PwCサイバーサービスは2017年4月25日、2016年後半から2017年初頭にかけて行われた新しいタイプのサイバー攻撃「クラウドホッパー作戦」について報告した。ユーザー企業のシステム運用を受託しているサービス事業者を踏み台にすることによって、サービス事業者と契約している顧客企業の機密情報を比較的簡単に盗み出す、という攻撃である。日本の企業もターゲットになっているという。

クラウドホッパー作戦の全体像
クラウドホッパー作戦の全体像
(出所:PwCサイバーサービス)
[画像のクリックで拡大表示]

 PwCの英国オフィスが2017年4月にクラウドホッパー作戦の報告書を発行した。攻撃の調査はPwCの英国オフィスと、英国のセキュリティー企業であるBAEシステムズの2社が実施した。調査のきっかけは英国企業によるクラウドホッパー作戦の被害例が6件あったことである。クラウドホッパー作戦の攻撃者は、ほぼ確実に中国のサイバー攻撃グループであるAPT10であるとしている。

 クラウドホッパー作戦の最大の特徴は、ユーザー企業のシステム運用を代行するMSP(マネージドサービスプロバイダー)を介してユーザー企業の機密情報を盗み出すことにある。「MSPはユーザー企業のシステムをリモートでメンテナンスしているケースが多いので、ユーザー企業の認証情報さえ取得すれば、MSPを介して容易にリモートアクセスできてしまう」(PwCサイバーサービスでサイバーセキュリティ研究所長を務める神薗雅紀氏)。

PwCサイバーサービスでサイバーセキュリティ研究所長を務める神薗雅紀氏
PwCサイバーサービスでサイバーセキュリティ研究所長を務める神薗雅紀氏
[画像のクリックで拡大表示]

 攻撃者はMSPに侵入し、MSPのActive Directoryから顧客の認証情報を搾取する。以後はユーザー企業に対してリモートデスクトップ接続で次々と接続し、接続先に価値の高い情報があるかどうかを調べる。価値の高い情報があった場合は接続先でファイルにアーカイブしてMSP側にリモートコピーし、最終的に盗み出す。クラウドホッパー作戦という名称は、接続先のユーザー企業を次々とホップして情報を探すことに由来する。

MSPを介してMSPの顧客企業にリモートアクセスする
MSPを介してMSPの顧客企業にリモートアクセスする
(出所:PwCサイバーサービス)
[画像のクリックで拡大表示]
MSPの顧客企業を次々と調べ、価値のある情報を探す
MSPの顧客企業を次々と調べ、価値のある情報を探す
(出所:PwCサイバーサービス)
[画像のクリックで拡大表示]