決して最新ではないマルウェア「PlugX」

ファイア・アイは6月17日、JTBの情報漏えいの引き金となったマルウェア「PlugX(別名称APT.kaba)」に関する緊急記者説明会を開催した。同社のFireEye Labs.でシニア・スタッフ・リサーチ・アナリストを務める本城 信輔氏が解説を行った。

ファイア・アイ FireEye Labs. シニア・スタッフ・リサーチ・アナリストの本城 信輔氏

本城氏によると、PlugXは中国で作られたRAT(Remote Access Tool)で、ハイテク産業や航空宇宙、メディア、通信、政府機関をターゲットにアメリカや日本を含むアジア圏で2012年頃より利用されているマルウェアだという。

これまでは主に企業・国家の機密情報を狙っていたのに対し、今回のケースでは個人情報を狙っていた。米国でもSocial Security Numberを狙った攻撃が行われており、今後は日本でもマイナンバーなどの個人情報を狙った攻撃が起きる可能性があると指摘する。

PlugXの実行モジュール作成、操作ツール。中国語版Windowsで動作し、日付も2011/12月となっていることがわかる

モジュールを感染させて、遠隔で操作可能になった画面。今回はデモの簡略化のために「セルフ感染(自分自身を乗っ取り)」させているため、感染IPが127.0.0.1(localhost)となっている

エクスプローラー風の画面によって感染PCとの間でファイルのやり取りが行える。これによって更なる探査ツールを入れたり、機密データの取得が可能になる

コマンドプロンプト画面。これを使って対象PCを操作することができる

PlugXそのものは遠隔操作を行うツールであり、実際のデータ盗難はPlugXを通じて送り込まれた他のプログラムによるものの可能性が高いという。PlugXを検知出来なかった理由としては、

  • PlugXが実行プログラムを作成するたびに難読化のパターンを変更し、シグネチャベースのマルウェアスキャンをすり抜けた

  • 近年は攻撃事例が少なく、セキュリティベンダーがマルウェアの検体を入手できずにシグネチャそのものが作られていない

  • サンドボックスなどのふるまい検知もすり抜けた

という3つの可能性を挙げていた。

昨年問題となった日本年金機構の情報漏えいでは、「Emdivi」と呼ばれるマルウェアが使用されたが、このケースでは依然としてかなりの攻撃件数を記録しているという。一方のPlugXは特定の企業・組織を狙って攻撃するAPTであるため、例外的な対処になってしまうのが実情のようだ。

2014年下期の国内のAPTマルウェアの状況。APT.Kaba(PlugX)が全体の1/3以上を占めている

現在の国内APTマルウェアの状況。APT.Kabaは7.32%と1/4以下に規模が縮小し、APT.SUNBLADE(いわゆるEmdivi)が非常に多いことがわかる

ファイア・アイは、APT攻撃を行うグループを長年調査しているが、PlugXを使うグループは現在「APT4」「APT10」「APT17」の3つが存在しており、さらに2つほども調査中だという。これらはPlugXを使うだけでなく、C&CサーバーへHTRANと呼ばれるパケット転送ツールを使用して真の指令元を隠ぺいしているのが特徴だそうだ。

日本のハイテク企業、製造業を狙うDragonOKと呼ばれるグループはPlugXやHtranを使用している

2014年にファイア・アイが発表した内容の一部。広東省を拠点にしているmoafeeと呼ばれるグループと、江蘇省を拠点にしているDragonOKが同じようなツールを使い、共通のツールキットを使用している事を示している

その他APT攻撃を行い、ファイア・アイが監視活動を行っているグループのうち少なくても3つがPlugXを使用していると判断している

>> 「蟻の一穴天下の破れ」を想定した対策・訓練・覚悟を