北朝鮮の洪水被害に便乗する標的型攻撃、マルウェアは日本にホストか

ZDNET Japan Staff

2017-05-13 07:13

 米Cylanceは5月12日、2016年8月に国内外で深刻な被害をもたらした「台風10号」(英名:LIONROCK)に便乗する高度な標的型攻撃を発見したと発表した。攻撃はスパイ行為が目的とみられ、そのための多数のマルウェアがヤフーの「ジオシティーズ」にホストされていたと報告している。

 この攻撃では、「2016年 北朝鮮北東部の咸鏡道で発生したLIONROCKによる洪水被害に関する考察」と題したメッセージが送り付けられ、メッセージのリンク付ファイルを通じて、高度に難読化された不正なスクリプトやDLLファイル、マルウェアがダウンロードされる。これらの配布元にジオシティーズが悪用されていた。

 Cylanceはこの攻撃キャンペーンを「BAIJIU」(中国の「白酒」を指しているとみられる)、マルウェアを送り込むダウンローダを「TYPHOON」、攻撃者が遠隔操作するマルウェアを「LIONROCK」と、それぞれ命名。これらが中国に関連しているとみており、2013年にSymantecが報告したバックドア「Egobot」や、2014年にKasperskyが報告した標的型攻撃「Darkhotel」との類似性が認められるとしている。

 受信者のコンピュータに送り込まれるスクリプトやファイルは、幾重にも難読化されており、WindowsのPowerShellなどのツールも利用するなど、高度な手口が見て取れる。従来型のアンチウイルスはもとより、サンドボックスや次世代型のアンチウイルスソフトでも検出が非常に難しいという。ただし、期限切れの証明書が署名に使われているなどの特徴も確認された。

 攻撃者は、最終的に感染させたマルウェアを遠隔操作し、受信者のコンピュータ環境や画面キャプチャなどのさまざま情報を搾取し、マルウェア自体を削除できるようにもしていた。

 Cylanceは、攻撃者がYahoo! JAPAN IDを取得すれば無料で利用できるジオシティーズのサービスに目を付け、高速なインターネット環境が整っている日本を攻撃インフラにした可能性があると指摘。今回の攻撃については同社だけでなく、日本のセキュリティ研究者もブログで言及しているとした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]