Kaspersky Labのグローバル調査分析チームは、日本やアジア太平洋地域(APAC)における複数のサイバースパイ組織を追跡、外交機関を重点的に狙う新たなグループ「Danti」の存在を指摘している。

Kaspersky Labでは、数カ月にわたりこれらの地域におけるサイバースパイ組織を追跡。Microsoft Officeの脆弱性「CVE-2015-2545(JVN情報)」(パッチ提供済み)を狙う共通点がある。不正なEPS形式の画像ファイルを用いて任意のコードを実行される恐れのあるこの脆弱性はPostScriptを用いて、Windowsに実装されたセキュリティ機能を回避する深刻度の高いものだが、MicrosoftではMS15-099としてすでに更新プログラムを昨年に公開している。

CVE-2015-2545を狙った攻撃分布(同社資料)より

この脆弱性を狙う複数のサイバースパイ組織(Platinum、APT16、EvilPost、SPIVY)に新たなグループ「Danti(ダンティ)」が加わった。Dantiは、外交機関を重点的に狙う特徴があり、インド政府組織の内部ネットワークにフルアクセスできる状況になっている可能性があり、KSN(Kaspersky Security Network)ではカザフスタン、キルギスタン、ウズベキスタン、ミャンマー、ネパール、フィリピンといった多数の国で、Dantiのトロイの木馬の一部が2月初旬から発見されていることを指摘している。

Kaspersky Lab Research Center APAC チーフセキュリティエキスパートのアレックス・ゴスチェフ(Aleks Gostev)氏は、このすでにパッチが提供されて半年以上も経過する「CVE-2015-2545」を狙った攻撃には2つの理由があるとしている。

1つは、ゼロデイ攻撃のような高度な開発にリソースを使わずとも事が足りると攻撃者は考えていること。もう1つは、標的とする企業や政府機関の修正パッチ適用率が低いこと。少なくとも発表されている脆弱性には、修正パッチを適用して防御できるよう、ITインフラ管理を徹底することが重要だと述べている。