WordなどMicrosoft製品を悪用する「Storm-0978」の恐ろしい手口とは：ロシア系ハッカー集団「Storm-0978」の手口【前編】

2023年夏頃からロシア系サイバー犯罪集団「Storm-0978」の攻撃活動が盛んだ。特に注意が必要なのはMicrosoft製品のユーザー企業だ。Storm-0978はどのような攻撃を仕掛けているのか。

[Arielle Waldman，TechTarget]

　Microsoftはロシア系サイバー犯罪集団「Storm-0978」（別名「RomCom」）が同社製品を悪用し、世界各国でさまざまな組織を攻撃していると見て警鐘を鳴らしている。Microsoftによると、Storm-0978は主に2種類の手法を攻撃に使っている。どのような手口なのか。

メールだけではない、Microsoft製品を悪用する「Storm-0978」の手口

併せて読みたいお薦め記事

IT製品のさまざまな脆弱性が狙われている

• ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性　なぜ危ない？
• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由

　Storm-0978の活動には主にメールによる攻撃とランサムウェア（身代金要求型マルウェア）攻撃の2つの手法があるとMicrosoftは説明する。前者では欧米の政府機関や軍事組織といった標的に、文書作成ソフトウェア「Microsoft Word」の悪意あるファイルが添付されたメールを送信する。Microsoftによると、メールはウクライナの非営利団体や北大西洋条約機構（NATO）の関係者が送信元であるかのように見せかけている。

　Microsoftによれば、Storm-0978は悪意のあるWordファイルをダウンロードさせることで、標的のシステムにバックドア（不正侵入の入り口）を設ける。SolarWindsのネットワーク管理ツール「Orion Platform」やオープンソースのパスワード管理ツール「KeePass Password Safe」といった正規ソフトウェアになりすました不正プログラムを攻撃に使用するケースもあるという。

　セキュリティベンダーBlackBerryもNATOなどの関係者を狙ったStorm-0978の攻撃を観測しているという。同社によると、攻撃者の出身国は不明だが、ロシアによるウクライナ侵攻を支持している人物である可能性がある。

　ランサムウェア攻撃では、Storm-0978はメールによる攻撃とは違う組織を標的にしているとMicrosoftはみている。ランサムウェア攻撃の主な標的は通信事業者や金融機関だという。同社によると、Storm-0978はOS「Windows」のレジストリ（Windows設定情報のデータベース）を使い、セキュリティ機能「SAM」（Security Account Manager）からパスワードを盗み取ってシステムに侵入する。

---

　後編は、Microsoftのオフィススイート「Microsoft Office」向けセキュリティツール「Microsoft Defender for Office 365」の脆弱（ぜいじゃく）性を悪用した、Storm-0978の攻撃を取り上げる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。