北朝鮮の洪水被害に便乗する標的型攻撃、マルウェアは日本にホストか

ZDNET Japan Staff

2017-05-13 07:13

 米Cylanceは5月12日、2016年8月に国内外で深刻な被害をもたらした「台風10号」(英名:LIONROCK)に便乗する高度な標的型攻撃を発見したと発表した。攻撃はスパイ行為が目的とみられ、そのための多数のマルウェアがヤフーの「ジオシティーズ」にホストされていたと報告している。

 この攻撃では、「2016年 北朝鮮北東部の咸鏡道で発生したLIONROCKによる洪水被害に関する考察」と題したメッセージが送り付けられ、メッセージのリンク付ファイルを通じて、高度に難読化された不正なスクリプトやDLLファイル、マルウェアがダウンロードされる。これらの配布元にジオシティーズが悪用されていた。

 Cylanceはこの攻撃キャンペーンを「BAIJIU」(中国の「白酒」を指しているとみられる)、マルウェアを送り込むダウンローダを「TYPHOON」、攻撃者が遠隔操作するマルウェアを「LIONROCK」と、それぞれ命名。これらが中国に関連しているとみており、2013年にSymantecが報告したバックドア「Egobot」や、2014年にKasperskyが報告した標的型攻撃「Darkhotel」との類似性が認められるとしている。

 受信者のコンピュータに送り込まれるスクリプトやファイルは、幾重にも難読化されており、WindowsのPowerShellなどのツールも利用するなど、高度な手口が見て取れる。従来型のアンチウイルスはもとより、サンドボックスや次世代型のアンチウイルスソフトでも検出が非常に難しいという。ただし、期限切れの証明書が署名に使われているなどの特徴も確認された。

 攻撃者は、最終的に感染させたマルウェアを遠隔操作し、受信者のコンピュータ環境や画面キャプチャなどのさまざま情報を搾取し、マルウェア自体を削除できるようにもしていた。

 Cylanceは、攻撃者がYahoo! JAPAN IDを取得すれば無料で利用できるジオシティーズのサービスに目を付け、高速なインターネット環境が整っている日本を攻撃インフラにした可能性があると指摘。今回の攻撃については同社だけでなく、日本のセキュリティ研究者もブログで言及しているとした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]