Drones in the sky

2024年11月、ニュージャージー州上空に正体不明のドローンが次々と出現した。これはUFOマニアや陰謀論者の話ではなかった。ドローンは実在し、市民、法執行官、米軍メンバーから報告があった。

数週間のうちに、目撃情報はニューイングランド、ニューヨーク、ペンシルバニアへと広がっていった。ドローンは軍の制限空域に現れ始めた。軍はドローンを操作していないが、脅威にはならないと述べた。

2025年1月下旬、ホワイトハウスも同様のメッセージを送り、ニュージャージー州のドローンは「連邦航空局(FAA)によって研究やその他のさまざまな理由で飛行が許可されている」と指摘した。

未確認ドローンへの懸念は消えない

北米航空宇宙防衛司令部(NORAD)の長官は2月、米国防総省は米軍施設上空を飛行するドローンに対処するため、より多くのリソースを必要としていると議員に語った。

NORADのグレゴリー・ギヨット長官は上院軍事委員会の公聴会で、「ドローンの運用方法において私が考える主な脅威は、我々の施設にある機微な能力を探知し、おそらく監視することだ」と述べた。

とNORADのグレゴリー・ギヨー長官は上院軍事委員会の公聴会で述べた。つまり、未確認の不審なドローンが十分に存在するため、実際の決定権を持つ人々がドローンに細心の注意を払っているということだ。この問題は世界的なものでもある。1月、ドイツの内閣は自国の軍事施設上空を飛行するドローンを撃墜する計画を承認した。

台湾のドローンメーカーを狙う攻撃者

台湾の事例を考えると、心配する理由がある。台湾の攻撃者はマルウェアを使ってドローンメーカーのコンピュータをスパイし、データを流出させた。台湾には世界最先端のドローンメーカーがあり、台湾でのドローン生産は2022年以降大幅に増加している。

攻撃者は、ダイナミックリンクライブラリ(DLL)のサイドローディング技術を使用して、感染したシステムに複雑な機能を持つ永続的なバックドアをインストールした。彼らは、Microsoft Word 2010の正規コピー、署名されたwwlib.dllファイル、ランダムな名前とファイル拡張子を持つファイルという3つのファイルをシステムに持ち込みました。

攻撃者は、Microsoft Wordを使用して悪意のあるwwlib DLLをサイドロードしました。このDLLは、ランダムな名前で暗号化されたファイル内に存在する実際のペイロードのローダーとして機能します。

Execution chain of backdoor
バックドアの実行チェーン
ソースはこちら:アクロニス

侵害の一環としてコマンド・アンド・コントロール機能がインストールされたことで、攻撃者はドローンメーカー内の会社のPCにアクセスできるようになった。特に興味深いのは、攻撃者がどのようにして被害者のシステムに侵入したかという点で、おそらく企業資源計画(ERP)ソフトウェアを通じて侵入したのだろう。

悪意のあるファイルが最初に出現したのは、Digiwinと呼ばれる台湾の人気ERPソフトウェアのフォルダ内だった。アクロニスの脅威リサーチユニット(TRU)は、Digiwinの複数のコンポーネントが標的の環境に配備されている証拠を発見しました。台湾で設立され、現在は中国本土に拠点を置くDigiwinは、台湾のERP市場のリーダーです。

攻撃者は、Digiwinのオリジナルの実行ファイルUpdate.exeをWinword.exeに置き換えた。Update.exeはDigiwinの自動アップデートワークフローの一部ですが、攻撃者は代わりにMicrosoft Word 2010を起動させ、悪意のあるアクションを実行する可能性のあるバックドアをロードさせました。

Digiwinのコンポーネントの一部には既知の脆弱性が含まれており、悪用またはサプライチェーン攻撃がERPソフトウェアから発生した可能性が非常に高いと思われる。

なぜ台湾なのか?

2022年8月、台湾のドローン製造は飛躍的な発展を遂げた。台湾中央政府は嘉義県にUAV AIイノベーション・アプリケーション研究開発センターを開設し、軍事用途の商用グレードのドローン3,000機に対して5,000万台湾ドルの入札を行った。

競争が始まったのだ。現在、台湾にはドローン製造に参加する企業が約12社あり、台湾の世界的な航空宇宙産業を考慮すると、さらに多くの企業が参加している。

台湾は米国に忠誠を誓い、強力な技術的背景を持っているため、軍事スパイやサプライチェーン攻撃に関心を持つ敵対者にとって格好の標的となっている。

過去10年間のドローン産業の急成長は、不幸な副作用ももたらした。現在進行中の世界各地の紛争から明らかになったように、ドローンは小型の武器を搭載することができる。

攻撃に関する調査の結果、台湾に拠点を置く企業の長期間のデジタル証明書が使用されていることが判明した。すべてのコマンド・コントロール・サーバー、そして標的となったすべての企業が台湾にあった。このように、今回のドローン攻撃は、高度に洗練された標的型攻撃であり、脅威の主体による周到な計画と実行があった可能性が高い。

台湾の攻撃は、未確認ドローンを心配するアメリカ政府当局者やその他の世界的な監視団が正当な懸念を抱いていることを示している。ドローンメーカーが攻撃を受けている今、警戒は単なる名案ではない。それは必要不可欠なことなのだ。

TRUについて

Acronis Threat Research Unit(TRU)は、脅威インテリジェンス、AI、リスク管理を専門とするサイバーセキュリティ専門家チームです。

TRUチームは、新たな脅威の研究、セキュリティに関する洞察の提供、ガイドライン、インシデント対応、教育ワークショップによるITチームのサポートを行っています。

最新のTRUリサーチを見る

アクロニスが後援・執筆