悪意あるハッカーがベーシックなサイバー攻撃を政府や外交に仕掛け、機密情報を盗んでいるという。
このサイバースパイ活動は世界中の個人と組織をターゲットとしたものだが、中国政府と外交組織、および関連した個人、提携先に大きなフォーカスがあたっている。
Kaspersky Labのグローバルリサーチ・分析チームは、2月より「攻撃的なサイバースパイ活動」について調べている。同チームの研究者によると、活動はインドで発生しており古いエクスプロイト、低コストなマルウェアツール、ベーシックなソーシャルエンジニアリング手法を用いているという。
シンプルだが効果のある脅威は「Dropping Elephant」と名付けられており、潜在的な被害者を識別する目的で電子メールを大量に送りつける。
電子メールそのものには悪意あるペイロードは含まれていないが、メッセージが開封されるとping要求を攻撃者のサーバに送り戻す。これにより、サイバースパイにIPアドレス、ブラウザの種類、デバイス、位置などの攻撃者に関する情報を提供する。
この情報を利用して、悪意あるハッカー達は最も価値あるターゲットを識別して再び電子メールを送る。今回はより高度なスピアフィッシング手法を利用して、被害者が悪意あるペイロードを含むメッセージを開くように仕向ける。
使われるのは悪意あるエクスプロイトを含むWordやPowerPointドキュメントの形をとることもあれば、政治的なニュースに見せかけたウェブサイトへのリンクを利用した水飲み場(waterhole)型攻撃の形をとることもある。
使われているのは脆弱性CVE-2012-0158のエクスプロイトを含むWordドキュメントや、脆弱性CVE-2014-6352のエクスプロイトを含むPowerPointスライドだ。両脆弱性はともに公開されており、ずいぶん前から知られているがKasperskyによるといまだに有効だという。
研究者らによると、攻撃の発信源がインドであることを示す情報(攻撃が発生する時間や、ISPアドレスから割り出されるロケーションなど)はあるが、国家が関与している「確実な証拠」はないという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。