記事本文(要約)
ロシア支援のサイバー諜報グループ「Laundry Bear」が、2024年9月にオランダ警察のセキュリティ侵害に関与していることが確認されました。この侵害では、警察官の名前、メールアドレス、電話番号などの勤務関連の連絡情報が盗まれました。オランダの情報機関AIVDとMIVDは、このグループが他のオランダの組織も攻撃した可能性が高いと警告しています。調査では、攻撃者が情報スティーラーマルウェアを使ってクッキーを盗み、それを犯罪市場で購入し、パス・ザ・クッキー攻撃を用いてアクセスしたことが判明しました。Laundry Bearは、欧州連合やNATO加盟国を標的に、軍事機器の購入やウクライナへの兵器提供に関する情報を狙っています。Microsoftによると、このグループは「Void Blizzard」とも呼ばれ、主に政府、国防、輸送、メディア、NGO、医療部門を攻撃対象にしています。2024年10月にはウクライナの航空関連組織も侵害しました。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 27 May 2025 07:16:03 -0400
Original URL: https://www.bleepingcomputer.com/news/security/russian-void-blizzard-cyberspies-linked-to-dutch-police-breach/
詳細な技術情報
この文章に基づいて、脅威について詳しく分析し、セキュリティに関する重要な情報を以下に提供します。
CVE番号
直接的に言及されているCVE番号はありません。このため、特定のソフトウェアやシステムの脆弱性云々ではなく、攻撃手法や脅威アクターの活動に焦点が当たっています。
脆弱性の仕組み
この事件では、攻撃者が「Pass-the-Cookie」攻撃を利用しました。これは、ユーザーのセッションを管理するためのクッキーを盗んで、そのクッキーを用いて認証をバイパスし、ユーザーアカウントを不正に利用する方法です。クッキーはインフォスティーラー型マルウェアを利用して取得され、それが犯罪者のマーケットプレイスで販売されていました。
攻撃手法
- Pass-the-Cookie攻撃: 不正に取得したクッキーを使い、ユーザー名やパスワードなしでユーザのセッションを不正に再現。
- スピアフィッシング: 特定の個人や組織を標的とした高度なフィッシング攻撃。
- インフォスティーラー型マルウェア: ユーザーの情報を盗み出すためのマルウェアを利用。
潜在的な影響
- 個人情報漏洩: 複数の警察官の名前、メールアドレス、電話番号、さらに一部の場合には私的な詳細が流出。
- その他の組織への波及効果: 複数のオランダ国内の組織に対する侵害が推定されており、これはEUやNATO加盟国にとってセキュリティ上の重大なリスクを伴います。
- 軍事機密情報への影響: ロシア政府の利益に合致する形で、軍事装備の購入や生産に関する情報の収集を行っており、ウクライナへの武器供給状況にも影響を与える可能性があります。
推奨される対策
- クッキーの管理と保護: セッション管理の際のクッキーの有効期限の短縮や、Secure/HttpOnlyフラグの設定。
- マルウェアの検知と防御: インフォスティーラー型マルウェアへの対策として、最新のアンチウイルスソフトウェアの導入と、定期的なスキャン。
- ユーザー教育とトレーニング: スピアフィッシング攻撃に対する認識と対応方法について、ユーザーに対する教育を実施。
- 多要素認証(MFA)の導入: アカウントアクセスの際、追加の認証手段を用いることで、セッションハイジャックへの防御。
- ログイン履歴の監視: 不審なログインやアクセスを速やかに検知するため、ログイン履歴や認証データのモニタリングを強化。
