「PlugX」はどんなマルウェア? JTBを狙った標的型攻撃をファイア・アイが解説

ファイア・アイは17日、マルウェア「PlugX」の攻撃手法などを説明する会見を開いた。PlugXは、ジェイティービーが14日に公表した個人情報流出問題の発端として、同社PCが感染したとみられているマルウェア。

【関連記事】JTB、約793万人分の個人情報流出の恐れ - 有効パスポート番号4,300件含む

ファイア・アイ シニア・スタッフ・リサーチ・アナリストの本城信輔氏によると、「PlugX」は遠隔操作用のマルウェア。2012年頃から国内で発見されはじめ、攻撃対象は米、韓国、香港、台湾、日本、ベトナムなどアジア中心。標的とする情報は、ハイテクや航空宇宙、メディア、通信、政府関連の情報などだという。

PlugXのデモンストレーションでは、PlugXでC&Cサーバ(感染PCを制御したり、命令を送ったりする親玉サーバ)を設定し、コントロール先のPC内にあるファイルを一覧表示させたり、データを一方的に送信/受信したり、レジストリにアクセスしたりする様子が実際に再現された(PlugXは中国語のマルウェア生成ツールであるため、中国版のWindowsで立ち上げている)。

数が少ないマルウェアだからこそ危険

PlugXの検出は2014年下半期がもっとも多く、2016年では検出数が激減しているという。しかし「数が少ないほうが危険」(本城氏)。攻撃者が絞り込んだ、本当に狙っているターゲットに対して使われていると考えられるほか、毎回異なるロジックで暗号化がなされるため、攻撃パターンをデータベース化するシグネチャベースのセキュリティではすり抜ける可能性があるという。

ファイア・アイでは、日本へのAPT攻撃(特定のターゲットに対し継続的に攻撃すること)を行うグループとしてAPT4、APT10、APT17といったグループを確認しているが、今回のJTBへの攻撃は、企業や軍事などの機密情報を狙うAPTと異なり、日本年金機構などと同じく、個人情報を狙っていることが特徴。本城氏は、日本年金機構の例を挙げ「個人情報を狙うのはここ最近のトレンド」と説明。個人情報を狙うサイバー犯罪グループがいるのは間違いないとみており、「個人情報を持っている企業であれば、旅行会社でなくとも狙われる可能性がある」と警鐘を鳴らした。

「怪しいメール」は来ない

本城氏は、「怪しいメールに気をつけろと言われるが、『怪しいメール』は来ない」と強調する。標的型攻撃では、事前に業務内容などを窃取し、実在する社内の上司、外部の担当者などを装い、業務内容に即した普通のメールが来るため、一般社員への注意喚起だけでは防ぐことは難しい。今回のJTBでは、取引先を装い、社内用語まで取り入れたメールが送られていた。「マルウェア攻撃のメールを判別することはできないという認識を持つ必要がある。ふるまいを検知するサンドボックス型セキュリティでも、100%防げるものではない」(本城氏)。

重要なのは、感染を前提に「マルウェアは防げない」と会社側が認識すること。感染後の対応手順や通信の監視、早期発見、隔離、そして復旧するかという対策が重要となる。専門家が演習として標的型攻撃を実行する「レッドチーム演習」などで、組織としての対策はどうかをチェックすることも有効だという。

メールを受信したりファイルにアクセスできるPCと、重要情報にアクセスできるシステムは、物理的に切り離したネットワークで管理することも必要だとした。一般的なネットワークで重要情報を扱うことは「大金をもって、治安の悪いところを丸腰で歩くようなもの」。日本年金機構も個人情報が流出する事故が起きたが、同機構でも本来の手順では、分離したネットワーク内で重要情報を管理するシステムだった。しかし、業務的には非効率になるため、不正な手順でネットワークにつなげていた。これが漏洩につながった要因のひとつだ。

「1件2件の感染を許しても、数百万の大規模感染は防ぐという意識に切り替える必要がある。感染後、どう対応するかのに重点を置くことが大事」(本城氏)。