セキュリティベンダーのファイア・アイは6月17日、大手旅行会社のにつながったといわれる遠隔操作型のマルウェア「PlugX(別名Kaba)」についての説明会を開催した。
PlugXは遠隔操作用のマルウェアで、従来の標的型攻撃で多用されたとされる「PoisonIvy」に代わり、2012年ごろから国内のAPT攻撃(高度な標的型サイバー攻撃)で使われているという。ターゲットは米国、韓国、香港、台湾、日本などで、政府や通信業界、メディア、ハイテク産業が標的になっている。感染すると、攻撃者によって遠隔から任意の操作を実行されてしまう恐れがあるため、感染したPCを踏み台に、別のマルウェアやツールを送りこみ、企業の機密情報や顧客情報が盗まれてしまう。
同社 シニア・スタッフ・リサーチ・アナリストの本城信輔氏によれば、国内では2015年以降、日本年金機構に対する攻撃でも使われた「Sunblade」による攻撃が一般的になっており、PlugXによる攻撃は減っているそうだ。しかし、だからこそ対策が難しいと警鐘を鳴らす。
「PlugXによる攻撃はそれほど新しいものではなく、例も減っているため、なぜ今、攻撃者がこれを使っているのかと不思議なくらいだが、数が減っているぶん、シグネチャベースのウイルスソフトではすり抜けられる可能性が高い。標的を絞り、より狙いすました“本気”の攻撃で使われる傾向にある」(本城氏)
PlugXは、攻撃ツールキットに使われる言語の特徴や過去の攻撃事例の特徴に照らしてみると、中国を発信源とする攻撃に使われることが多いという。先日起きた大手旅行会社の不正アクセスについても、ファイア・アイは発信源は中国の可能性が高いと考えている。中国には日本を狙う複数のハッキンググループがいると考えられ、パケット転送ツールを悪用して攻撃元を偽装したり、複数の攻撃者グループがマルウェアや技術を共有しているという。
なお、今回大手旅行会社のPCが感染したとされる、もう1つのマルウェア「ELIRKS(Jambox)」については、「外国では事例がなく、日本国内への攻撃でのみ確認されている」(本城氏)とのことで、通常のC2サーバ(コミュニケーション&コントロールサーバ)に加え、ブログサイトを使ってエンコードした命令をやりとりするのが特徴という。
昨今のAPT攻撃に使われるメールは、巧妙に取引先を装うなど見抜くのが難しいのが特徴だ。説明会ではPlugXにおける添付ファイルの実例を基に説明。不自然な点がないように見えるが、中国語のフォントが用いられていたり、日本語の表現が間違っていたりといった特徴があるという。
「不特定多数への感染を狙うランサムウェアなどと異なり、標的型攻撃に関しては一度侵入してしまえば勝ち。すぐに“怪しい”と分かるメールなどもう来ない。従業員に対して怪しいファイルを開かないよう注意喚起するのもいいが、それだけで防ぐのは無理な話。年金機構もたった1台のPCの感染から始まり、情報漏えいが起きた。経営者は感染を前提に対策を考えなければならない」(本城氏)
本城氏は感染を前提とした対策として、感染後の対応手順や攻撃の監視、早期発見、復旧などが重要だと説明。セキュリティ専門家が攻撃者役を務め、企業に模擬サイバー攻撃を仕掛ける「レッドチーム演習」も有効だという。
標的型攻撃を巡る情報漏えいは後を絶たないが、最近はその傾向が変わってきていると本城氏は指摘する。
「以前は設計図などの機密情報を狙う例が多かったが、ここ1年くらいは個人情報を狙うケースが激増している。攻撃者が盗んだ情報をどのような目的に使うのかは把握できていないが、次の攻撃に利用するのかもしれない。米国でもSocial Security Number(社会保障番号)が流出する事件が起きたが、日本でも企業が保管しているマイナンバ−が狙われると考えたほうがいい」(本城氏)
本城氏は、対策としてサンドボックスやシンクライアントの導入、機密情報を扱うネットワークの分離などを勧めている。「メールやWebを見るネットワークは丸腰で治安の悪いところを歩くようなもの。大事な情報資産は不正アクセスされにくい場所に置いておくのがいい。仕事の生産性が落ちたり、大きな投資を必要とする施策もあるが、大事故が起きるリスクと比べて決断してほしい」(本城氏)
Copyright© 2016 ITmedia, Inc. All Rights Reserved.