恐るべき産業スパイ組織「Butterfly」--その実体を探る

　Symantecは「個人ユーザーと企業や組織が情報主導型の世界を安全に管理できるよう支援する」という使命のもと、スパイ行為を検知するサービスを自社の一連のサービスに追加し、次の段階に向けてまい進している。その1つの証として、Symantecが最近公開した「Butterfly: Corporate spies out for financial gain」（Butterfly：金銭的利益を追求する産業スパイ組織）というホワイトペーパー（PDF）を挙げたい。以下はそのホワイトペーパーからの抜粋だ。

　Butterflyは、企業システムに焦点を合わせた産業スパイ活動を実行する、極めて能力の高いプロの攻撃部隊だ。彼らは豊富な知的財産を所有する企業にとって大きな脅威と言える。彼らの金銭的利益のために、企業の知的財産は盗難の危機にさらされている。

提供：Symantec
※クリックすると拡大画像が見られます

　注：Symantecは当初、この組織をMorphoと呼んでいたが、同名の企業が存在したため、Butterflyにその名を改めている。

　右の表は、Symantecのホワイトペーパーからの抜粋であり、過去4年間にButterflyの被害にあった企業の数を業界ごとにまとめたものだ。

最初の大規模攻撃

　2013年にはAppleとFacebook、Microsoft、Twitterが被害にあった。Symantecの研究者らが重視したのは、これら4つの攻撃が同じ手法によるものだという点だった。その手法とは、モバイルアプリ開発者が使用するこれら企業のウェブサイトに対してOSX.Pintsized（「OS X」上にバックドアを設置するトロイの木馬）そして／あるいはBackdoor.Jiripbot（「Windows」上にバックドアを設置するトロイの木馬）を送り込み、攻撃を仕掛けるというものだ。

　また、SymantecがButterflyに着目したのには、以下のような理由もある。

• Butterflyは少なくとも2012年から活動しているものの、この組織に関する情報はあまり明らかになっていない。
• 対象企業への攻撃は迅速かつ洗練されたものとなっている。
• Butterflyの攻撃部隊は侵入に成功した後、その痕跡を消し去ったり、あたかも攻撃がちょっとした操作間違いで起こったかのように、そのまま撤退したりしている。
• その攻撃活動は2013年の末近くに突然停止し、2014年の後半になって突如として再開されている。

　Symantecのある従業員は2015年7月8日のブログ投稿で、この組織の活動について触れ、「Symantecの調査で、これまでに20カ国以上の49に及ぶ企業がButterflyから攻撃を受けたことが明らかになった。サイバー犯罪組織が機密情報を盗み取るために体系的に大企業を標的にしているという全体像が時とともに明らかになった」と述べている。