中国ハッカー集団、マイクロソフトの「TechNet」をマルウェア拡散に悪用

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2015-05-18 11:25

 セキュリティ企業FireEyeが新たに発表した報告書によると、同社とMicrosoftは2014年末、Microsoft TechNetのフォーラムに、偽装されたマルウェア拡散用のC&C(指揮統制)コードが埋め込まれているのを発見した。中国のハッカー集団「APT17」、別名「Deputy Dog」が関与しているという。

 IDGによると、Deputy DogはTechNetの正規プロファイルを作成し、フォーラムの投稿機能を使用して、エンコードで偽装したC&Cコードを埋め込んだ複数のコメントを投稿していた。このC&Cコードは、フォーラムの閲覧者をDeputy DogのC&Cサーバにリダイレクトし、過去にサイバー諜報戦で使われたマルウェア「BLACKCOFFEE」の亜種に感染させる。フォーラムの標準機能を悪用されていたことと、C&Cコードが偽装されていたことにより、攻撃の発覚が遅れ、リダイレクト先の特定も困難となっていた。

 米国時間5月14日、FireEyeはBLACKCOFFEEに関する脅威の痕跡(Indicators of Compromise:IOC)を公開した。一方、Microsoftは自社製セキュリティ製品のマルウェア対策シグネチャを更新した。

 この攻撃では、TechNetのシステム自体はセキュリティ侵害を受けておらず、マルウェアを拡散するための媒体として悪用されている点が特徴だ。TechNetは、同社製品のユーザー同士が技術的な情報を交換するためのオープンなフォーラムであり、日々膨大な量のトラフィックが処理されている。そのためDeputy Dogにとり、攻撃を大量のトラフィックに紛れ込ませて、マルウェアを効果的に拡散させるために最適だったものと思われる。

 FireEyeによると、同社とMicrosoftのセキュリティ研究チームは、エンコードしたデータをTechNetのページに実際に埋め込むことで攻撃の機序を把握した。セキュリティ専門家の間では、まだこの攻撃手法について活発な議論は行われていないが、FireEyeは別のハッカー集団による同様の攻撃事例をすでに確認しているため、他のコミュニティーサイトでも今後同様の攻撃が増加する可能性があると警告している。

 Deputy Dogは中国の悪名高いハッカー集団であり、米国のテクノロジ企業、採掘企業、国防企業、法律事務所、政府機関などに対して、これまで数々の攻撃を仕掛けてきた。また、同集団は過去に日本に対して大規模なゼロデイ攻撃を実行したことでも知られている。


この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]