サイバー攻撃集団「Danti」が登場--既存の脆弱性を悪用、世界中の外交機関が標的:Kaspersky

NO BUDGET 2016年06月07日 10時54分

  • このエントリーをはてなブックマークに追加

 Kaspersky Labは5月25日、同社のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)が過去数カ月にわたり調査してきた、日本およびアジア太平洋地域(APAC)における複数のサイバースパイ組織の攻撃について発表した。これらの攻撃には、Microsoft Officeの脆弱性である「CVE-2015-2545」(パッチ公開済み)を突く脆弱性攻撃(エクスプロイト)が用いられている共通点があり、Platinum、APT16、EvilPost、SPIVYなどのサイバースパイ組織が知られていたが、このたび、新たに「Danti(ダンティ)」が発見されたという。同社日本法人が6月2日、抄訳で伝えた。

 GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集や調査研究を行うとともに、マルウェアによるインシデント発生時の対応措置を担当している。

 今回の調査で発見されたDantiは、主に外交機関を重点的に狙っており、すでにインド政府組織の内部ネットワークにフルアクセスできる状況になっている可能性があるという。同社アンチマルウェア製品の各種コンポーネントから情報を収集する分散型アンチウイルスネットワークのKaspersky Security Network(KSN)では、インドのほかにもカザフスタン、キルギスタン、ウズベキスタン、ミャンマー、ネパール、フィリピンといった国々で、Dantiのトロイの木馬の一部が2016年2月初旬から確認されており、その活動は現在も継続しているとのこと。

 Dantiは、インド政府高官の名前をかたったフィッシングメールを利用して標的を欺き、コンピュータを感染させた後にバックドアを設置し、機密データを窃取している。その出自は不明だが、GReATのリサーチャーは、NetTravelerやDragonOKなどのサイバー犯罪組織と関連があると見ており、これらの組織には中国語の話者がいると考えられるという。

 またGReATのリサーチャーは、台湾やタイの企業や組織に対してCVE-2015-2545を使った別の攻撃「SVCMONDR」も確認している。この名前は、脆弱性を突いた後にダウンロードされるトロイの木馬から命名された。このトロイの木馬はDantiが利用するものとは異なるが、Dantiや、中国語の話者が関わっていると考えられるサイバースパイ組織「APT16」との共通点があるとのこと。

 なお、このCVE-2015-2545脆弱性を悪用すると、不正なEPS形式の画像ファイルを用いて任意のコードを実行することができる。このエクスプロイトは、PostScriptを使用し、Windowsに実装されたアドレス空間配置のランダム化(ASLR)やデータ実行防止(DEP)といったセキュリティ機能を回避するため、深刻度は高いと判断されている。

 同社によると、高度な技術力を持つサイバースパイ組織は、数年前までゼロデイ脆弱性を使う特徴が見られたが、最近では安価で一定の感染率も見込める既存の脆弱性を悪用したエクスプロイトを利用する傾向があるという。

 Kaspersky Lab Research Center APAC、チーフセキュリティエキスパートのアレックス・ゴスチェフ(Aleks Gostev)氏は、以下のようにコメントしている。

 「このエクスプロイトを使ったサイバー攻撃は今後もさらに増えると予想しており、引き続き新たな動きやアジアパシフィック地域のほかの攻撃との関連性を注視していきます。たった1つの脆弱性で一連の攻撃を行う理由は2つ考えられます。1つは、攻撃者がゼロデイ脆弱性のエクスプロイトなど、高度なツールの開発にリソースを使わない傾向にあり、修正パッチ公開から少し時間がたったエクスプロイトでも、ほぼ事足りると考えているからです。もう1つは、標的とする企業や政府機関の修正パッチ適用率が低いことが挙げられます。少なくとも発表されている脆弱性には、修正パッチを適用して防御できるよう、ITインフラ管理を徹底することが重要です」

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]