日本企業をターゲットにした標的型攻撃「Icefog」 - Kasperskyが注意喚起

カスペルスキーは10月3日、サイバースパイ活動「Icefog」に関するプレスカンファレンスを開催し、日本企業が主な攻撃対象になっているとして注意を呼びかけた。

初めに、カスペルスキーの代表取締役社長 川合 林太郎氏が登壇。川合氏は「数年前までは日本語という言語の壁に守られ、世界的なサイバー攻撃の攻撃対象から外れていた。しかし、ネットバンキングを狙うZeusや、このIcefogなど、韓国や日本を狙う標的型攻撃がここ数年増えてきた」と語る。

その一方で、日本企業のセキュリティ担当者などは、そのような攻撃に対し危機感が薄いと警鐘を鳴らす。

「標的型攻撃などの被害を受けた企業のセキュリティ担当者に話を聞くと、『個人情報さえ抜かれていなければ大して問題ない』という認識を示す人が多い。危機感が薄い要因は言語の壁だけではなく、日本が島国であることもかもしれない。攻撃者は、攻撃しやすく金銭が多くある場所に集まるため、日本は格好の標的。気を付けて欲しい」(川合氏)

サイト改ざんによるマルウェアの埋め込みが増加

続いて、同社の日本情報セキュリティラボ所長 ミヒャエル・モルスナー氏が、近年の標的型攻撃(APT)の傾向と、"Icefog"の攻撃概要について説明を行った。

モルスナー氏は「6年間でAPTが年々増加している。APTによってデータの流出はもちろんのこと、多数の被害者を生む可能性がある。例えば、米国労働省のサイトが攻撃を受けて改ざんされ、マルウェアを埋め込まれた」とAPT攻撃の現状を語る。

川合氏の話に続き、モルスナー氏もまた「決して日本がAPTに無関係というわけではなく、7月～9月期に1238件の日本語サイトにマルウェアが埋め込まれていることを確認した」と対岸の火事ではないことを強調。また、「我々からサイト管理者に連絡を行ったが、3日時点でも210件が未だに放置されたままだ」としており、危機感の薄さについて改めて苦言を呈した。

組織的な大規模サイバースパイ攻撃では、「Red October」「NetTraveler」などが挙げられる。また、「Winnti」の攻撃では日本のゲーム開発会社5社も狙われ、そのうち1社は侵入されたことを発表しているが、ほかの4社については公表していないという。

Icefogは従来のAPT攻撃とは異なる

そしてモルスナー氏は、本題である「Icefog」の説明に移った。Icefogは「従来のAPTとは異なるふるまいを見せ、ずっと居座り続けるのではなく、すぐに撤収して戻ってこない」(モルスナー氏)という。

そしてモルスナー氏は実際に入手したIcefogの検体を利用して、デモンストレーションを行った。この検体は、あるマスメディアに先月届いたもので、AKB48の指原 莉乃さんのスキャンダルをうたったメールタイトルになっていたという。

「本当は、公開するのにふさわしくないアダルトなタイトルだったので変えたよ(笑)。このアイドルグループがじゃんけん大会をやってたり、結果が出る時期にメールがばら蒔かれており、日本の情勢についてかなり詳しい人間が送っていることが分かる」(モルスナー氏)

メールの内容についても、スキャンダルを告発するかのような文体で書かれており、日本語として不自然に見える部分は殆どない。また、添付ファイルも、指原さんのグラビア画像を貼り付けることで不信感を取り除き、攻撃者からのメールと分からないように装っている。

攻撃者は、このように添付ファイルを開かせることで、PCにペイロードを送り込む。添付ファイルを開いた後、システムファイルをいじるような動作をしていないにも関わらず、システムフォルダにデバイスドライバが保存される。

その後、再起動を行ってテンポラリフォルダ(一時保存場所)に行くと、起動直後にも関わらずdatファイルが存在しているのが分かる。これをコピーして保存後、コマンドプロントでネットワークの状態を見てみると、外部のC&Cサーバにアクセスが確立したことが分かる。

アクセスの確立を確認したのち、先ほどのテンポラリフォルダに戻るとdatファイルがなくなっており、コピーしたdatファイルしか残っていない。これがモルスナー氏が最初に述べた「すぐに撤収して戻ってこない」というゆえんだ。

このdatファイルをメモ帳で開いてみると、外部ネットワークにどのような情報が送られたかが分かる。OSバージョンやサービスパックの適用情報、IPアドレス、ユーザーの管理者権限、そしてどんなプロセスが走っているかが外部に送られていた。

特にプロセス情報については「ここに書いてあるVMwareのような仮想化環境と分かるプロセスが走っていた場合、攻撃者は感づいてすぐに撤収してしまう」(モルスナー氏)という。また、数分おきに情報を送信することで、継続してプロセス監視を行っている。

攻撃者はその後、目的とする情報が見つかった場合、マニュアルで侵入先のコマンドラインを使って様々な侵入行動を行う。

この例では、フォルダの中身を確認し、目的のファイルを見つけたのち、コピーを行っている。PCの時間をチェックしたあと、ネットワークドライブをチェックして、ファイルのダウンロードを開始した。なお、ダウンロードしているファイルのうち、拡張子「hwp」は韓国語のワードプロセッサのものだという。

攻撃対象は軍関係を狙ったもの?

カスペルスキーが調査を行ったところ、軍や政府、造船、衛星製造メーカーなどがターゲットになっていたという。また、先のデモンストレーションでも対象となったテレビや新聞も狙われているという。

これまで、このような攻撃では被害を受けにくいとされていたMacについても、Icefogは攻撃対象にしており、350件の感染例をカスペルスキーは確認しているという。

ただ、すぐに侵入の足跡を消してしまう特性上、全貌を掴むまでに何年もかかる可能性があるといい、モルスナー氏は「サンプルを見て解析したい。サーバーにデータを送るとすぐにデリートしてしまうため、すぐに対策を取ることが重要になる。変なメールが来たと思ったら、すぐにカスペルスキーに転送して欲しい。少しでもこうした脅威がなくなるように頑張りたい」と語った。