日本を狙うサイバー攻撃「ブルーターマイト」、手口がさらに巧妙に
2015.08.22
情報セキュリティソリューションを提供するカスペルスキーの調査分析チーム(GReAT)によれば、日本を狙った標的型攻撃(APT)「Blue Termite:ブルーターマイト」の新たな動きを観測したという。
APT攻撃「ブルーターマイト」とは、日本国内の組織に標的を絞ったAPT攻撃で、感染は非常に多くの業種に広がっている。通常は国外に設置されている攻撃者の指令サーバーのほとんどが国内に設置されているのも特徴的で、これは日本の組織が海外からの通信を遮断したり、特定を困難にするための処置と考えらるという。また、従来は、標的型攻撃メールによって感染する手法がメインだった。
しかし今回、同社はこうした感染手法の新しい手口を観測したという。それは、これまでの標的型攻撃メールに加えて、新たにWebブラウザなどを介してユーザーに気づかれないようにダウンロードさせるドライブバイダウンロード攻撃という感染手法である。また、攻撃に用いられるマルウェアも変化しており、より標的型に特化したカスタマイズが施されるようになった。
実際の攻撃は段階ごとに異なるマルウェアやツールなどを駆使し、複雑なものになっている。
カスペルスキーの分析では、その流れは以下のようになっているという。
<第一段階>ソーシャルエンジニアリングやそれまでに窃取した情報を元に標的を定め、メールやドライブバイダウンロードを駆使して「Emdivi t17」に感染させる。バックドアを仕掛け、感染先の端末を指令サーバーの配下におく。
<第二段階>「Emdivi t17」を経由して感染先の情報を調査・収集し、上位版である「Emdivi t20」に感染させる。次の段階で用いられるほかのマルウェアや攻撃ツールも設置され、組織内の別の端末に感染を広げるケースも。
<第三段階>感染先の端末内で収集した機密情報や重要情報を窃取。収集ならびに窃取した情報を元に、次の標的へと攻撃を拡大するとともに、ホスティング事業者などに侵入した場合は、新たな指令サーバーとしてのインフラの構築も行う。
段階を追ってマルウェアが「バージョンアップ」されていくのは実に恐ろしい手法だ。
これにより、感染被害が数の上でも範囲においても拡大しており、さらなる情報漏洩を含む被害が予想される。十分な対策が取られていたと思われる国の機関や大企業でも侵入と漏洩の被害にあっている現状、さらにいえば、マイナンバーの導入やオリンピックの開催など攻撃がますます増してくるであろう環境的な要因も考えれば、今後は総合的な対策を根本的に見直すと同時に、インシデント情報の共有とその有効活用の仕組みが早急に求められるだろう。
参照:カスペルスキー
<文/HBO取材班>
ハッシュタグ