「年金機構は氷山の一角」、日本だけを狙う攻撃が進行中
カスペルスキーは6月4日、日本の企業を広く狙う「Blue Termite」によるAPT攻撃が現在進行中であると発表し、その状況を解説した。なお、Blue Termiteはカスペルスキーによる命名である。
冒頭、代表取締役社長の川合林太郎氏は、日本年金機構の年金情報漏えいに絡んだ憶測やデマに近い報道がされているため、今回は事実のみを簡潔に伝えると発言。
日本をターゲットにしたAPT(Advanced Persistent Threat)攻撃に関しては、2013年のICEFOGによる事例がある。この発表の際にカスペルスキーのセキュリティチームは、「APTは海外の話ではなくなった」と説明している。
翌年2014年には、DARK HOTELと呼ばれる攻撃がアジアで発覚(ホテルのネットワークに不正侵入して宿泊客を狙う。攻撃そのものは7年前から)。これらは、ホテルに宿泊する企業VIPや重要な情報を持っていると思しき人がターゲットにされていた。
そして今年、Blue Termiteが発覚した。カスペルスキーによると、Blue Termiteの攻撃は2014年9月から行われていたとのことだ。
カスペルスキーがかつて説明した、日本を狙うAPT攻撃の始まりとなる「ICEFOG」。当時は綿密な調査のもとで攻撃を行う「サイバー傭兵」と説明していた |
アジアのホテルチェーンのWi-Fiを通じて、宿泊客のPCにマルウェアを仕掛けるという「DARK HOTEL」。高級ホテルゆえに、企業幹部が宿泊しているだろうと推測 |
感染先IPアドレスの多くが日本。C&Cサーバーも日本なのが最大の特徴
同社マルウェアリサーチャーの石丸傑氏は、Blue Termiteの詳細を解説。きっかけは、2014年秋に、健保組合や年賀状を装ったマルウェアメールを発見したこと。健保組合の場合は「Wordファイルのアイコンを持つ実行ファイル」が添付されており、これをダブルクリックするとマルウェアに感染する(自己解凍型ファイルが実行され、ダミー文書の表示とともにマルウェア本体が動き出す)。
これだけだと広範囲な攻撃メールのように思われるが、そうではない。Blue Termiteの初期モジュールは、攻撃対象のPCかどうかを判定したうえで、対象と判断した場合に外部への通信プログラム(バックドア)を動作させる。加えて、現在のマルウェアをバージョンアップしたり、攻撃対象ごとにカスタムメイドされたマルウェアを取得したりする。さらに続き、内部ネットワークへの感染拡大を試み、感染PCや内部ネットワークの管理者権限も奪取しようとする。
標的ごとに異なるマルウェア行動の一例として、「報道機関」を挙げてみよう。感染したマルウェアによって、そのPCが「報道機関」と判断されると、メールアカウントやブラウザのセッション情報を盗み、重要な情報源となるであろう文書ファイルの窃取を行う。