ロシアのハッカー、CentreonのIT監視システム狙った攻撃に関与か--フランス当局

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 佐藤卓 高橋朋子 (ガリレオ)2021年02月16日 12時40分

 フランスのサイバーセキュリティ当局は、CentreonのIT監視ソフトウェアを標的とする攻撃キャンペーンで、このソフトウェアを利用するフランスの複数の組織の内部ネットワークに影響があったことを明らかにした。攻撃は約3年にわたっており、ロシア軍と関係があるとされるハッカー集団Sandwormが関与していた可能性があるとしている。

Centreon
提供:Centreon

 フランスの国家情報システムセキュリティ庁(ANSSI)は現地時間2月15日、攻撃の詳細を記した技術レポートを公開した。

 ANSSIは、「この攻撃は、主に情報テクノロジープロバイダー、特にウェブホスティングプロバイダーに影響した」と述べた。「最初の被害者は、2017年下旬に侵入された。このキャンペーンは2020年まで続いた」(ANSSI)

 被害を受けたネットワークへのエントリーポイントは、Centreonと関係があるとみられる。フランス企業Centreonが開発したITリソース監視プラットフォームだ。SolarWindsの「Orion」プラットフォームと似た機能を持つ製品だ。

 ANSSIは、被害に遭ったシステムで、ネットワークにつながっている複数のCentreonのサーバーにウェブシェルの形態でバックドアが配備されているのを発見した。バックドアは、P.A.S.ウェブシェルのバージョン3.1.4だと特定された。また、同じサーバーに、「Exaramel」という別のバックドアと同一のバックドアが見つかったという。

ANSSI
提供:ANSSI

 ANSSIは、これらの攻撃と、サイバーセキュリティ業界でSandwormの名で知られる高度サイバー攻撃(APT)グループとのつながりを見いだそうとした。

 米司法省は2020年10月、このグループによる組織的なサイバー攻撃に関与したとして、ロシア軍関係者6人を起訴している。同省は、ロシア軍の情報機関であるロシア軍参謀本部情報総局(GRU)の74455部隊が、Sandwormによる一連のAPTに関与したとしていた。ハッカーらは、ランサムウェア「NotPetya」、ウクライナの停電を引き起こしたハッキング、2018年冬季オリンピックに対する妨害行為のほか、2017年のフランス大統領選のハッキングに関与したとされている。

 ANSSIは15日のレポートで、Centreonを導入しているフランス企業や世界の組織に、過去にSandwormの攻撃の被害に遭っている可能性の兆候を示す、P.A.SやExaramel関連のマルウェアの存在を調査するよう促している。

 筆者は、本稿の公開前にCentreonの広報担当社にコメントを求めたが、回答は得られなかった。

 複数のセキュリティ専門家は、CentreonとSolarWindsのOrionの機能に似ている点はあるが、Centreonへの攻撃はサプライチェーン攻撃というより、インターネットにつながったシステムの脆弱性に付け込んだものとツイートで指摘している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]