海外コメンタリー

ハッカーの追跡はなぜ難しいのか--高度化する情報戦の実情を知る - (page 4)

Steve Ranger (ZDNET.com) 翻訳校正: 石橋啓一郎

2015-07-01 06:15

 その上、攻撃者はコード全体に、研究者を間違った方向に誘導するために用意された偽の情報を埋め込んでいた。

 例えば、ドライバの1つには「ugly.gorilla」(醜いゴリラ)という文字列が埋め込まれていた。これはある中国人ハッカーを指していると思われるが、同社によれば、別の煙幕として、中国のグループのものと考えられているマルウェアで過去に使われた暗号が、目立たないレベルで使われているという。また、追跡者を惑わせようとする別の試みとして、「romanian.antihacker」(ルーマニア人アンチハッカー)という文字列も含まれていた。これは、東ヨーロッパ人に罪を着せようとしているものかもしれない。

 同社の分析では、オリジナルのDokuの攻撃者はGMT+2またはGMT+3のタイムゾーンで作業をしていたと考えられ、「一部のプロキシで収集されたログは、攻撃者が金曜日にはあまり働かず、土曜日にはまったく働かないが、日曜日から通常業務を始めていると見られることを示している」という。これは、マルウェア作者がイスラエルに拠点を置いていることを意味している。

 これに対し、Dokuの新バージョンをベースにした新たな攻撃では、追跡者が得ることができた痕跡はずっと少なかった。すべてのタイムスタンプが修正され、デバッグパスやプラグインの内部モジュール名もすべて削除されていたため、犯人特定はずっと難しくなっている。

 イランの核問題交渉の際に会場を提供したホテルのネットワークでも同じマルウェアが見つかったことから、これもイスラエルの支援を受けたグループのものだという可能性はあるが、これだけでは確実と言うにはほど遠い。

 「もっとも可能性が高いのは、犯人が同じであるか、以前の犯人がコードをほかの組織か国と共有したということだ」とKaspersky氏は言う。

 ハッカーの追跡は興味深い読み物になるため、セキュリティ企業はその成果を公表したがる。しかし、攻撃者もセキュリティ企業が公表する情報を監視しており、その情報に基づいて対応を変える。

 Symantecが政府機関や大使館を標的にしたWaterbugのグループによって使用されたマルウェアの詳細を公表したところ、同グループはマルウェアを違う種類のものに切り替えた。「つまり、彼らはセキュリティ企業が発表する情報に注目しているということだ」とNeville氏は言う。

 Oppenheim氏にも同様の経験がある。APT 12と呼ばれる中国のハッカーグループについての情報を公表すると、「その後数日で彼らはマルウェアと制御インフラを変更した」という。

 同氏は次のように付け加えた。「攻撃を行っている側と、守る側のオペレーターの間では常にやりとりがある。攻撃側は次のプレイを決められるため、常に有利な立場にある。防御側は常にそれに反応する側にならざるを得ない」

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]