決して最新ではないマルウェア「PlugX」
ファイア・アイは6月17日、JTBの情報漏えいの引き金となったマルウェア「PlugX(別名称APT.kaba)」に関する緊急記者説明会を開催した。同社のFireEye Labs.でシニア・スタッフ・リサーチ・アナリストを務める本城 信輔氏が解説を行った。
本城氏によると、PlugXは中国で作られたRAT(Remote Access Tool)で、ハイテク産業や航空宇宙、メディア、通信、政府機関をターゲットにアメリカや日本を含むアジア圏で2012年頃より利用されているマルウェアだという。
これまでは主に企業・国家の機密情報を狙っていたのに対し、今回のケースでは個人情報を狙っていた。米国でもSocial Security Numberを狙った攻撃が行われており、今後は日本でもマイナンバーなどの個人情報を狙った攻撃が起きる可能性があると指摘する。
PlugXそのものは遠隔操作を行うツールであり、実際のデータ盗難はPlugXを通じて送り込まれた他のプログラムによるものの可能性が高いという。PlugXを検知出来なかった理由としては、
PlugXが実行プログラムを作成するたびに難読化のパターンを変更し、シグネチャベースのマルウェアスキャンをすり抜けた
近年は攻撃事例が少なく、セキュリティベンダーがマルウェアの検体を入手できずにシグネチャそのものが作られていない
サンドボックスなどのふるまい検知もすり抜けた
という3つの可能性を挙げていた。
昨年問題となった日本年金機構の情報漏えいでは、「Emdivi」と呼ばれるマルウェアが使用されたが、このケースでは依然としてかなりの攻撃件数を記録しているという。一方のPlugXは特定の企業・組織を狙って攻撃するAPTであるため、例外的な対処になってしまうのが実情のようだ。
2014年下期の国内のAPTマルウェアの状況。APT.Kaba(PlugX)が全体の1/3以上を占めている |
現在の国内APTマルウェアの状況。APT.Kabaは7.32%と1/4以下に規模が縮小し、APT.SUNBLADE(いわゆるEmdivi)が非常に多いことがわかる |
ファイア・アイは、APT攻撃を行うグループを長年調査しているが、PlugXを使うグループは現在「APT4」「APT10」「APT17」の3つが存在しており、さらに2つほども調査中だという。これらはPlugXを使うだけでなく、C&CサーバーへHTRANと呼ばれるパケット転送ツールを使用して真の指令元を隠ぺいしているのが特徴だそうだ。