トレンドマイクロは4月13日、フランスで4月8日(現地時間)に起きたテレビ放送局「TV5Monde」を狙った大規模なサイバー攻撃の実態を同社セキュリティブログで解説した。
攻撃に利用された不正プログラムは「Remote Access Tool(RAT)」の一種である「Kjw0rm」の亜種で、「Sec-wOrm 1.2 Fixed vBS Controller」と呼ばれるハッキングツールで作成されている。PCに入り込んだ「Kjw0rm」はバックドアとなり、外部のコマンド&コントロール(C&C)サーバーからの指令でPCを遠隔操作できるようになる。
|
RAT作成ツール「Sec-wOrm 1.2 Fixed vBS Controller」の操作画面 |
トレンドマイクロでは、「Kjw0rm」を2015年1月に「Njw0rm」のソースコードの流出により初めて確認した。確認できたのは、さまざまな不正プログラムを提供する「dev-point.com」のアラビア語ページだったという。その後、南アフリカやインドなど少なくとも12カ国で次々と確認したという。
バックドア経由で指令を送るコマンド&コントロール(C&C)サーバーは、別のバックドア型の不正プログラム「BKDR_BLADABINDI.C」との関連性が指摘されており、両者が同一のグループによって作成されたと推測されている。
また、他のVBScript系不正プログラムも活動中であることも示唆しており、「Njw0rm」が利用するものとは異なる4つのC&Cサーバーが確認されており、「JENXCUS」を利用した過去の攻撃と関連している。「JENXCUS」は、中南米地域で確認された「DUNIHI」を利用した攻撃と関連するVBScript系不正プログラム。
放送中止に追い込んだサイバー攻撃の影響力
サイバー攻撃の被害の実態を見ていこう。サイバー攻撃は、2015年4月8日午後10時頃(現地時間)に始まり、同ネットワークにおける11の関連各局が放送を中止せざる負えない状況に追い込まれた。
また、TV5Mondeのソーシャルメディアアカウントにも被害が及んだ。Facebookのアカウントが乗っ取られ、公式のFacebookページには、攻撃者によって「イラク・レバントのイスラム国」からとされる宣伝活動のメッセージが投稿された。
さらに、Twitterのアカウントのうちの1つが乗っ取られ、攻撃者から米国やフランスに向けたメッセージ、フランス兵の家族に対する脅迫文が投稿された。さらに、フランス兵の身分証明書やパスポートなども公開された。
なお、今回の事件における不正プログラムの侵入経路などはまだ明らかになっていないという。トレンドマイクロは、「RAT作成ツールは複数のフォーラムから入手可能で、どのような攻撃者でも利用することができる。また、このツールを利用するのに、技術的な知識はほとんど必要ない」とコメントしている。
