編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

マルウェアが旧東側政府などをスパイ、水飲み場型で感染--シマンテック解析

山田竜司 (編集部)

2014-08-18 10:32

 2年前に検出された、「Wipbot」や「Turla」と呼ばれるマルウェアは、旧東側諸国の政府機関や大使館をスパイしていた。背景や攻撃手法などをSymantecが解析した。

 攻撃者は当初、バックドア型の「Trojan.Wipbot(別名Tavdig)」で偵察活動を始め、その後「Trojan.Turla(別名Uroboros、Snake、Carbon)」を使った長期的な監視活動にシフトした。この組み合わせで少なくとも4年間、典型的なスパイ活動があったという。選ばれた標的の特徴とマルウェアに使われた高度な技術から、攻撃活動の背後には国家が支援しているグループが存在すると考えられるとしている。

 Turlaは強力なスパイ機能を備えており、コンピュータに合わせて起動するように設定されている。ユーザーがブラウザを立ち上げるとバックドアを開き、攻撃者との通信を有効にするという。攻撃者は、感染したコンピュータからこのバックドアを介し、ファイルのコピー、サーバへの接続、ファイルの削除、他のマルウェアのロードと実行などが可能としている。

 Turlaの背後にいるグループは2段階の攻撃戦略を用いており、スピア型のフィッシングメールや水飲み場型攻撃を使って感染させる。水飲み場型攻撃では、極めて限定された正規のウェブサイトを侵害して、事前に指定したIPアドレス範囲からアクセスした標的のみにマルウェアを配布する。侵害されたウェブサイトから配布されたTrojan.WipbotがTurlaをダウンロードして標的に配布している可能性が極めて高いという。

 当初、この感染は欧州諸国で拡散しているように見えたが、詳細な分析の結果、西欧圏での感染の多くは、かつてのソ連など旧東側諸国の政府機関のネットワークに接続されているコンピュータで発生していると判明した。感染は、これらの国の大使館で発生したとみられるという。

 感染を分析したところ、攻撃はいくつかの特定の国に集中しており、2012年5月には、旧ソ連構成国の首相事務局で発生した感染が広がり、最大60台のコンピュータが侵害されたと説明している。

 2012年末に別の旧ソ連構成国の在仏大使館で発生した感染は、2013年になると同国外務省のネットワークに接続されたコンピュータに拡散を開始し、さらに内務省にも感染を広げた。調査を進めたところ、同国の外交活動を標的とした組織的なスパイ活動が発覚した。ベルギー、ウクライナ、中国、ヨルダン、ギリシア、カザフスタン、アルメニア、ポーランド、ドイツの大使館でも感染が確認されたという。

 同じ地域内で、少なくとも5カ国が同様の攻撃の標的となっていた。攻撃者の狙いは主に旧東側諸国だが、西欧の保健省、中米の教育省、中東の電力関連機関、米国の医療機関など、他の標的もいくつか確認されているとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]