COVID-19パンデミックの発生当初、IBM® Security X-Forceは、ワクチンのサプライチェーンを動かしている組織に対するCOVID-19のサイバー脅威を追跡することに特化した脅威インテリジェンス・タスク・フォースを結成しました。これらの取り組みの一環として、私たちのチームは最近、新型コロナウイルス感染症コールド・チェーンに関連する組織を標的としたグローバルなフィッシング・キャンペーンを発見しました。コールド・チェーンは、保管中および輸送中に温度管理された環境でのワクチンの安全な保存を保証するワクチン・サプライチェーンの構成要素です。
私たちの分析は、この計算されたオペレーションは2020年9月に開始されたことを示しています。新型コロナウイルス感染症フィッシング・キャンペーンは6つの国または地域にまたがり、ワクチンアライアンスのコールド・チェーン設備最適化プラットフォーム（CCEOP）プログラムであるGaviに関連すると思われる組織を標的にしました。このブログで詳しく説明します。このキャンペーンでは確固たるアトリビューションを確立することはできませんでした。しかし、幹部や主要な世界組織を標的とした精密な攻撃が行われたことは、国家がもたらすトレードクラフトの潜在的な特徴を秘めています。
IBM® Security X-Forceによるこのアクティビティーの分析の詳細は次のようなものです。
IBM® Security X-Forceは、責任ある開示プロトコルに従い、この対象となるオペレーションについて適切な団体および当局に通知しています。
IBM® Security X-Forceは、CCEOPプログラムを支援する複数の業種・業務、官公庁・自治体、グローバルパートナーにわたるターゲットを明らかにしました。CCEOPは2015年にGavi、ワクチンアライアンス、国連児童基金（UNICEF）およびその他のパートナーによって立ち上げられました。その目的は、最終的にワクチンのサプライチェーンを強化し、予防接種の公平性を最適化し、感染症の発生に対するアジャイルな医療対応を確保することです。さまざまな種類の医薬品、特にワクチンは、安全に保存するために温度管理された環境での保管と輸送が必要です。
CCEOPイニシアチブは、当然のことながら新型コロナウイルス感染症のワクチンの配布を促進するための取り組みを加速させています。世界的な提携のいずれかの部分内で侵害が発生すると、多数のパートナーのコンピューティング環境が危険にさらされる可能性があります。
なりすましフィッシングEメールは、世界ヘルス機関（WHO）、UNICEF、その他の国連機関と連携して、現在CCEOPプログラムの認定サプライヤーとして活動している中国の企業、Haier Biomedical社の経営幹部から送信されたように見せかけます。攻撃者が戦略的にHigher Biomedical社を選択したのは、同社が世界唯一の完全なコールド・チェーン・プロバイダーであると謳われている可能性が高いです。同様に、これらのEメールを送信しているとされているHaer Biomedical社の従業員は、Eメール署名ブロックに記載されている役割に基づいて、Haer Biomedical社のコールド・チェーン配布業務に関連付けられている可能性があります。
新型コロナウイルス感染症フィッシング・キャンペーンが成功したかどうかは、当社の分析では明らかではありません。しかし、Haer Biomedical社が現在、ワクチン輸送で果たしている役割は確立されています。新型コロナウイルス感染症ワクチンの配布でもその役割が果たされていると考えられるため、意図するターゲットが送信者の信頼性を気にすることなくインバウンドEメールに関与する可能性が高まります。
フィッシングEメールの件名は、CCOPプログラムに関連する見積依頼書（RFQ）を装っていました。Eメールにはローカルで開く悪意のあるHTML添付ファイルが含まれており、受信者にファイルを表示するために認証情報を入力するよう求めます。このフィッシング技術は、攻撃者がセキュリティー研究チームや法執行機関によって発見され、削除される可能性のあるフィッシング・ページをオンラインで設定することを回避するのに役立ちます。
IBMは、このキャンペーンの目的は、将来の不正アクセスを目的として認証情報を収集することであった可能性があると推定しています。そこから、攻撃者は社内のコミュニケーション、新型コロナウイルス感染症ワクチンの配布プロセス、方法、計画についての洞察を得ることができます。これには、官公庁・自治体がワクチンを供給するベンダーに配布するために使用する予定のインフラストラクチャーに関する情報も含まれます。しかし、攻撃者のアクセスは、クリティカルな新型コロナウイルス感染症ワクチンに関する情報を超えて、被害者の環境の奥深くまで広がる可能性があります。ネットワークを横方向に移動し、ステルス状態を維持すると、サイバースパイ活動を実行し、将来のオペレーション用に被害者の環境から追加の機密情報を収集することができます。
図1：新型コロナウイルス感染症ワクチンのサプライチェーンに関連する組織の幹部に送信されたフィッシングEメール。
このキャンペーンの対象となる組織の専門化とグローバルな分布を考慮すると、攻撃者がコールド・チェーンのクリティカルなコンポーネントと参加者を密接に認識している可能性が高くなります。
帰属は現時点では不明ですが、精度の高い標的と、対象となる特定組織の性質は、国家が行う活動を示している可能性があります。キャッシュアウトへの道筋がなければ、サイバー犯罪者は、多数の標的が相互に連携し、世界規模で分散した、計算されたオペレーションを実行するために必要な時間と参考情報を費やす可能性が低くなります。同様に、ワクチンの輸送に関する洞察は、闇市場の商品につながる可能性がありますが、生命と世界経済に影響を与える可能性のあるワクチンの購入と移動に関する高度な洞察は、高価値で優先的な国家である可能性があります。状態ターゲット。
2020年の初めに、IBM® Security X-Forceは、世界的な新型コロナウイルス感染症PPEサプライチェーンを標的とした活動を発見しました。同様に、ワクチンの世界的な競争が激化する中で、コールド・チェーンが世界中の国家的な収集要件のリストの最上位に入る魅力的なターゲットである可能性が高くなります。
IBM® Security X-Forceは、Enterprise Intelligence Managementプラットフォーム上で新型コロナウイルス感染症サプライチェーン・コミュニティーをホストし、脅威情報を共有し、最新の脅威インテリジェンスに基づいて対応できるよう準備が整っています。以下は、このブログで概説している開発の中でサイバー準備を強化するための組織のための推奨事項です。
もし組織が即時のインシデント対応が必要な場合は、IBM® Security X-Forceの米国ホットライン1-888-241-9812までご連絡ください。グローバルホットライン（+001）312-212-8034 X-Forceの脅威インテリジェンスとインシデント対応サービスについて詳細はこちらをご覧ください。
