ラックは8月2日、標的型攻撃に関する調査レポート「CYBER GRID VIEW Vol.2 日本の重要インフラ事業者を狙った攻撃者」を公開した。
同レポートは、ラックの研究部門の1つであるサイバー・グリッド研究所がまとめたレポートの2号目(なお、1号目「CYBER GRID VIEW Vol.1」はこちら )。
同研究所では、高度な知見を有する研究者が国内で発生した攻撃事案や各種公開情報等を集積し、日々調査・分析しており、そうした研究活動を行う過程で、複数の被害に共通した痕跡が発見されることがあるという。今回のレポートでは、同研究所の研究者が2013年より追跡調査している、遠隔操作機能を備えた高機能な不正プログラム「Daserf:ダザーフ」について技術的に解説しているほか、Daserfの攻撃の痕跡から得られた情報を基に攻撃者の背景を推測している。
今回のレポートによると、Daserfを悪用する攻撃者は、日本の重要インフラに関連した組織を狙っている。DaserfはWindowsの正規プログラム名を装うなど発見されにくい工夫をしており、被害を受けた企業では発見までに数カ月から2年半の時間を要していた。
ラックが対応したDaserfによる標的型攻撃事案のターゲット組織。重要インフラ事業者(56%)や重要インフラ機器製造業者(44%)が多い。
Daserfの挙動を解析したところ、通信先の指令サーバとして指定されているIPアドレスの約65%は韓国企業が保有しているアドレスだった。一部ではあるが日本のVPS(仮想専用サーバ)サービス提供事業者のIPアドレスも含まれていた。
また、Daserfおよび関連マルウェアを悪用する攻撃者の背景推測では、不正通信を日単位ですると通信量のごく少ない期間が中国の国慶節に当たること、一日の中での活動時間帯が中国のほぼ一般的な労働者の勤務時間(中国の標準時で8時から16時)に該当すること、攻撃者が利用する一部のマルウェアは中国のサイトで公開されているツールを利用して暗号化されていることなどを挙げ、「推測の域を出ないが、断片的な状況証拠を積み上げることにより、Daserfを利用する攻撃者像がうっすらと見えてきたと言っていい」としている。
