北朝鮮関連とされる攻撃グループ「ScarCruft」が、Zoho WorkDriveとUSB経由のマルウェアを組み合わせ、いわゆるエアギャップ(物理的に外部ネットワークと分離された環境)への侵入を図っていると報告されています。オンラインとオフライン双方の経路を活用する高度な手法が確認されており、機密性の高い組織への影響が懸念されます。
The Hacker News:ScarCruft Uses Zoho WorkDrive and USB Malware to Breach Air-Gapped Networks
この記事のポイント
影響のあるシステム
- Zoho WorkDriveを利用している組織環境
- USBメモリの持ち込み・利用がある業務端末
- エアギャップ(物理分離)されたネットワーク環境
- 機密情報を扱う政府機関・研究機関・防衛関連組織など
推奨される対策
- Zoho WorkDriveなどクラウドストレージの利用状況とアクセス権を見直す
- USBデバイスの使用制限や持ち込み管理を徹底する
- エアギャップ環境でもマルウェアスキャンを定期的に実施する
- ログ監視と異常検知体制を強化する
- 標的型攻撃を想定したインシデント対応訓練を行う
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- ScarCruft:北朝鮮関連と指摘されているサイバー攻撃グループの名称です。
- エアギャップ:外部ネットワークから物理的に分離されたIT環境を指します。
- Zoho WorkDrive:Zohoが提供するクラウド型ファイル共有サービスです。
- APT:高度で持続的な標的型攻撃(Advanced Persistent Threat)の略称です。
オンラインとオフラインを組み合わせた侵入経路
報道によると、ScarCruftはZoho WorkDriveのようなクラウドストレージサービスを活用し、マルウェアの配布やデータのやり取りを行っていたとされています。クラウドサービスは正規の業務ツールとして広く利用されているため、通信が不審と気づかれにくい点が特徴です。攻撃者はこうした正規サービスを経由することで、セキュリティ監視を回避しようとした可能性があります。
さらに、USBデバイスを介してマルウェアを持ち込み、物理的に分離されたネットワーク環境へ感染を拡大させる手法も確認されたと報告されています。エアギャップ環境は外部から直接侵入できない設計ですが、可搬媒体を通じた内部侵入という古典的ながら有効な手段が改めて悪用されていると考えられます。
エアギャップ環境へのリスク拡大
エアギャップ環境は、機密情報や重要インフラを守るために採用されることが多い構成です。しかし今回の事例は、物理的分離のみでは十分ではない可能性を示唆しています。USBメモリなどの外部記憶媒体は、データ移送のために例外的に利用されることがあり、その運用ルールが緩い場合、攻撃の突破口となるおそれがあります。
報告では、オンライン側で感染した端末とオフライン環境を橋渡しする形でマルウェアが展開された可能性が指摘されています。このような多段階の攻撃では、初期侵入から情報窃取までに時間をかけ、検知を回避しながら活動を継続する傾向があります。標的が限定されている場合でも、手口自体は他組織に転用される可能性があります。
日本の組織が見直すべき防御策
国内の政府機関や研究機関、製造業などでエアギャップ環境を運用している場合、USBデバイスの管理体制を改めて点検することが重要です。持ち込み制限や専用検査端末での事前スキャンなど、物理媒体を前提とした防御策を強化する必要があります。
また、クラウドストレージの利用に関しても、アクセス権の最小化や不審なファイル共有の監視を徹底すべきです。エアギャップだから安全と過信せず、オンライン環境との接点をすべて洗い出すことが求められます。高度な標的型攻撃は複数の経路を組み合わせる傾向があるため、技術対策と運用ルールの両面から防御を再構築することが、被害抑止につながると考えられます。
