Blue Termiteの最大の特徴は、標的が日本に特化されているだけでなく、攻撃を指令するC&Cサーバーが日本に多く設置されているところにある。カスペルスキーの調査によると、2014年9月から感染PCと指令サーバーの通信を観測してたが、12月からいったん鎮静化。そのあと、今年(2015年)の4月から再び増えているという。
指令サーバーの例。「.jp」ドメインが多いだけでなく、IPアドレスの93%が日本のものというところが特徴だ |
カスペルスキーが把握している、指令サーバーへの通信数。2014年の9月から見つかって12月にいったん終息するものの、今年の4月から再度活発化している。指令サーバーへのアクセスを行っている感染IPアドレスは、300以上にのぼるという |
ターゲットとなっているのは、政府機関、報道機関、防衛関連、航空宇宙産業、金融業、製造業、エネルギー関連、情報通信と、非常に幅広い。カスペルスキーの観測では、300以上のIPアドレスから通信を確認している。一つの組織で複数のIPアドレスを使うこともあるので、300=組織数ではないが、それなりに広く感染&監視活動が進行しているようだ。
カスペルスキーは、情報通信会社からの通信に「c:\windows\system32」フォルダを確認した痕跡があることを問題視している。推測として、クラウドサーバーの基幹部分が乗っ取られた結果、その会社が管理しているクラウドサーバーも乗っ取り可能になっていることを指摘。これが、「C&Cサーバーの93%が日本のサーバー」である根拠とした。
感染PCの73%が日本からのもので、カスペルスキーは残りの27%はアンチウイルスベンダーの解析ではないかと判断。10業種への攻撃が見られるという |
ファイル名やフォルダ名から、エネルギー関連企業が感染していると判断 |
情報通信産業と判断している例。「c:\windows\system32」はMicrosoft Windowsのシステムファイルが置かれている場所で、マルウェア(=攻撃者)が管理者権限を取得していると判断 |
国内の指令サーバーが多いのは、クラウドベンダーが被害にあっている結果。そのベンダーがかかえる顧客の全仮想マシンにアクセスできると判断している |
Blue Termiteは標的企業群も日本、指令サーバーも日本という、かなり特異なマルウェアであると結論 |
現在、カスペルスキーが「Blue Termiteのファイル群」と検知するシグネチャ名称の一覧。Genericが多いので、亜種にも対応できるという |
「ウチは大丈夫」と根拠のない自信は捨てよ。誰もが標的になる現状認識を
ここで川合社長にバトンタッチし、このような状況下で「ウチは感染しない」という根拠のない自信は捨て去り、感染を防ぐテクノロジーに頼るだけでなく、教育や環境、情報の取り扱いを含めた総合的な取り組みが必要と述べた。
一件のインシデントで発生するコストは、一般論でいうと中小企業で約56,000ドル、大企業では約649,000ドルにのぼる(1ドル120円で計算すると、56,000ドルは約6,700,000円、649,000ドルは約77,900,000円だ)。これを示したうえで、エンドポイントセキュリティを見直し、脆弱性対策の導入、メール受信環境の再設定(.exeは捨てるか隔離環境に移して従業員が扱えないようにする)、そしてセキュリティコンサルティングを実施して、現状の確認と評価を行うべきとした。