Blue Termiteの最大の特徴は、標的が日本に特化されているだけでなく、攻撃を指令するC&Cサーバーが日本に多く設置されているところにある。カスペルスキーの調査によると、2014年9月から感染PCと指令サーバーの通信を観測してたが、12月からいったん鎮静化。そのあと、今年(2015年)の4月から再び増えているという。
|
|
指令サーバーの例。「.jp」ドメインが多いだけでなく、IPアドレスの93%が日本のものというところが特徴だ |
カスペルスキーが把握している、指令サーバーへの通信数。2014年の9月から見つかって12月にいったん終息するものの、今年の4月から再度活発化している。指令サーバーへのアクセスを行っている感染IPアドレスは、300以上にのぼるという |
ターゲットとなっているのは、政府機関、報道機関、防衛関連、航空宇宙産業、金融業、製造業、エネルギー関連、情報通信と、非常に幅広い。カスペルスキーの観測では、300以上のIPアドレスから通信を確認している。一つの組織で複数のIPアドレスを使うこともあるので、300=組織数ではないが、それなりに広く感染&監視活動が進行しているようだ。
カスペルスキーは、情報通信会社からの通信に「c:\windows\system32」フォルダを確認した痕跡があることを問題視している。推測として、クラウドサーバーの基幹部分が乗っ取られた結果、その会社が管理しているクラウドサーバーも乗っ取り可能になっていることを指摘。これが、「C&Cサーバーの93%が日本のサーバー」である根拠とした。
|
|
感染PCの73%が日本からのもので、カスペルスキーは残りの27%はアンチウイルスベンダーの解析ではないかと判断。10業種への攻撃が見られるという |
ファイル名やフォルダ名から、エネルギー関連企業が感染していると判断 |
|
|
防衛関係と判断している例。スミ塗りはカスペルスキーで行っているもの。「ペトリオット」は航空自衛隊で見られる表記 |
製造業と判断している例 |
|
|
情報通信産業と判断している例。「c:\windows\system32」はMicrosoft Windowsのシステムファイルが置かれている場所で、マルウェア(=攻撃者)が管理者権限を取得していると判断 |
国内の指令サーバーが多いのは、クラウドベンダーが被害にあっている結果。そのベンダーがかかえる顧客の全仮想マシンにアクセスできると判断している |
|
|
Blue Termiteは標的企業群も日本、指令サーバーも日本という、かなり特異なマルウェアであると結論 |
現在、カスペルスキーが「Blue Termiteのファイル群」と検知するシグネチャ名称の一覧。Genericが多いので、亜種にも対応できるという |
「ウチは大丈夫」と根拠のない自信は捨てよ。誰もが標的になる現状認識を
ここで川合社長にバトンタッチし、このような状況下で「ウチは感染しない」という根拠のない自信は捨て去り、感染を防ぐテクノロジーに頼るだけでなく、教育や環境、情報の取り扱いを含めた総合的な取り組みが必要と述べた。
一件のインシデントで発生するコストは、一般論でいうと中小企業で約56,000ドル、大企業では約649,000ドルにのぼる(1ドル120円で計算すると、56,000ドルは約6,700,000円、649,000ドルは約77,900,000円だ)。これを示したうえで、エンドポイントセキュリティを見直し、脆弱性対策の導入、メール受信環境の再設定(.exeは捨てるか隔離環境に移して従業員が扱えないようにする)、そしてセキュリティコンサルティングを実施して、現状の確認と評価を行うべきとした。
|
|
単にテクノロジーだけで攻撃を防ぐのはもはや無理で、教育や環境、そしてきちんと情報公開をするべきという |
社会的には、誰かが被害にあったらそれを事例としてもっとよくしましょうという話。しかし現実は、被害にあっても泣き寝入りで、被害にあったことを外部に漏らさないケースが多い |
|
被害にあった際のコストは甚大なので、その数割を保険としてコンサルティング費用や対策に使いましょうという話だが、これもなかなか進んでいないのが実態だろう |
