マストラAIサプライチェーン攻撃、北朝鮮ハッカー集団が関与か

npmレジストリを悪用した巧妙なサプライチェーン攻撃が発覚

米Microsoftは6月、同社のクラウドサービス「Azure」を標的としたサプライチェーン攻撃が、北朝鮮の国家ハッカー集団「サファイアスリート（別名ブルーノロフ）」によって実行されたと発表した。攻撃者はnpmパッケージマネージャーの保守者アカウントを乗っ取り、正規のJavaScriptライブラリ「dayjs」を模倣した「easy-day-js」という悪意のある依存関係を140以上のnpmパッケージに注入した。開発者がこれらのパッケージをインストールすると、マルウェアが自動実行され、開発環境に侵入する仕組みだ。この攻撃は、オープンソースエコシステムの信頼性を悪用した典型的なサプライチェーン攻撃であり、ソフトウェア開発の現場に深刻な脅威をもたらしている。

攻撃の開始点は、npmレジストリの保守者アカウント「ehindero」の乗っ取りだった。このアカウントは、マストラAIプロジェクトのパッケージ管理権限を有しており、攻撃者はこれを悪用して悪意のあるアップデートを140以上のnpmパッケージに公開した。これらのパッケージは、いずれも@mastraスコープに属するもので、正規の依存関係として見せかけながら、実際には「easy-day-js」という悪意のあるJavaScriptライブラリを呼び出していた。このライブラリは、dayjsという人気の高い日時処理ライブラリの名前をわずかに変えた「タイポスクワッティング」手法を用いており、開発者が気づきにくい仕組みになっていた。

マルウェアが実行される仕組みとその危険性

悪意のあるnpmパッケージをインストールすると、パッケージマネージャーのpostinstallフックが自動的に実行される。このフックは、悪意のある依存関係「easy-day-js」を介して実行されるスクリプトで、まずTLS証明書の検証を無効化する。これにより、攻撃者が用意した偽のサーバーとの通信が可能となり、コマンド＆コントロール（C2）サーバーから第二段階のペイロードがダウンロードされる。このペイロードは、マルチプラットフォーム対応の情報窃取マルウェアで、Windows、Linux、macOSの各システムを標的とする。

ダウンロードされたマルウェアは、感染したシステムの情報を収集する。具体的には、ホスト名、ブラウザ履歴、インストール済みアプリケーション、実行中のプロセスなどを収集し、さらに166種類の暗号通貨ウォレットブラウザ拡張機能の有無をチェックする。対象となるウォレット拡張機能には、MetaMask、Phantom、Coinbase Wallet、Binance Wallet、TronLinkなどが含まれており、これらがインストールされている場合は、ウォレットの秘密鍵や認証情報が窃取される可能性がある。

マルウェアは、標的システムに対する永続性を確保するために、OSごとに異なる手法を用いる。Windowsではレジストリの「Run」キーを悪用し、macOSではLaunchAgentsを、Linuxではsystemdサービスをそれぞれ改ざんして、システム起動時にマルウェアが自動実行されるように設定する。このような永続性メカニズムにより、マルウェアはシステムから簡単に駆除されにくくなっている。

サファイアスリートの攻撃手法と過去の活動

Microsoftによれば、今回の攻撃でC2サーバーと通信したシステムには、サファイアスリートが過去に用いたとされる攻撃手法が確認されたという。同集団は、主に金融セクターを標的としており、サイバー攻撃を通じて暗号通貨や機密情報を窃取することを目的としている。サファイアスリートは、北朝鮮政府の支援を受けているとされ、これまでにも複数の大規模なサイバー攻撃に関与したと報告されている。

同集団の攻撃手法は、ソーシャルエンジニアリングやタイポスクワッティング、悪意のある依存関係の注入など、オープンソースエコシステムの信頼性を悪用する手法に特化している。例えば、2020年には、暗号通貨取引所を標的とした大規模な攻撃を実行し、数百万ドル相当の暗号通貨を窃取したとされる。また、2022年には、米国のヘルスケア企業を標的としたランサムウェア攻撃にも関与したと報告されている。

サファイアスリートは、攻撃の痕跡を隠すために、さまざまな回避技術を用いることでも知られている。例えば、マルウェアのコードを難読化したり、C2サーバーとの通信に暗号化されたチャンネルを使用したりすることで、セキュリティベンダーによる検知を回避している。また、標的とする組織の業務に関連する名前やプロジェクト名を悪用して、悪意のあるパッケージやファイルを正規のものと見せかける手法も用いている。

開発者と企業にとっての重大なリスク

今回のサプライチェーン攻撃は、オープンソースエコシステムの信頼性を悪用した典型的な事例であり、開発者や企業にとって深刻なリスクをもたらしている。特に、npmのようなパッケージマネージャーを使用する開発者は、サードパーティのパッケージに依存する機会が多いため、攻撃の影響を受けやすい。攻撃者は、正規のパッケージと見分けがつきにくい悪意のあるパッケージを公開し、開発者が無意識のうちにインストールしてしまうことを狙っている。

企業にとっても、このような攻撃は深刻な脅威となる。なぜなら、開発者のPCがマルウェアに感染すると、企業の機密情報や顧客データが窃取される可能性があるからだ。特に、暗号通貨ウォレットの情報が窃取された場合、企業の資産が失われるだけでなく、顧客の信頼も失うことになる。また、マルウェアが企業の内部システムに侵入した場合、ランサムウェア攻撃やデータ漏洩のリスクも高まる。

