第三回まで取り上げた内容は、メールによる「ばらまき型」攻撃から多発したランサムウェア感染や、情報搾取型マルウェアの事例でしたが、今回はサイバー攻撃で最も危険度の高い、特定の団体や企業が狙われた「やりとり型」攻撃や、APT攻撃から発見した「korplug(PlugX)」について解説します。
「やりとり型」メールに「怪しいメール」はない?
現在は、ウイルス添付メールがかなりの頻度で届くことから、「怪しいメールは開かずに削除してください」という注意喚起を目にすることが日常茶飯事という方も少なくないのではないでしょうか。ただ、そのように注意されても「怪しい」と判断するには、怪しいメールの特徴を理解する必要があり、簡単に対策できるものではありません。
そこで、確認してもらいたいのが以下の表です。みなさんが以下のようなメールを受け取った時に「怪しい」と考える項目はどれでしょうか?
ここで説明したいことは、「どれが正解か」ではありません。そもそも、上記の項目も詳細な説明がありませんから、ただ単に「送信者の誤送信」と考えられるケースもあるでしょう。ここで重要なポイントは、「怪しいと判断しなかった項目と、その数」です。
その中でも注目は最後の設問です。取引先とのやり取りで添付ファイルが送られてきた場合、あまり意識せずにそのままファイルを開きますよね? この2~3年に発覚したメールをトリガーとした標的型攻撃は、現場で気付くことが難しいケースがほとんどです。
つまり、標的型攻撃に出会ってしまうということは、そのメールを開く段階で、「怪しい」メールと思わなかったから開いたわけです。先ほどの「怪しいメール」の項目一覧でもわかるように、怪しいメールは「普段何気なく開いている」ものでもあるのです。
JTBの被害に見るマルウェアの「怖さ」
標的型攻撃でもう一つ注目すべきポイントは「被害環境で発見されたマルウェア」です。特にJTBの被害で大きな話題となった「Korplug(PlugX)」は、標的型攻撃に用いられたマルウェアとして有名になりました。
実は「Korplug(PlugX)」は、汎用的に使われていないマルウェアです。そのため、ターゲット企業が絞られていたことからサンプル数があまりなく、従来型のシグネチャ配信によるウイルス対策では見つけられないという指摘もありました。
前回、「難読化」されたマルウェア対策として「正常化」する「ビヘイビア技法」「ヒューリスティック技法」を紹介しましたが、こうした対策がより重要になることがおわかりいただけるかと思います。
マルウェア「Korplug(PlugX)」は2012年ごろから確認されている「RAT(Remote Administration Tool)」に属するもので、感染活動とともにバックドアを開け、遠隔操作を可能にする特徴を持ちます。ある正規メーカーのプログラムに存在する脆弱性を突いて実行するため、ウイルス対策ソフトに気づかれにくい設計でもあるのです。
また、2015年に見つかった「Korplug(PlugX)」のTypeIIと呼ばれる亜種は、最初に正規のプログラムを実行し、そのプログラムからマルウェア本体を実行させる設計でした。さらに攻撃コードがメモリ上に展開すると、インストール済みの正規のサービスプログラムやインストールプログラムに対して「インジェクション攻撃」を行います。
「SQLインジェクション攻撃」といえば、不正なSQL文の実行によってデータベースを不正に操作するものですが、「Korplug(PlugX)」はこれと同じ考え方で、普段から使用する正規のアプリケーションにインジェクション攻撃することで、遠隔操作を実現しています。下記の表は、実際に「Korplug(PlugX)」が実行できるコマンドの一覧です。
また、同じ頃に「Korplug(PlugX)」と一緒に「Win32/Agent(Elirks)」も見つかっています。後者はあまりメディアに取り上げられていませんが、「Korplug(PlugX)」よりも古いマルウェアで、2010年以降にさまざまな亜種を含めて確認されています。
2010年当初から、昨年の検体と近い特徴を持っており、発症後は以下のようなふるまいをします。
これだけの機能がありますから、遠隔操作に成功すれば、もはや「何でもできる、どんなデータでも見つけ出せる」と思っていただいていいでしょう。「なぜ簡単に侵入できるのか」「なぜ特定のデータを簡単に見つけられるのか」がわかる一例かと思います。
第4回までは、Windowsなどのパソコンをメインにセキュリティ侵害の解説を行いましたが、次回は視点を変え、企業内でも急速に普及する「モバイル環境におけるマルウェア」について解説します。