シマンテックは11月27日、人目に付かずに監視活動が可能な最悪のスパイツール「Regin」についてブログで解説を行った。

Reginはバックドア型のトロイの木馬で、その構造から類を見ない技術力が伺える複雑なマルウェアだという。標的に応じてさまざまな機能をカスタマイズできるため、攻撃者にとって大規模な監視活動を行うための強力なフレームワークになる。少なくとも2008年以降に、政府機関、インフラ運営組織、企業、研究者、個人を狙ったスパイ活動で利用されている。

Reginの感染件数の業種別内訳

Regin の感染件数の国別内訳

開発には年単位、または少なくとも月単位の期間を要したと考えられ、その痕跡を隠すために開発者は努力を惜しまず、機能や豊富なリソースから、国家によって使用されている主要なサイバースパイツールの1つだと思われる。

Backdoor.Reginはホワイトペーパー(英語)で説明されているように、多段階型の脅威であり、第1段階を除いて、各段階は隠蔽されて暗号化されている。第1段階が実行されると、全部で5段階からなる後続の段階が順に復号されてロードされる仕組みで、個々の段階からは、パッケージの全体に関する情報はほとんど得られず、5つの段階のすべてを入手して初めて、この脅威の分析と理解が可能になる。

Reginの5 つの段階

感染経路は標的によって異なり、このブログの執筆時点で、再現可能な経路は確認されていない。一部の標的は、有名なWebサイトに偽装したサイトにアクセスするように仕向けられた後に、Webブラウザを介して、またはアプリケーションを悪用されて、この脅威がインストールされたと考えられる。あるコンピュータのログファイルには、未確認の悪用コードによって Yahoo!Instant MessengerからReginが侵入した痕跡が記録されていた。

また、Reginには、数十種類ものペイロードが存在し、リモートアクセス型のトロイの木馬(RAT)のさまざまな機能(スクリーンショットの撮影、マウスのポイントアンドクリック操作の制御、パスワードの窃取、ネットワークトラフィックの監視、削除済みファイルの復元)を標準で装備。

Microsoft IIS Webサーバーのトラフィックを監視したり、携帯電話の基地局コントローラの管理トラフィックを盗聴したりするなど、さらに特化された高度なペイロードモジュールも確認されている。

Reginが発見されたことで、情報収集活動に利用するツールを開発するために、膨大な投資が継続的に実行されていることが明らかになった。また、まだ見つかっていないコンポーネントが多数あり、その他の機能や別のバージョンが存在する可能性があるとしている。