概要

セキュリティ企業SOCRadarの調査により、6月中旬に発覚した大規模な認証情報窃取キャンペーン「FortiBleed」が、ランサムウェア集団INC RansomおよびLynxの実際の攻撃活動と直結していたことが明らかになった。FortiBleedのインフラを運用していたオペレーターが、INCとLynx両方の被害者交渉パネルにブラウザセッションでログインしていた痕跡が発見され、さらにFortiBleedで収集された被害組織の情報が、後にINCのリークサイトへ掲載された情報と重複していることも確認された。これにより、ファイアウォールから盗まれた認証情報が実際のランサムウェア展開に使われていたことが初めて実証された形となる。

FortiBleedは金銭目的の攻撃者集団による作戦とみられ、世界約150カ国、約43万台のFortiGateファイアウォールを標的に、推定1億1,000万件以上の認証情報を窃取したとされる。SOCRadarは約1万1,250のFortiGateポータルへのスキャン活動を追跡し、409のターゲットで管理者レベルのアクセスを確認、354組織では侵入からVPN突破、ドメインコントローラーへのアクセス、ドメイン管理者権限奪取に至る完全な攻撃チェーンを確認したという。このうち少なくとも12件で実際にランサムウェアが展開され、数百台規模のエンドポイントが暗号化される被害が出た。

技術的な詳細

攻撃者は「FortiGate Sniffer」(別称FortigateSniffer)と呼ばれる独自開発のパケットスニッフィングツールを侵害済みのFortiGateファイアウォール上に展開し、ファイアウォールを通過するネットワークトラフィックからVPN認証情報やパスワードハッシュを平文のまま傍受していた。報道によりスニッファーの展開台数には差があり、約1万2,000台とする報道と、約1万9,000台に展開され現在も1万1,000台超が侵害状態にあるとする報道があるが、いずれにせよ万単位の規模でパッシブな認証情報収集が行われていたことになる。侵入後の永続化手法としては、“adminin” という名称のバックドア用管理者アカウントを作成する手口も確認された。またこの攻撃者集団は、Nextcloudの少なくとも1件の未修正ゼロデイ脆弱性を保有しており侵害拡大に利用していたほか、Citrix環境への攻撃拡大に向けて約2万9,000のIPアドレスと37のドメインをすでに準備していることも判明しており、FortiGate以外への展開を進めている可能性が指摘されている。

攻撃者の実態と組織構造

SOCRadarのCISOであるEnsar Seker氏によれば、使用ツールやログ、活動時間帯から、ロシア語を話す脅威アクターが初期アクセスブローカーとして関与している可能性が示唆されている。内部の追跡文書の分析からは、この作戦には約20人が関与し、スキャン、認証情報収集、高付加価値ターゲットへの侵入、技術サポートといった役割分担が明確な組織構造を持つことがうかがえるという。SOCRadarは、FortiBleedは単なる認証情報窃取キャンペーンではなく、ランサムウェア経済に直結する「サプライチェーン」の一部であると評価している。なお、INC Ransomは2023年半ばに、Lynxはその約1年後に登場したグループであり、それぞれ独立に活動してきたとみられていたが、今回同一オペレーターが双方の交渉パネルを操作していたことが判明し、両グループ間のつながりが初めて具体的に裏付けられた。

今後の対応

SOCRadarは、侵害の痕跡(IOC)や帰属の証拠、詳細な技術分析を含む続報のホワイトペーパーを近く公開する予定としているほか、ランサムウェアの復号鍵回復に向けた取り組みも継続しているという。FortiGate製品を利用する組織に対しては、認証ログの精査、外部に露出した認証情報のローテーション、多要素認証(MFA)の強制、異常なログイン活動の監視といった対策を早急に実施することが推奨されている。