標的型攻撃--LuminosityLinkRAT
ElirksやEmdiviは、攻撃者が必要に応じて開発やアップデートをしているカスタムマルウェアですが、汎用(はんよう)マルウェアも標的型攻撃に頻繁に使われています。たとえばPoisonIvyは無料で配布されているリモートアクセスツール(RAT)であり、古くから標的型攻撃に悪用されています。
今顕著に増えているのが「LuminosityLinkRAT」と呼ばれるツールです。これは商用管理ユーティリティとして40ドルで販売され、キーロガーなど多数の強力な機能をもち、インストールしている端末を完全にコントロールできることから、攻撃者の間で人気のツールとなっています。
カスタムマルウェアが限られた攻撃者、ないしはグループによってのみ利用される一方、汎用マルウェアは不特定多数の攻撃者によって使われるため亜種が多くなり、攻撃対象や地域も広範になります。パロアルトネットワークスの調べでは、前述したElirksは5年間で100程度亜種が確認され、主に日本や台湾への攻撃に利用されています。一方LuminosityLinkRATはわずか1年半で約3万の亜種が世界118カ国、30業種で確認されています。
LuminosityLinkRAT国別ターゲット
NanoCoreRATやNetWireRATなど他にも低価格もしくは無料で手に入る汎用マルウェアはいくつも存在し、多くの攻撃者によって悪用されています。これらの汎用マルウェアは手軽に利用できる反面、セキュリティソフトウェアに検出される可能性が高いです。しかし、パッカーやクリプターと呼ばれるツールを使うことで単純なパターンマッチングによる検出を回避することができます。このような検出回避ツールと汎用マルウェアを使い、手軽に大量の亜種を作成し攻撃に使っているのも現在の標的型攻撃の一面です。
まとめ
2016年においても、世界中にいる無数の攻撃者がさまざまな目的を持ち、その実現のために多数のツールやテクニックを使って攻撃を実行にうつしました。2017年以降も多くのサイバー攻撃が発生することが予測されますが、最新の脅威や動向、攻撃者の手口を知ることで防御力を高め、インシデント発生時にかかる対応時間を短くすることができます。日本の企業においてもサイバー攻撃による被害を回避するためにも、最新の脅威や動向、攻撃者の手口などを集約した「脅威インテリジェンス」の活用を推奨します。
- 林薫
- パロアルトネットワークス株式会社 Unit 42 スレットインテリジェンスアナリスト。2000年より大手米国セキュリティ企業のインターネットセキュリティ研究所のエンジニアおよびマネージャーとして、セキュリティの研究や新種マルウェアへの対応、脆弱性情報の収集・分析、技術開発などを担当し、。インシデント対応や人材の育成なども行いながら、国際的セキュリティカンファレンスへの登壇やマルウェア専門誌への寄稿などを行う。2016年より、パロアルト ネットワークスのインテリジェンスチームUnit 42の日本初のアナリストとして従事。
