ファイア・アイは17日、マルウェア「PlugX」の攻撃手法などを説明する会見を開いた。PlugXは、ジェイティービーが14日に公表した個人情報流出問題の発端として、同社PCが感染したとみられているマルウェア。

【関連記事】JTB、約793万人分の個人情報流出の恐れ - 有効パスポート番号4,300件含む

ファイア・アイ シニア・スタッフ・リサーチ・アナリストの本城信輔氏

ファイア・アイ シニア・スタッフ・リサーチ・アナリストの本城信輔氏によると、「PlugX」は遠隔操作用のマルウェア。2012年頃から国内で発見されはじめ、攻撃対象は米、韓国、香港、台湾、日本、ベトナムなどアジア中心。標的とする情報は、ハイテクや航空宇宙、メディア、通信、政府関連の情報などだという。

PlugXのデモンストレーションでは、PlugXでC&Cサーバ(感染PCを制御したり、命令を送ったりする親玉サーバ)を設定し、コントロール先のPC内にあるファイルを一覧表示させたり、データを一方的に送信/受信したり、レジストリにアクセスしたりする様子が実際に再現された(PlugXは中国語のマルウェア生成ツールであるため、中国版のWindowsで立ち上げている)。

PlugXのデモンストレーション。感染先PCの内部ファイルを詐取したり、C&Cサーバからデータを送ったりすることができる。実際の攻撃手法としては、ファイルの送受信機能を使い別のマルウェアを相手へ送るのに使われる(バックドア型プログラム)ことが多いという

数が少ないマルウェアだからこそ危険

PlugXの検出は2014年下半期がもっとも多く、2016年では検出数が激減しているという。しかし「数が少ないほうが危険」(本城氏)。攻撃者が絞り込んだ、本当に狙っているターゲットに対して使われていると考えられるほか、毎回異なるロジックで暗号化がなされるため、攻撃パターンをデータベース化するシグネチャベースのセキュリティではすり抜ける可能性があるという。

2015年以降における国内マルウェア検出数の割合。Kabaで検出されているPlugXは第3位だ

ファイア・アイでは、日本へのAPT攻撃(特定のターゲットに対し継続的に攻撃すること)を行うグループとしてAPT4、APT10、APT17といったグループを確認しているが、今回のJTBへの攻撃は、企業や軍事などの機密情報を狙うAPTと異なり、日本年金機構などと同じく、個人情報を狙っていることが特徴。本城氏は、日本年金機構の例を挙げ「個人情報を狙うのはここ最近のトレンド」と説明。個人情報を狙うサイバー犯罪グループがいるのは間違いないとみており、「個人情報を持っている企業であれば、旅行会社でなくとも狙われる可能性がある」と警鐘を鳴らした。

「怪しいメール」は来ない

本城氏は、「怪しいメールに気をつけろと言われるが、『怪しいメール』は来ない」と強調する。標的型攻撃では、事前に業務内容などを窃取し、実在する社内の上司、外部の担当者などを装い、業務内容に即した普通のメールが来るため、一般社員への注意喚起だけでは防ぐことは難しい。今回のJTBでは、取引先を装い、社内用語まで取り入れたメールが送られていた。「マルウェア攻撃のメールを判別することはできないという認識を持つ必要がある。ふるまいを検知するサンドボックス型セキュリティでも、100%防げるものではない」(本城氏)。

標的型攻撃で実際に使われた添付ファイルの例。末端として使われているPCに管理者権限がなければ、システムの深い部分にはアクセスされず、きちんと運用していれば問題はないという。しかし、多数の端末を同じパスワードにしている場合や、Windowsの特権昇格の脆弱性を突く攻撃もあるため注意が必要だ

重要なのは、感染を前提に「マルウェアは防げない」と会社側が認識すること。感染後の対応手順や通信の監視、早期発見、隔離、そして復旧するかという対策が重要となる。専門家が演習として標的型攻撃を実行する「レッドチーム演習」などで、組織としての対策はどうかをチェックすることも有効だという。

メールを受信したりファイルにアクセスできるPCと、重要情報にアクセスできるシステムは、物理的に切り離したネットワークで管理することも必要だとした。一般的なネットワークで重要情報を扱うことは「大金をもって、治安の悪いところを丸腰で歩くようなもの」。日本年金機構も個人情報が流出する事故が起きたが、同機構でも本来の手順では、分離したネットワーク内で重要情報を管理するシステムだった。しかし、業務的には非効率になるため、不正な手順でネットワークにつなげていた。これが漏洩につながった要因のひとつだ。

「1件2件の感染を許しても、数百万の大規模感染は防ぐという意識に切り替える必要がある。感染後、どう対応するかのに重点を置くことが大事」(本城氏)。

標的型攻撃における対応策