セキュリティ企業FireEyeが新たに発表した報告書によると、同社とMicrosoftは2014年末、Microsoft TechNetのフォーラムに、偽装されたマルウェア拡散用のC&C(指揮統制)コードが埋め込まれているのを発見した。中国のハッカー集団「APT17」、別名「Deputy Dog」が関与しているという。
IDGによると、Deputy DogはTechNetの正規プロファイルを作成し、フォーラムの投稿機能を使用して、エンコードで偽装したC&Cコードを埋め込んだ複数のコメントを投稿していた。このC&Cコードは、フォーラムの閲覧者をDeputy DogのC&Cサーバにリダイレクトし、過去にサイバー諜報戦で使われたマルウェア「BLACKCOFFEE」の亜種に感染させる。フォーラムの標準機能を悪用されていたことと、C&Cコードが偽装されていたことにより、攻撃の発覚が遅れ、リダイレクト先の特定も困難となっていた。
米国時間5月14日、FireEyeはBLACKCOFFEEに関する脅威の痕跡(Indicators of Compromise:IOC)を公開した。一方、Microsoftは自社製セキュリティ製品のマルウェア対策シグネチャを更新した。
この攻撃では、TechNetのシステム自体はセキュリティ侵害を受けておらず、マルウェアを拡散するための媒体として悪用されている点が特徴だ。TechNetは、同社製品のユーザー同士が技術的な情報を交換するためのオープンなフォーラムであり、日々膨大な量のトラフィックが処理されている。そのためDeputy Dogにとり、攻撃を大量のトラフィックに紛れ込ませて、マルウェアを効果的に拡散させるために最適だったものと思われる。
FireEyeによると、同社とMicrosoftのセキュリティ研究チームは、エンコードしたデータをTechNetのページに実際に埋め込むことで攻撃の機序を把握した。セキュリティ専門家の間では、まだこの攻撃手法について活発な議論は行われていないが、FireEyeは別のハッカー集団による同様の攻撃事例をすでに確認しているため、他のコミュニティーサイトでも今後同様の攻撃が増加する可能性があると警告している。
Deputy Dogは中国の悪名高いハッカー集団であり、米国のテクノロジ企業、採掘企業、国防企業、法律事務所、政府機関などに対して、これまで数々の攻撃を仕掛けてきた。また、同集団は過去に日本に対して大規模なゼロデイ攻撃を実行したことでも知られている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。