「年金機構は氷山の一角」、日本だけを狙う攻撃が進行中

カスペルスキーは6月4日、日本の企業を広く狙う「Blue Termite」によるAPT攻撃が現在進行中であると発表し、その状況を解説した。なお、Blue Termiteはカスペルスキーによる命名である。

冒頭、代表取締役社長の川合林太郎氏は、日本年金機構の年金情報漏えいに絡んだ憶測やデマに近い報道がされているため、今回は事実のみを簡潔に伝えると発言。

一連の日本を狙ったAPTについて説明を行うカスペルスキーの川合林太郎氏

本日の注意書き。日本を狙うAPT攻撃について説明し、対岸の火事でないことを喚起

日本をターゲットにしたAPT(Advanced Persistent Threat)攻撃に関しては、2013年のICEFOGによる事例がある。この発表の際にカスペルスキーのセキュリティチームは、「APTは海外の話ではなくなった」と説明している。

翌年2014年には、DARK HOTELと呼ばれる攻撃がアジアで発覚(ホテルのネットワークに不正侵入して宿泊客を狙う。攻撃そのものは7年前から)。これらは、ホテルに宿泊する企業VIPや重要な情報を持っていると思しき人がターゲットにされていた。

そして今年、Blue Termiteが発覚した。カスペルスキーによると、Blue Termiteの攻撃は2014年9月から行われていたとのことだ。

カスペルスキーがかつて説明した、日本を狙うAPT攻撃の始まりとなる「ICEFOG」。当時は綿密な調査のもとで攻撃を行う「サイバー傭兵」と説明していた

アジアのホテルチェーンのWi-Fiを通じて、宿泊客のPCにマルウェアを仕掛けるという「DARK HOTEL」。高級ホテルゆえに、企業幹部が宿泊しているだろうと推測

そして今回の「Blue Termite」。ターゲットは複数業種にわたる

感染先IPアドレスの多くが日本。C&Cサーバーも日本なのが最大の特徴

同社マルウェアリサーチャーの石丸傑氏は、Blue Termiteの詳細を解説。きっかけは、2014年秋に、健保組合や年賀状を装ったマルウェアメールを発見したこと。健保組合の場合は「Wordファイルのアイコンを持つ実行ファイル」が添付されており、これをダブルクリックするとマルウェアに感染する(自己解凍型ファイルが実行され、ダミー文書の表示とともにマルウェア本体が動き出す)。

Blue Termiteの詳細を説明するカスペルスキーの石丸傑氏

2014年秋に、標的型攻撃メールと思しき検体を数種類、入手したという。内容は健保関係や年始のあいさつなど

これだけだと広範囲な攻撃メールのように思われるが、そうではない。Blue Termiteの初期モジュールは、攻撃対象のPCかどうかを判定したうえで、対象と判断した場合に外部への通信プログラム(バックドア)を動作させる。加えて、現在のマルウェアをバージョンアップしたり、攻撃対象ごとにカスタムメイドされたマルウェアを取得したりする。さらに続き、内部ネットワークへの感染拡大を試み、感染PCや内部ネットワークの管理者権限も奪取しようとする。

標的ごとに異なるマルウェア行動の一例として、「報道機関」を挙げてみよう。感染したマルウェアによって、そのPCが「報道機関」と判断されると、メールアカウントやブラウザのセッション情報を盗み、重要な情報源となるであろう文書ファイルの窃取を行う。

ゼロディ攻撃ではなく、「医療費通知のお知らせ」というWordファイルに見せかけた実行ファイルが添付されていた

中身は自己解凍ファイル。この例では、kptl.docというダミーのWord文書と、leassnp.exeというマルウェア本体が入っている

どちらも標準設定で実行されるため、kptl.docも表示。比較的無難な表記だが「健康組合運営事務局」となっている

先のleassnp.exeは、感染したPCがあらかじめ決められた攻撃対象ではないと判断すると、活動を行わない(おそらく分析を難しくするため)。攻撃対象の場合は各種モジュールを追加で組み込む。この時点で、ターゲットにする組織ごとにカスタマイズされた攻撃に切り替わるという