編集部からのお知らせ
新着記事まとめ:アジャイル開発が支えるDX
新しい働き方の関連記事はこちら

マルウェアが旧東側政府などをスパイ、水飲み場型で感染--シマンテック解析

山田竜司 (編集部)

2014-08-18 10:32

 2年前に検出された、「Wipbot」や「Turla」と呼ばれるマルウェアは、旧東側諸国の政府機関や大使館をスパイしていた。背景や攻撃手法などをSymantecが解析した。

 攻撃者は当初、バックドア型の「Trojan.Wipbot(別名Tavdig)」で偵察活動を始め、その後「Trojan.Turla(別名Uroboros、Snake、Carbon)」を使った長期的な監視活動にシフトした。この組み合わせで少なくとも4年間、典型的なスパイ活動があったという。選ばれた標的の特徴とマルウェアに使われた高度な技術から、攻撃活動の背後には国家が支援しているグループが存在すると考えられるとしている。

 Turlaは強力なスパイ機能を備えており、コンピュータに合わせて起動するように設定されている。ユーザーがブラウザを立ち上げるとバックドアを開き、攻撃者との通信を有効にするという。攻撃者は、感染したコンピュータからこのバックドアを介し、ファイルのコピー、サーバへの接続、ファイルの削除、他のマルウェアのロードと実行などが可能としている。

 Turlaの背後にいるグループは2段階の攻撃戦略を用いており、スピア型のフィッシングメールや水飲み場型攻撃を使って感染させる。水飲み場型攻撃では、極めて限定された正規のウェブサイトを侵害して、事前に指定したIPアドレス範囲からアクセスした標的のみにマルウェアを配布する。侵害されたウェブサイトから配布されたTrojan.WipbotがTurlaをダウンロードして標的に配布している可能性が極めて高いという。

 当初、この感染は欧州諸国で拡散しているように見えたが、詳細な分析の結果、西欧圏での感染の多くは、かつてのソ連など旧東側諸国の政府機関のネットワークに接続されているコンピュータで発生していると判明した。感染は、これらの国の大使館で発生したとみられるという。

 感染を分析したところ、攻撃はいくつかの特定の国に集中しており、2012年5月には、旧ソ連構成国の首相事務局で発生した感染が広がり、最大60台のコンピュータが侵害されたと説明している。

 2012年末に別の旧ソ連構成国の在仏大使館で発生した感染は、2013年になると同国外務省のネットワークに接続されたコンピュータに拡散を開始し、さらに内務省にも感染を広げた。調査を進めたところ、同国の外交活動を標的とした組織的なスパイ活動が発覚した。ベルギー、ウクライナ、中国、ヨルダン、ギリシア、カザフスタン、アルメニア、ポーランド、ドイツの大使館でも感染が確認されたという。

 同じ地域内で、少なくとも5カ国が同様の攻撃の標的となっていた。攻撃者の狙いは主に旧東側諸国だが、西欧の保健省、中米の教育省、中東の電力関連機関、米国の医療機関など、他の標的もいくつか確認されているとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]