さらに、サファイアスリートのような国家支援のハッカー集団が関与している場合、攻撃はより組織的かつ持続的なものとなる。彼らは、標的とする組織の業務やシステムに関する詳細な情報を事前に収集し、それを基に攻撃を実行するため、通常のサイバー犯罪者よりも検知が困難である。そのため、企業は従来のセキュリティ対策に加え、サプライチェーン攻撃に特化した対策を講じる必要がある。

具体的な被害とその影響範囲

Microsoftによると、今回の攻撃で悪意のあるnpmパッケージをインストールしたシステムは、C2サーバーとの通信を試みたとされている。この通信を通じて、攻撃者は標的システムの情報を収集し、さらに悪意のあるペイロードをダウンロードした可能性がある。具体的には、感染したシステムのホスト名やIPアドレス、ブラウザ履歴、インストール済みアプリケーション、実行中のプロセスなどが窃取されたと考えられる。

また、マルウェアは、166種類の暗号通貨ウォレットブラウザ拡張機能をチェックし、その中で見つかったウォレットの認証情報を窃取することを目的としていた。このような攻撃は、個人だけでなく、企業の暗号通貨資産や顧客の資産を狙うものであり、経済的な損失が甚大となる可能性がある。特に、暗号通貨の取引や保管に関わる企業や個人は、このような攻撃の標的となりやすいため、注意が必要だ。

さらに、マルウェアはシステムに永続性を確保するために、OSごとに異なる手法を用いていた。これにより、マルウェアはシステムから簡単に駆除されにくくなっており、長期間にわたって感染が維持される可能性がある。このような状況下では、企業のセキュリティ対策が不十分な場合、機密情報の漏洩やシステムの乗っ取りなど、深刻な被害が発生する可能性がある。

企業と開発者が取るべき具体的な対策

今回のようなサプライチェーン攻撃を防ぐためには、企業と開発者がそれぞれの立場で適切なセキュリティ対策を講じることが重要だ。まず、開発者は、npmなどのパッケージマネージャーを使用する際には、パッケージの出所やレビュー、ダウンロード数などを確認することが大切だ。また、信頼できるパッケージのみを使用し、可能な限り直接の依存関係に限定することで、悪意のあるパッケージのリスクを低減できる。

企業においては、サプライチェーン攻撃に対する包括的なセキュリティ対策を講じる必要がある。具体的には、開発環境やCI/CDパイプラインに対して、リアルタイムの監視と検知システムを導入することが重要だ。また、サードパーティのパッケージやライブラリを使用する際には、事前にセキュリティスキャンを実施し、脆弱性や悪意のあるコードが含まれていないことを確認することが求められる。

さらに、従業員に対するセキュリティ意識向上のための教育も欠かせない。特に、サプライチェーン攻撃の手法やリスクについて理解を深めることで、従業員が悪意のあるパッケージやファイルをインストールしてしまうリスクを低減できる。また、万が一マルウェアに感染した場合に備え、バックアップ体制の整備やインシデント対応計画の策定も重要だ。

政府やセキュリティベンダーの役割と今後の動向

サファイアスリートのような国家支援のハッカー集団による攻撃は、政府やセキュリティベンダーにとっても大きな課題となっている。政府は、サイバー攻撃の脅威に対抗するために、法整備や国際協力を進めるとともに、企業や個人に対するセキュリティ対策の支援を強化する必要がある。また、セキュリティベンダーは、新たな攻撃手法やマルウェアの検知技術を開発し、企業や個人に対してリアルタイムの脅威インテリジェンスを提供することが求められる。

今後、サプライチェーン攻撃はますます巧妙化し、その被害も拡大することが予想される。特に、オープンソースエコシステムの重要性が高まるにつれて、攻撃者がこのエコシステムを悪用する機会も増加するだろう。そのため、企業や開発者は、常に最新のセキュリティ動向に注意を払い、適切な対策を講じることが不可欠だ。

また、サファイアスリートのようなハッカー集団は、今後も活動を続けると考えられる。彼らは、新たな攻撃手法やツールを開発し、より標的を絞った攻撃を実行する可能性がある。そのため、政府やセキュリティベンダーは、これらの集団の動向を注視し、迅速に対策を講じることが求められる。

今後注目すべきポイントと長期的な視点

今回のマストラAIサプライチェーン攻撃は、オープンソースエコシステムの信頼性を悪用した典型的な事例であり、今後も同様の攻撃が発生する可能性が高い。そのため、企業や開発者は、サプライチェーン攻撃に対する包括的なセキュリティ対策を講じることが重要だ。具体的には、パッケージマネージャーの使用に関するガイドラインの策定、リアルタイムの監視システムの導入、従業員教育の強化などが挙げられる。

また、サファイアスリートのような国家支援のハッカー集団による攻撃は、今後も続くことが予想される。そのため、政府やセキュリティベンダーは、これらの集団の動向を注視し、迅速に対策を講じることが求められる。特に、暗号通貨や金融セクターを標的とした攻撃は、経済的な損失が甚大となる可能性があるため、より一層の注意が必要だ。

長期的には、オープンソースエコシステムの信頼性を向上させるための取り組みも重要だ。例えば、パッケージの公開プロセスの透明化や、コミュニティによる監視体制の強化などが挙げられる。また、セキュリティベンダーは、新たな攻撃手法やマルウェアの検知技術を開発し、企業や個人に対してリアルタイムの脅威インテリジェンスを提供することで、サプライチェーン攻撃のリスクを低減することができる。

今後、サプライチェーン攻撃はますます巧妙化し、その被害も拡大することが予想される。そのため、企業や開発者は、常に最新のセキュリティ動向に注意を払い、適切な対策を講じることが不可欠だ。また、政府やセキュリティベンダーも、これらの脅威に対抗するために、積極的な取り組みを進める必要がある。