ワシントンの名門法律事務所ウィリアムズ・アンド・コノリーは、国家と関連したサイバー攻撃とみられる攻撃者がゼロデイ脆弱性を悪用し、弁護士数名の電子メールアカウントにアクセスしたことを確認した。
同社は声明の中で、「最近、当社ネットワーク上の特定システムへのアクセスに関わるサイバーセキュリティインシデントを発見した」と述べ、攻撃者は「いわゆるゼロデイ攻撃」を悪用したと付け加えた。また、クラウドストライクと共同で実施した調査に基づき、この脅威アクターは「複数の法律事務所や企業への最近の攻撃に関与した」国家組織と関係があると付け加えた。
ウィリアムズ・アンド・コノリーは、機密性の高い事件ファイルを保管しているデータベースから機密性の高い顧客データが抽出されたという証拠はないと述べた。
ウィリアムズ・アンド・コノリーは、「脅威の主体をブロックした」と述べ、ネットワーク上に「不正なトラフィックが残っている証拠は見つからなかった」と付け加えた。
同社の顧客にはビル・クリントン氏とヒラリー・クリントン氏、セラノス創業者のエリザベス・ホームズ氏、テクノロジー、ヘルスケア、メディア業界の大手企業など、著名な人物が名を連ねていることを考えると、今回の情報漏洩は特に慎重を要する問題だ。
同社は関与が疑われる国名を公表しなかったものの、一部の報道では、この侵入は中国と関係のあるハッカーによるものだとしている。これは、Googleの脅威分析グループとMandiantが9月に発表した勧告とも一致しており、中国と関係のある脅威クラスターが複数のゼロデイ脆弱性を悪用して米国の法務部門に侵入し、国家安全保障と国際貿易に関する情報を収集していると警告している。
Googleによると、攻撃者は、VPNアプライアンス、VMware vCenterサーバー、その他のエッジデバイスなど、通常はエンドポイントセキュリティツールを実行していないシステムにカスタムマルウェアを仕掛けることで、平均393日間にわたり、被害者のネットワークへのステルスアクセスを長期間維持しています。侵入後は、仮想マシンのクローン作成、不正な管理者アカウントの作成、「Microsoft 365 Exchange Onlineから大量のメールにアクセスし、情報漏洩を行うための一般的な手法」を使用することが確認されています。
ディオール、サイバー攻撃で顧客のデータが盗まれたと発表
続きを読む
明らかに類似した攻撃キャンペーンが、ここ数ヶ月で10社以上の法律事務所やテクノロジー企業に侵入したとみられる。これらの侵入は、政治的または経済的にデリケートな案件に関与する弁護士や企業顧問からの情報収集に重点を置いていたと報じられている。
- Oracle E-Business SuiteへのClopの襲撃は数ヶ月前から始まっていたと研究者が警告
- マイクロソフトはGoAnywhereの脆弱性を悪用したとしてMedusaランサムウェアの関連会社を非難、一方Fortraは責任を問わない
- Redisのソースコードに13年間潜んでいたレベル10の脆弱性により、リモートコード実行が可能になる可能性がある
- インドの技術系人材のパイプラインが停滞している
法律事務所は長らく、国家支援によるスパイ活動の格好の標的であり、情報収集のための便利な代理機関として機能してきた。法律事務所は、政府の政策や企業間の交渉に絡む機密通信、取引データ、訴訟資料などを保有していることが多く、こうした情報は公的機関や企業のシステムから直接入手するのがはるかに困難である。
ウィリアムズ・アンド・コノリーの顧客には元大統領やフォーチュン100社が名を連ねており、同社の受信箱は、米国の法律や政策機構への影響力や洞察を求める敵対者にとって魅力的な標的となっている。
ウィリアムズ・アンド・コノリーもクラウドストライクも、どのゼロデイ脆弱性が利用されたかは明らかにしていないが、同社の表現からは、この脆弱性は最近になってようやく修正されたか、あるいは他の場所では未修正のままであることが示唆されている。「ウィリアムズ・アンド・コノリーは、顧客のデータの機密性とセキュリティを保護することに尽力しています」と同社は述べ、社内および社外のサイバーセキュリティ専門家と連携し、防御力の強化に引き続き取り組んでいると付け加えた。
画期的な訴訟案件の弁論に慣れた法律事務所にとって、これはワシントンでは最善の防御策でもゼロデイ攻撃によって打ち負かされる可能性があるという、歓迎されない事実を思い出させるものである。®
