するページにたどり着いた場合、正当性を確認する方法がいくつかあります。
HTTPS経由でアクセスする際は、ドメインの証明書と発行元を確認する
クレジットカード番号、社会保障番号、銀行口座情報などの機密情報の入力を求めるドメインは、悪質なサイトである可能性が高いことを覚えておく
たとえCrowdStrikeに似たドメインから届いたものでも、問題解決を謳うメールの添付ファイルは絶対に開かない
組織の場合
このインシデントの影響に対処しているセキュリティ専門家にも、修復を支援し、さらなる露出を抑えるために役立つ方法がいくつかあります。
ラテラルムーブメント(横方向の移動)のギャップ分析またはアドバーサリーエミュレーションを実行します。金銭目的の攻撃者は、ランサムウェアを環境にドロップする機会をより多く見出します。これはCVEの悪用ではありませんが、セキュリティスタックの重要な部分を把握している攻撃者が技術的な影響を及ぼす可能性があります。現在の脅威状況を把握するために、ギャップ分析やアドバーサリーエミュレーションを実施することをお勧めします。
既知のIOCおよび関連するIOCをブロックします。このキャンペーンに関連する既知のIOCについては、作成したリストを含め、信頼性の高い情報ソースが多数存在します。このリストが自社のリスク管理分析と一致する場合は、ドメインを完全にブロックするか、DNSシンクホールを設定し、悪性ドメインとの通信を阻止します。
結論
すべてのデバイスの対策が完了しても、この問題に関連するフィッシング攻撃は増加すると思われます。ソーシャルメディアをスクロールするだけでも、攻撃者はどのブランドが最も感情の高まりを生み出していて、どのブランドがなりすましによって悪性の利益を得るのに適しているかを把握できます。
これが攻撃者のやり方であるということを覚えておくことが重要です。悪性キャンペーン活動は、私たちが正当な企業で行っている活動と同じように機能します。被害者は攻撃者の「顧客」であり、この記事で紹介したさまざまな手口は、彼らがいかに顧客に「通じている」かを示しています。彼らは、最終的に自分の銀行口座にお金が入ってくるように、ポートフォリオを分散させる効果的な方法を知っているのです。
今後の影響
このインシデントの詳細が公開されたことで、攻撃者は特定のターゲットの技術スタックをより深く理解できるようになったことも注目すべき点です。これは、将来Falcon製品にCVEが発見された場合に関係してくる可能性があります。攻撃者は高度化する一方であり、テクノロジースタックのパズルのピースを1つ手に入れるたびに、そのパズルは解きやすくなっています。
詳細はこちら
Akamai Security Intelligence Group(SIG)は、このような脅威の監視と報告を継続し、お客様やセキュリティコミュニティに広く情報を提供していきます。SIGで行われているすべての活動については、調査専用ページをご覧ください。また、最新の情報をリアルタイムで入手するには、X(旧Twitter)でAkamaiをフォローしてください。