ロシアのセキュリティーベンダーであるカスペルスキー・ラボは2014年11月10日、高級ホテルのネットワークに侵入し、宿泊客のノートパソコンなどにウイルス（マルウエア）を感染させる「Darkhotel（ダークホテル）」攻撃が2010年8月から確認されているとして注意を呼びかけた。具体的なホテル名は明らかにしていないものの、日本でも被害例があるもようだ。

　Darkhotelは、コストをかけて実行される標的型攻撃「APT」の一種。攻撃者は何らかの方法で、大手企業の幹部などが宿泊するような高級ホテルのネットワークに侵入。ホテルのポータルに罠（わな）を仕掛けて、ネットワークに接続した幹部などのパソコンにウイルスを感染させて乗っ取る。同社の報告によれば、有名な正規ソフトのインストーラーに見せかけて、ウイルスを実行させるという。

　攻撃者は何らかの方法で宿泊客の詳細を入手し、情報を盗みたいような相手だった場合に、前述のような罠を仕掛けてウイルスをインストールさせる。インストールさせたあとには罠をすぐに消して、証拠を残さない。攻撃が行われたホテルに、同社の研究者がおとりのマシンを持って宿泊した際には攻撃されることはなかったとしている。

図1　P2Pネットワークで配布された「Darkhotelウイルス」の例。復号プログラムとされている「AxDecrypt.exe」に仕込まれている

　だが最近では、Darkhotelのウイルスを使った無差別攻撃も確認されている。しかも、主な標的は日本だという。攻撃者は、日本のコミックや動画などの海賊版を暗号化し、P2Pネットワークに配布（図1）。海賊版をまとめたアーカイブファイル（圧縮ファイル）には、復号のためのプログラムを含める。この復号プログラムにウイルスが仕込まれており、海賊版の復号と同時にパソコンに感染し、そのパソコンを攻撃者が操れるようにする。

　カスペルスキー・ラボの調査によれば、感染パソコン数が多いのは、日本、台湾、中国、ロシア、韓国で、これらを合わせると全体の9割以上になるという（図2）。

図2　「Darkhotelウイルス」の感染割合

（日経コンピュータ　勝村幸博）

[ITpro 2014年11月11日掲載]