出典:HA Photos via Alamy Stock Photo
脅威アクターは、リモート監視・管理(RMM)ツールを使ってトラック輸送会社や貨物会社を侵害し、物理的な貨物を盗み出そうとしている。
これはProofpointの研究者によるもので、同社は本日、調査結果を公開し、匿名の攻撃者がどのようにトラック輸送会社や貨物会社を侵害して貨物輸送案件に入札し、その後貨物を盗み出すかを説明している。ハッカーたちはその貨物を海外に発送したり、オンラインで販売したりしながら、常に組織犯罪グループと連携している。
少なくとも2025年6月以降、場合によってはそれ以前の数カ月から、脅威アクターはブローカー用のロードボード(トラック会社が荷物を予約するために使う掲示板)のアカウントを侵害してきた。脅威アクターはそこで架空の荷物案件を掲載し、応答してきた貨物運送業者にフィッシングリンクで返信する。攻撃者がトラック輸送会社のフィッシングに成功すると、リモートアクセスツールをインストールし、実在するトラック輸送案件に入札して輸送を請け負い、その実際の仕事から貨物を横取りする。
貨物窃盗は毎年350億ドルの損失を生み出していると推計されており、この種の攻撃は、サイバーセキュリティ研究で一般的に見られるものとは異なる形でサプライチェーンにリスクをもたらす。ただし、まったく前例がないわけではない。Proofpointは2024年9月に、類似のキャンペーンに関する調査を公開しているが、当時の攻撃の脅威アクターと、今回のより新しいクラスターとを結び付けることはできなかった。
関連記事:1Password、重大なAIブラウザーエージェントのセキュリティギャップに対処
ハッカーはどのようにトラッカーをハックするのか
このキャンペーンにおいて、脅威アクターは被害者を侵害するためにさまざまなRMMツールを利用しており、ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolveなどが含まれる。すべての攻撃でこれらのツールが使われるわけではないものの、Proofpointによれば、一部の攻撃では複数のツールが併用されることもあり(たとえば、PDQ Connectを使ってScreenConnectやSimpleHelpをダウンロードするなど)、そうした事例も確認されている。
ハッカーは複数の手段でこの段階に到達する。ロードボードのアカウントを取得する以外にも、攻撃者はメールアカウントを侵害し、進行中のスレッドを乗っ取って悪意あるリンクを送り付けることがある。また、単純にフィッシングメールキャンペーンを通じて運送業者を直接狙う場合もある。
概して、この脅威クラスターは標的を選り好みしていない。
「Proofpointが観測したキャンペーンに基づくと、この脅威アクターは特定の企業を狙っているようには見えず、標的は上記のような小規模な家族経営の企業から大規模な輸送会社まで多岐にわたります」とレポートには記されている。「この脅威アクターは、標的とする運送業者について機会主義的であり、偽の荷物案件に応答したあらゆる運送業者の侵害を試みる可能性が高いと考えられます。」
関連記事:フィリピン、選挙セキュリティ強化にゼロ知識証明を活用
一度初期侵入に成功すると、脅威アクターは標的環境内でのアクセスをさらに深めることを目的として、追加の偵察を行う。最終的な目標は、正規の貨物運送業者を侵害し、Proofpointが説明するように「盗難時に利益が見込める荷物を特定し、それらに入札する」ことだ。
Proofpointのスタッフ脅威リサーチャーでありレポートの共著者でもあるOle Villadsen氏は、貨物が物理的に盗まれる方法はいくつかあるとDark Readingに語る。ハッカーが悪意を持って荷物の所有権を取得した場合、トラック運転手が犯罪者と直接協力していることもある。別のケースでは、「ダブルブローカー」と呼ばれる手口が使われ、荷物が正規のトラック輸送会社に再販売され、その会社は自分たちが正当な貨物を輸送していると信じ込まされる。
「いずれの場合も、こうしたオペレーションでは、実際に商品に手を伸ばすために人間が現場にいる必要があり、商品は犯罪者が管理する場所や倉庫に配送されます」とVilladsen氏は述べる。「我々は、他にも、サイバーを手段とした物理的な商品の窃盗の一種として、窃盗犯が商品を盗品受け取り役(ミュール)が所有する倉庫や場所に発送・配送させ、そこで受け取った盗品を転売したり、さらに海外へ発送したりする事例も確認しています。」
関連記事:NISTデジタルIDガイドライン、脅威情勢の変化に合わせて進化
物理的サプライチェーンの安全を脅かすサイバー脅威
地政学的、経済的、技術的な要因により世界のサプライチェーンが常に圧迫されている今、その安定性に対する新たな脅威は、いかなるものであれ注目に値する。
Dark Readingは、サイバー支援型の貨物窃盗がサプライチェーンにもたらす脅威の規模についてProofpointに質問した。Proofpointのスタッフ脅威リサーチャーでありレポートの共著者でもあるSelena Larson氏は、同社は正確な数字を持ち合わせてはいないものの、「その影響は、陸上輸送サプライチェーン全体にわたって広範かつ破壊的です」と説明する。
「輸送会社を標的とするサイバー攻撃は、個々の出荷を中断させ、荷主のコスト増加を招くとともに、商品やサービスの配送を遅延させる可能性があります」とLarson氏は述べる。「こうした混乱は多くの場合、保険金請求につながり、その結果として保険料が上昇し、そのコストは最終的に消費者に転嫁されます。金銭的な打撃を超えて、サイバーを手段とした窃盗はサプライチェーン内の信頼を損ない、組織は過去に侵害されたことのあるパートナーとの取引をためらうようになるかもしれません。」
Proofpointは、貨物窃盗のリスクにさらされている組織に対し、National Motor Freight Traffic AssociationのCargo Crime Reduction Framework(貨物犯罪削減フレームワーク)を確認するよう推奨している。
RMMの悪用と戦おうとするすべての組織に対して、同社は、組織のIT管理者が承認していないRMMツールのダウンロードおよびインストールを制限すること、ネットワーク検知を実装すること、外部送信者からメールで送られてきた実行ファイルをダウンロードしないこと、そしてユーザーに対して不審な活動を特定し報告するようトレーニングすることを推奨している。
著者について
シニアニュースライター, Dark Reading
Alexはボストンを拠点とする受賞歴のあるライター、ジャーナリスト、ポッドキャストホストである。10代の頃にインディー系ゲームメディアで執筆経験を積んだ後、2016年にエマーソン大学を卒業し、ジャーナリズムの理学士号を取得した。これまでにVentureFizz、Search Security、Nintendo World Reportなどで記事を執筆している。余暇には、毎週配信の任天堂系ポッドキャスト「Talk Nintendo Podcast」をホストし、これまでに自費出版した2冊のSF小説を含む個人的な執筆プロジェクトにも取り組んでいる。
