日本を広く狙う攻撃「Blue Termite」拡散中、根拠なき自信は捨てよ - カスペルスキー記者説明会
○「年金機構は氷山の一角」、日本だけを狙う攻撃が進行中
カスペルスキーは6月4日、日本の企業を広く狙う「Blue Termite」によるAPT攻撃が現在進行中であると発表し、その状況を解説した。なお、Blue Termiteはカスペルスキーによる命名である。
冒頭、代表取締役社長の川合林太郎氏は、日本年金機構の年金情報漏えいに絡んだ憶測やデマに近い報道がされているため、今回は事実のみを簡潔に伝えると発言。
日本をターゲットにしたAPT(Advanced Persistent Threat)攻撃に関しては、2013年のICEFOGによる事例がある。この発表の際にカスペルスキーのセキュリティチームは、「APTは海外の話ではなくなった」と説明している。
翌年2014年には、DARK HOTELと呼ばれる攻撃がアジアで発覚(ホテルのネットワークに不正侵入して宿泊客を狙う。攻撃そのものは7年前から)。これらは、ホテルに宿泊する企業VIPや重要な情報を持っていると思しき人がターゲットにされていた。
そして今年、Blue Termiteが発覚した。カスペルスキーによると、Blue Termiteの攻撃は2014年9月から行われていたとのことだ。
○感染先IPアドレスの多くが日本。C&Cサーバーも日本なのが最大の特徴
同社マルウェアリサーチャーの石丸傑氏は、Blue Termiteの詳細を解説。きっかけは、2014年秋に、健保組合や年賀状を装ったマルウェアメールを発見したこと。健保組合の場合は「Wordファイルのアイコンを持つ実行ファイル」が添付されており、これをダブルクリックするとマルウェアに感染する(自己解凍型ファイルが実行され、ダミー文書の表示とともにマルウェア本体が動き出す)。
これだけだと広範囲な攻撃メールのように思われるが、そうではない。Blue Termiteの初期モジュールは、攻撃対象のPCかどうかを判定したうえで、対象と判断した場合に外部への通信プログラム(バックドア)を動作させる。
加えて、現在のマルウェアをバージョンアップしたり、攻撃対象ごとにカスタムメイドされたマルウェアを取得したりする。さらに続き、内部ネットワークへの感染拡大を試み、感染PCや内部ネットワークの管理者権限も奪取しようとする。標的ごとに異なるマルウェア行動の一例として、「報道機関」を挙げてみよう。感染したマルウェアによって、そのPCが「報道機関」と判断されると、メールアカウントやブラウザのセッション情報を盗み、重要な情報源となるであろう文書ファイルの窃取を行う。
●日本に特化した攻撃、ターゲットにされている業種や機関は?
Blue Termiteの最大の特徴は、標的が日本に特化されているだけでなく、攻撃を指令するC&Cサーバーが日本に多く設置されているところにある。カスペルスキーの調査によると、2014年9月から感染PCと指令サーバーの通信を観測してたが、12月からいったん鎮静化。そのあと、今年(2015年)の4月から再び増えているという。
ターゲットとなっているのは、政府機関、報道機関、防衛関連、航空宇宙産業、金融業、製造業、エネルギー関連、情報通信と、非常に幅広い。
カスペルスキーの観測では、300以上のIPアドレスから通信を確認している。一つの組織で複数のIPアドレスを使うこともあるので、300=組織数ではないが、それなりに広く感染&監視活動が進行しているようだ。
カスペルスキーは、情報通信会社からの通信に「c:\windows\system32」フォルダを確認した痕跡があることを問題視している。推測として、クラウドサーバーの基幹部分が乗っ取られた結果、その会社が管理しているクラウドサーバーも乗っ取り可能になっていることを指摘。これが、「C&Cサーバーの93%が日本のサーバー」である根拠とした。
○「ウチは大丈夫」と根拠のない自信は捨てよ。誰もが標的になる現状認識を
ここで川合社長にバトンタッチし、このような状況下で「ウチは感染しない」という根拠のない自信は捨て去り、感染を防ぐテクノロジーに頼るだけでなく、教育や環境、情報の取り扱いを含めた総合的な取り組みが必要と述べた。
一件のインシデントで発生するコストは、一般論でいうと中小企業で約56,000ドル、大企業では約649,000ドルにのぼる(1ドル120円で計算すると、56,000ドルは約6,700,000円、649,000ドルは約77,900,000円だ)。
これを示したうえで、エンドポイントセキュリティを見直し、脆弱性対策の導入、メール受信環境の再設定(.exeは捨てるか隔離環境に移して従業員が扱えないようにする)、そしてセキュリティコンサルティングを実施して、現状の確認と評価を行うべきとした。
提供:
