米政府のサイバーセキュリティ機関は、イラン政府の支援を受けたハッカーが、約1年前に修正された脆弱性「Log4Shell」に対するパッチを当てていなかった連邦政府機関に侵入したと発表した。
サイバーセキュリティ・インフラセキュリティ庁は木曜日に発表した警告の中で、連邦文民行政機関(FCEB)が2月初めにイラン政府のハッカーによって侵入されたと述べた。
CISAは、侵害を受けたFCEB機関の名前を明かさなかったが、そのリストには国土安全保障省、財務省、連邦取引委員会などが含まれている。また、CISAの広報担当者マイケル・フェルドマン氏は、TechCrunchが取材した際に質問への回答を拒否した。
CISAは、数ヶ月後の4月、連邦政府機関のネットワーク上で疑わしい活動が初めて確認されたと述べた。これは、連邦政府機関の民間ネットワークの保護に使用されている政府運営の侵入検知システム「Einstein」を用いた遡及分析中に行われたものだった。CISAは、ハッカーがパッチ未適用のVMware Horizonサーバー上で、広く普及しているオープンソースのログ記録ソフトウェア「Log4j」の重大なゼロデイ脆弱性「Log4Shell」を悪用し、管理者レベルおよびシステムレベルのアクセス権で組織のネットワークへの初期アクセスを獲得したことを発見した。
VMwareは12月にHorizonサーバ向けのセキュリティパッチをリリースしました。しかし、今回の侵害は、CISAがすべての連邦民間機関に対し、12月23日までにLog4Shellの脆弱性の影響を受けるシステムにパッチを適用するよう命じていたにもかかわらず発生しました。
CISAは、組織のネットワークに侵入した脅威アクターが、ハッカーが侵入したコンピュータ上で仮想通貨をマイニングするために一般的に悪用するオープンソースの暗号資産マイニングソフトウェアXMRigをインストールしたことを確認しました。攻撃者はまた、オープンソースの認証情報窃取ツールMimikatzもインストールし、パスワードを収集して新しいドメイン管理者アカウントを作成しました。この新しく作成されたアカウントを使用して、ハッカーはWindows Defenderを無効化し、複数のホストにNgrokリバースプロキシを埋め込み、将来のアクセス維持を図りました。
攻撃者は、不正なドメイン管理者アカウントが検出され終了した場合に備えて、バックアップとして複数のホスト上のローカル管理者アカウントのパスワードも変更しました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ハッカーが米国連邦政府機関を標的にした理由は不明です。組織のネットワークへの広範なアクセスは、スパイ活動だけでなく破壊的な攻撃にも利用される可能性があります。
CISAは、今回の侵害が特定のAPT(高度で持続的な脅威)グループによるものとは断定していませんが、ネットワーク防御担当者が同様の侵害を検知し、防御できるよう、侵害の痕跡(IOC)を公開しました。CISAはまた、VMwareシステムにLog4Shell対策パッチをまだ適用していない組織は、既に侵害を受けていると想定し、ネットワーク内で悪意のある活動の調査を開始するよう勧告しています。
同庁はまた、組織に対し、すべてのソフトウェアを最新の状態に保ち、ユーザーが既知の侵害されたパスワードを使用しないよう実装し、防止するよう強く求めている。
FTCはLog4jの欠陥を修正しない組織に対して法的措置を取ると警告
トピック
カーリー・ペイジはTechCrunchのシニアレポーターとして、サイバーセキュリティ分野を担当していました。それ以前は、Forbes、TechRadar、WIREDなどのメディアに10年以上寄稿し、テクノロジー業界で活躍していました。
カーリーに安全に連絡するには、Signal +441536 853956 にご連絡ください。
バイオを見る
