編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

北朝鮮動向に便乗するサイバースパイ、「今後の脅威」と注意喚起

ZDNet Japan Staff

2017-08-09 17:00

 北朝鮮動向に便乗するサイバー攻撃キャンペーンで、「KONNI」と呼ばれるリモートアクセス型のトロイの木馬による脅威が次第に増しているという。解析したCisco Systemsのセキュリティ調査部門「Talos」やCylanceは、今後このマルウェアがさらに進化し、標的型のサイバースパイ攻撃に使われる恐れがあると警鐘を鳴らす。

 Talosによると、KONNIは2014年頃から攻撃キャンペーンで度々使わている。北朝鮮動向などに関する内容の攻撃メールを通じて標的のマシンに侵入し、キーボード入力された内容やデスクトップのキャプチャ、ファイルなどの情報を窃取するほか、遠隔操作機能も持つ。

 7月上旬に発生した攻撃キャンペーンでは、大陸間弾道ミサイル(ICBM)の発射実験に成功したとする同国の主張を報じた韓国の聨合ニュースの英文記事が「おとり文書」に使われた。攻撃メールに添付されたこの文書ファイルを受信者が開くと、受信者のコンピュータ環境に合わせたKONNIがダウンロードされる可能性がある。

「KONNI」の侵入に使われたおとり文書(出典:Cisco
「KONNI」の侵入に使われたおとり文書(出典:Cisco Talos)

 Talosの調査では、KONNIと通信する外部のコマンド&コントロール(C&C)サーバに、登山愛好家向けに偽装した英語サイトが使われていたことが分かった。しかし、米国の住所が表記されながらGoogle Mapではソウル市内の地図が表示されるなど、不審な点がみられるという。

 Talosの報告をもとにKONNIを解析したというCylanceによれば、現状のKONNIにセキュリティシステムの検知を回避する高度な技術などは見られず、スパイ行為や遠隔操作のための基本的な機能を備える。しかし、北朝鮮情勢が目まぐるしく変化しているだけに、Cylanceは今後数カ月のうちに機能の高度化や新たな機能を実装する亜種が出現する可能性があると予想する。

 KONNIに関する過去の攻撃キャンペーンでは、ロシア情勢に関するおとり文書が使われたケースもあったという。Talosは、特におとり文書にあるような国際情勢に関係する組織では、標的型のサイバースパイ攻撃に警戒すべきだと注意を呼び掛けている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]