カスペルスキーは6月4日、年金情報流出で大きな騒ぎとなっている日本年金機構の情報流出の原因と見られる、日本を標的としたAPT攻撃「BlueTermite(ブルー・ターマイト)」に関する緊急会見を行った。

会見の冒頭、カスペルスキーの代表取締役社長 川合 林太郎氏は、「今回の会見は特定の団体をやり玉に挙げ、大きな騒ぎになっている事件に火に油を注ぐことが目的ではない」と説明。「今回、ニュースになっているもの以外にも、日本を標的としたAPT攻撃、BlueTermiteが起こっていることが明らかになったことから、これに関して説明を行うとともに、どんなことが起こっているのか、どう対策をとるべきかをお話したいと考えた」と続けた。

同社では2013年から日本を標的とした攻撃が行われていること、日本人にとってAPT攻撃が他人事ではないことをアピールしてきたが、「BlueTermiteは100%日本が攻撃対象となっている。三度目の正直で、標的型攻撃は他人事ではなく、日本の企業、団体全てが対策を取るべき事案」(川合社長)と訴えた。

BlueTermiteは2014年9月に指令サーバーへの通信を行っていることが確認されている。それ以降、10月~12月にかけては、日によっては百件を超す通信数となっていたが、その後は通信数が減っていた。しかし「今年4月以降、活動が活発化していることが明らかになっている」(カスペルスキー 情報セキュリティラボ セキュリティリサーチャー 石丸 傑氏)としており、再び攻撃者が目的をもって動き出した様子が伺える。

カスペルスキー 代表取締役社長 川合林太郎氏

 カスペルスキー 情報セキュリティラボ セキュリティリサーチャー 石丸 傑氏

マルウェアとしての特徴は、送られている添付ファイル付きメールの文面、添付ファイルのタイトルにはさまざまな種類があり、健康保険を装ったものや、季節の挨拶が書かれたものなどがある。添付されているファイルは自己解凍実行型の.exeファイルが添付されているので、そこに気がつけばファイルを開かずに削除する人が多いと思われるが、「添付ファイルの拡張子を表示しない設定になっている人が多いので、ファイル拡張子を意識することなく、ファイルを開く人が多いのではない」(石丸氏)という。

開いた添付ファイルに書かれているテキストは通常のものだが、そのバックエンドで攻撃者のサーバーと通信が行われる。その結果、外部通信用バイパスツールが設置され、マルウェアへの感染、内部ネットワーク管理者権限の取得、他の端末への感染拡大などが行われる。

指令サーバー、感染後の挙動、マルウェアという一連の攻撃が行われ、指令サーバーの機能、ファイル名、構成などが同種であるものが多数発見されている。日本年金機構への攻撃についても、この特徴が合致することから、BlueTermiteによる攻撃と推定された。

「我々のような対策者側には指令サーバーへの通信を見せない仕組みとなっているため、すぐには気がつきにくい」(石丸氏)

標的型攻撃であることから、攻撃対象を確認し、その組織が持っている重要な情報を取得している。2015年5月時点で国内数千ドメインが攻撃者の手中にある模様で、報道機関の例を取ると、メールアドレスやパスワード、IDが、エネルギー関連企業の場合には、保有する施設情報、製造業の場合にはIT資産リストなど、取得している情報に違いがある。

「最も被害が大きいと見られる情報通信業では、WindowsSystemファイルへのアクセスが確認された。クラウドサーバー本体へのアクセスがあった模様で、管理者権限まで乗っ取られていた場合には、他社への攻撃、情報収集などが行われている可能性がある」(石丸氏)

こうした事態に対し川合社長は、「テクノロジー、教育、環境、情報の取り扱いという4つの柱に則って対策を作るべき」とアドバイスする。

「うちは小さい会社だから、狙われている業界ではないといった、根拠のない『うちは大丈夫』という過信を止める。誰もが標的となる可能性があり、送られてくるメールの内容も巧妙化している。被害に遭うことは決して恥ではない。万が一、攻撃にあった場合には警察に連絡し、他の企業が攻撃にあうことがないよう、重要な情報として共有していくべき」(川合社長)

セキュリティ製品を提供する企業としてテクノロジーの観点から、エンドポイント対策の見直し、脆弱性対策の導入、.exeはデフォルトで削除ないし、隔離するといったメール設定の見直し、セキュリティコンサルティングの実施により現状の確認と評価を行うことを提言する。また、BlueTermiteへの感染の有無を確認するため、タスクリスト、スタートアップに登録されているかを確認すべきMalware、Toolsのプロセス名を紹介。確認の必要性をアピールした。